Я пытаюсь настроить новую Dynamics CRM 2016 для локальной установки с проверкой подлинности на основе утверждений для Sharepoint Online (Office 365) и доступом через Интернет.
В настоящее время у нас есть контроллер домена Windows 2012 R2 Essentials, синхронизирующийся с Office 365, я знаю, что нам не следует менять пароли на каких-либо онлайн-сервисах, а вместо этого использовать локальную учетную запись, чтобы синхронизировать новый пароль.
В то время мы хотели быть максимально экономичными с точки зрения настройки в офисе, поэтому Essentials был очевидным выбором, но теперь я думаю, что это слишком важно, если вы хотите добавить другие службы! Это правильно?
Я видел эту статью, http://blog.kloud.com.au/2014/06/06/claims-based-federation-service-using-microsoft-azure/, в котором объясняется, как использовать ACS для федерации утверждений CRM, которая будет сортировать вход в систему CRM.
Но меня немного беспокоит развертывание этого без настройки единого входа в каталоге. например синхронизировать пароль из Azure с onprem AD и, по-видимому, это невозможно с этой настройкой, см. https://social.technet.microsoft.com/Forums/windowsserver/en-US/97cdba31-afda-49a0-bd71-cdd408b22fe6/windows-server-2012-r2-essentials-and-azure-active-directory-sync- инструмент? forum = winserveressentials
Прежде чем я обязуюсь использовать ACS (доступный только в Azure Premium), я хочу убедиться, что мы также сможем перенести единый вход в каталог как есть, или если нам нужно перейти на новый DC (не по основам) и использовать вместо этого AADConnect? Видеть https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect/ который включает ADFS и, следовательно, не требует ACS.
Я просто смешиваю концепции? Моя озабоченность необоснованна?
Кто-нибудь мог раньше сделать такую настройку?
Любая помощь по этому вопросу будет принята с благодарностью.
Отнеситесь к этому с долей скептицизма, так как я не очень хорошо знаком с сервером Essentials.
Самая простая настройка только для управления паролями - это использование Azure AD Sync (установка на отдельном сервере не обязательна) с Azure AD Premium. Это поддерживает двустороннюю поддержку хеширования пароля. CRM даже не учитывается здесь, чтобы это работало. Вы можете отключить управление для сервера Essentials, а затем использовать эту опцию, но потеряете причудливую панель мониторинга и инструменты управления.
Я бы также сделал это в нерабочее время - я не знаю подробностей, как это разрывает соединение или какое влияние это окажет на пользователей. Как только вы запустите Azure AD Sync, она должна соответствовать существующим пользователям. Вы также можете попробовать это перед отключением основного сервера (только не включайте синхронизацию паролей).
В зависимости от вашего браузера и того, как настроена CRM, у вас может быть то, что выглядит как SSO (если кредиты передаются напрямую), потому что пароли используются совместно, но это, конечно, не совсем SSO. Вы можете сохранить эту настройку и опубликовать CRM через прокси-службу приложения, также доступную на данный момент в Azure, для маршрутизации всей аутентификации через Azure AD.
Для настройки единого входа
Вы идете по правильному пути. Вы можете опробовать эту настройку сегодня, не меняя настройки синхронизации основного сервера. Единственное, чего вам будет не хватать, так это поддержки обратной записи паролей.
Чтобы получить ответную запись пароля, вам необходимо отключить синхронизацию на основном сервере и использовать инструмент Azure AD Connect. Вам также понадобится подписка Azure AD Premium, после чего вы сможете восстановить пароль.