我正在尝试配置一个新的 Dynamics CRM 2016 本地安装,并为 Sharepoint Online(Office 365)和面向 Internet 的访问配置基于声明的身份验证。
我们目前有一个与 Office 365 同步的 Windows 2012 R2 Essentials 域控制器,我知道我们不应该更改任何在线服务上的密码,而是使用本地帐户,以便同步新密码。
当时我们希望在办公室设置方面尽可能精简,因此 Essentials 是显而易见的选择,但现在我认为,当您想要添加其他服务时,它有点太必不可少了!对吗?
我看过这篇文章,http://blog.kloud.com.au/2014/06/06/claims-based-federation-service-using-microsoft-azure/,解释了如何利用 ACS 实现 CRM 的索赔联合,从而对 CRM 登录进行排序。
但我有点担心在没有在整个目录中配置单点登录的情况下推出此功能。例如,将密码从 Azure 同步到本地 AD,显然此设置无法实现,请参阅https://social.technet.microsoft.com/Forums/windowsserver/en-US/97cdba31-afda-49a0-bd71-cdd408b22fe6/windows-server-2012-r2-essentials-and-azure-active-directory-sync-tool?forum=winserveressentials
在我决定使用 ACS(仅在 Azure Premium 中可用)之前,我想确保我们也能够按原样在目录中推出单点登录,或者我们是否需要迁移到新的 DC(不是 Essentials)并改用 AADConnect?请参阅https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect/其中包括 ADFS,因此不需要 ACS。
我是不是混淆了概念?我的担心是否毫无根据?
以前有人能够做过这种设置吗?
任何帮助都将不胜感激。
答案1
由于我并没有直接接触过 Essentials 服务器,因此对此持保留态度。
仅用于密码管理的最简单设置是将 Azure AD Sync(安装在单独的服务器上,而不是 Essentials)与 Azure AD Premium 结合使用。这支持双向密码哈希支持。CRM 甚至没有考虑到这一点。您可以禁用 Essentials 服务器的管理,然后使用此选项,但您会失去花哨的仪表板和管理工具。
我也会下班后这样做——我不知道它如何中断连接的细节,也不知道这会对用户产生什么影响。一旦启动 Azure AD Sync,它应该能够匹配现有用户。您也可以在禁用 Essentials 服务器之前尝试此操作(只是不要启用密码同步)。
根据您的浏览器和 CRM 的配置方式,您可能会看到类似 SSO 的情况(如果直接传递凭据),因为密码是共享的,但这当然不是真正的 SSO。您可以保留此设置并通过 Azure 中提供的应用程序代理服务发布 CRM,以便通过 Azure AD 路由所有身份验证。
对于 SSO 设置
您正朝着正确的方向前进。您今天可以试用此设置,而无需更改基本服务器同步设置。您唯一缺少的是密码写回支持。
要获取密码写回功能,您需要在主服务器上禁用同步并使用 Azure AD Connect 工具。您还需要 Azure AD Premium 订阅,然后才能启用密码写回功能。