I ' м пытаюсь настроить новую Dynamics CRM 2016 на месте установки с проверкой подлинности на основе утверждений для Sharepoint Online (Office 365) и доступа к Интернету.
В настоящее время у нас есть контроллер домена Windows 2012 R2 Essentials, синхронизирующийся с Office 365, я знаю мы не должны менять пароли на каких-либо онлайн-сервисах, а вместо этого использовать локальную учетную запись, чтобы синхронизировать новый пароль.
В то время мы хотели быть максимально экономичными с точки зрения настройки в офисе, поэтому Essentials был очевидным выбором, но теперь я думаю, что это слишком важно, если вы хотите добавить другие службы! Это правильно?
Я видел эту статью http://blog.kloud.com.au/2014/06/06/claims-based-federation-service-using-microsoft-azure/ , в которой объясняет, как использовать ACS для федерации требований CRM, который отсортирует вход в систему CRM.
Но меня немного беспокоит развертывание этого без настройки единого входа в каталоге. например, синхронизировать пароль из Azure с onprem AD, и, очевидно, это невозможно при такой настройке, см. https://social.technet.microsoft.com/Forums/windowsserver/en-US/97cdba31-afda-49a0- bd71-cdd408b22fe6 / windows-server-2012-r2-essentials-and-azure-active-directory-sync-tool? forum = winserveressentials
Прежде чем я соглашусь на использование ACS (доступно только в Azure Premium), я хочу убедиться, что мы также сможем перенастроить единый вход для всего каталога, как есть, или, если нам нужно перейти на новый контроллер домена (не по основам) и вместо этого использовать AADConnect? См. https://azure.microsoft. com / en-us / documentation / articles / active-directory-aadconnect / , который включает ADFS и, следовательно, не требует ACS.
Я просто смешиваю концепции? Является ли мое беспокойство необоснованным?
Кто-нибудь мог сделать такую настройку раньше?
Любая помощь будет принята с благодарностью.
Возьмите это с зерном соли, так как у меня не так много экспозиции непосредственно с сервером Essentials.
Самой простой настройкой простого управления паролями является использование Azure AD Sync (устанавливается на отдельный сервер не обязательно) с Azure AD Premium. Это поддерживает двухстороннюю поддержку хэша пароля. CRM даже не учитывается в данном уравнении, чтобы это работало. Можно отключить управление для сервера Essentials, а затем использовать эту опцию, но при этом вы теряете причудливую панель Dashboard и инструменты управления.
Я бы также сделал это в нерабочее время - я не знаю подробностей о том, как она разрывает соединение или какое влияние это окажет на пользователей. Как только вы запустите Azure AD Sync, он должен быть в состоянии соответствовать существующим пользователям. Вы также можете попробовать это перед отключением сервера essentials (просто не включайте синхронизацию паролей).
В зависимости от вашего браузера и того, как настроен CRM, у вас может быть то, что выглядит как SSO (если creds передается напрямую), потому что пароли разделяются, но на самом деле это не SSO, конечно же. Вы можете сохранить эту настройку и опубликовать CRM через прокси-сервис приложений, также доступный в Azure, чтобы направить всю аутентификацию через Azure AD.
For SSO Setup
You are heading down the correct path. Вы можете попробовать эту установку сегодня, изменив настройку синхронизации с вашим основным сервером. Единственное, чего вам не хватает, это поддержки обратной записи пароля.
Чтобы получить обратную запись пароля, вам нужно отключить синхронизацию на вашем основном сервере и использовать инструмент Azure AD Connect. Вам также нужна подписка Azure AD Premium, после чего вы сможете осуществлять обратную запись пароля.