Dynamics CRM安装教程七：Claims-based认证-内部访问配置

DFS安装配置好后就要开始配置CRM基于内部认证访问的配置，即使用HTTPS在CRM服务器进行访问的设置。
在CRM服务器中找到Dynamic CRM部署管理器，开始菜单选择Dynamic CRM部署管理器

打开后点击右侧菜单属性

切到WEB地址输入INTERNALCRM.你的域名.COM，红色部分为域，替换成自己创建的域就可以了。这里没有加端口是因为CRM服务器IIS配置的HTTPS网站是443端口，不需要输入，如果有独立配置端口的话要把非443的端口号配上'

IIS设置https网站，打开CRM服务器的IIS，找到CRM的网站，点击右边的绑定

点击添加，在弹出的窗口里面更改类型为HTTPS,然后加上你要配置的端口，下面选取要绑定的安全证书，点确定

端口已经加好了

在部署管理器中选择配置基于声明的身份验证

下一步

将安装ADFS时验证的链接贴到联合元数据里面，在点下一步之前先把该链接放到CRM服务器试一下能不能打开不能打开的话要把AD和CRM服务器重启一下后再次验证,

验证ADFS链接在CRM服务器是否有效，有效的话上一个页面点下一步

选择证书

默认下一步

默认下一步

默认，应用

应用完成后打开查看日志

把打开的TXT翻到最后面，拷出其中的链接：https://internalcrm.你的域名.com/FederationMetadata/2007-06/FederationMetadata.xml一会儿在ADFS配置信任方的时候会用到，拷出来后点完成。

接下来到ADFS服务器进行信任方的配置

到ADFS服务器中的服务器管理中的工具打开ADFS管理

在ADFS管理界面里面选择声明提供方信任，在右边的Active Directory右键，选择编辑声明规则

添加规则

选择以声明方式发送LDAP特性，下一步

在声明规则名称中填写LDAP UPN Claim Rule，特性存储选择Activity Directory，列表里面第一列选择User-Principal-Name，第二列选择UPN，点完成

点击应用确定

选择信赖方信任右键点击添加信赖方信任

点击启动

将配置完CRM基于声明的身份验证最后拷出来的链接填到下面的框中
https://internalcrm.你的域名.com/FederationMetadata/2007-06/FederationMetadata.xml

同样，要现在ADFS的服务器的浏览器去打开一下验证一下是否可以打开，如果打不开的话将ADFS服务器和CRM服务器重启后再试。直到可以打开为止。之后点击下一步

为内部信赖方取一个名字下一步

默认下一步，千万不要勾那个勾否则会导致登录权限不足的问题

默认，下一步

完成后关闭

在添加好的信任中，右键选择编辑声明颁发策略

点击添加规则

选择经历或筛选传入声明，下一步

为规则起一个名字后，下面传入声明类型选择UPN

继续添加第二个规则，同样选择经历或筛选传入声明，下一步

为声明名称取一个名字后在传入声明类型中选择主SID，点击完成

继续添加第三个规则，选择转换传入声明，下一步

为声明规则名称取一个名字后，选择传入声明类型为Windows 账户名，传出声明类型选择名称点完成

三个规则加好后就可以应用点击确定了

在PowerSheell中打开spn，打开Windows PowerShell

在PowerShell中键入以下命令setspn -s http/tp/sts1.你的域名.com 你的域名\你的机器名$  

接下来进行主身份验证，点开服务->身份验证方法，点击右侧主身份验证方法下面的编辑

确认是否勾上了表单身份验证，之后点击确定

之后再Ad服务器浏览器里面输入网址：https://internalcrm.你的域名.com/，输入用户名和密码查看是否配置成功

看到如下界面，说明CRM内部访问的安全配置成功

至此基于内部访问认证的配置完成