チュートリアル : Microsoft Azure の構成 (ACS 代替方法)
公開日: 2017年1月
対象: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online
重要
この手順は非推奨です。 ACS よりも SAS を使用してチュートリアル: Dynamics 365 との統合のための Microsoft Azure (SAS) の構成 に説明されている手順を使用してください。詳細:Azure ドキュメント: Service Bus の認証および承認
このチュートリアルは、Microsoft Azure サービス バス に投稿される Microsoft Dynamics 365 メッセージをリスナー アプリケーションが読み取れるように、Microsoft Azure Active Directory アクセス制御サービス (ACS) の発行者、スコープ、およびルールを構成する方法を説明します。 このチュートリアルは、Microsoft Dynamics 365 の任意の展開の種類との統合に適用されます。
注意
SDK ダウンロードで提供されているプラグイン登録ツールは、基本的なシナリオ用の ACS の構成を自動化するための推奨方法です。 ツールを使用して ACS を構成する手順については、チュートリアル: Dynamics 365 との統合のための Microsoft Azure (ACS) の構成 を参照してください。
Azure 管理ポータル を使用する、より高度なシナリオについては、このトピックで説明する手順に従います。
このチュートリアルの前提要件として、Microsoft Dynamics 365 (設置型または IFD) を実行している場合は、Microsoft Azure 統合に合わせて Microsoft Dynamics 365 を構成します。 詳細については、「チュートリアル: Microsoft Azure との統合のための Dynamics 365 の構成」を参照してください。Microsoft Azure 統合のために Microsoft Dynamics 365 (オンライン) は事前に構成済みです。
このトピックの内容
新しいサービス名前空間の作成
サービス ID (発行者) の作成
ルール グループとルールの作成
スコープの構成
新しいサービス名前空間の作成
使用しようとしている既存の ACS のサービス名前空間がある場合は、サービス ID (発行者) の作成 という名前の次のセクションを続行します。
警告
Dynamics 365 で使用するサービスの名前空間を作成するのに、Microsoft Azure ポータルを使用しないでください。 ポータルにより SAS 名前空間が作成されますが、Dynamics 365 には ACS 名前空間が必要です。
PowerShell コマンドを使用して新しいサービス名前空間を作成する
Microsoft AzurePowerShell モジュールをダウンロードしてインストールします。詳細:「Azure PowerShell をインストールおよび構成する方法」を参照してください。
[開始] メニューで、Microsoft AzurePowerShell プログラムを開き、次のコマンドを入力します。
> Add-AzureAccount > New-AzureSBNamespace –Name YOUR_NAMESPACE -Location "YOUR_LOCATION" -CreateACSNamespace $true
注意
バージョン 0.8.9 以降の AzurePowerShell は、New-AzureSBNamespace コマンドの –CreateACSNamespace パラメーターをサポートします。 インストールしたバージョンの AzurePowerShell が、–CreateACSNamespace パラメータをサポートしていない場合、最新のバージョンをインストールします。 使用している AzurePowerShell のバージョンを表示するには、コマンド Get-Module Azure を入力します。
コマンドの新しいバージョンは、–NamespaceType パラメーターをサポートする場合があります。 その場合は、–NamespaceType Messagingを使用します。
Add-AzureAccountを入力すると、Azureサブスクリプションのサインイン資格情報を指定するよう求められます。YOUR_NAMESPACEの適切な名前空間名とYOUR_LOCATIONのおおよその場所に置き換えてください。 サポートされている場所は次のとおりです: Central US、East US、East US 2、North Central US、South Central US、West US、North Europe、West Europe、East Asia、Southeast Asia、Brazil South、Japan East、およびJapan West。
次のコマンドを入力すると、名前空間が作成され、次のような内容のテキストの出力が表示されます。
Name : mynamespace
Region : Central US
DefaultKey : 1eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=
Status : Active
CreatedAt : 8/25/2014 3:36:47 PM
AcsManagementEndpoint : https://mynamespace-sb.accesscontrol.windows.net/
ServiceBusEndpoint : https://mynamespace.servicebus.windows.net/
ConnectionString : Endpoint=sb://mynamespace.servicebus.windows.net/;SharedSecretIssuer=owner;SharedSecretValue=1
eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=
サービス ID (発行者) の作成
この操作を行っていない場合は、Microsoft Azure の管理ポータル に移動し、サインインします。
管理ポータルで、[サービス バス] をクリックし、一覧から既存の名前空間を選択します。
[接続情報] をクリックします。
フォームの下部で、[未確定 ACS 管理ポータル] をクリックします。
[サービス設定] で、[サービス ID] を選択し、[追加] をクリックします。
[サービス ID を追加] ページで、発行者 ID の名前を入力します。 これは、Microsoft Dynamics 365 の構成を行う場合と同じ発行者名にする必要があります。設定 > カスタマイズ > 開発者リソースを選択して、Dynamics 365 Web アプリケーションでこの発行者名を確認できます。
[X.509 証明書] の資格情報の種類を選択します。
ローカル コンピュータ上の証明書の場所に移動します。 証明書を、Dynamics 365 Web アプリケーションの [開発者リソース] ページで [証明書のダウンロード] リンクをクリックすることによって取得します。
保存 をクリックします。
Microsoft Dynamics 365 (オンライン) を使用していて、そのサーバーで入手した証明書が期限切れと異なったことが表示された場合、その警告を無視できます。
ルール グループとルールの作成
Microsoft Dynamics 365 に Microsoft Azure サービス バスへの送信または "ポスト" を許可する対象スコープのルールを作成します。 これを行うには、Microsoft Dynamics 365 からの入力 "Organization" 要求を Microsoft Azure サービス バス の出力 "Send" 要求へマップするように ACS を構成します。
まず、次の手順に従って、ルール グループを作成します。
[信頼関係] で、[ルール グループ] を選択します。
[追加] をクリックします。
ルール グループの名前を入力し、[保存] を選択します。
次に、ルール グループに要求規則を追加します。
[ルール グループの編集] ページで [追加] をクリックします。
ページの [If] セクションで、[アクセス制御サービス] を選択します。
入力要求の種類について、[種類の入力] を選択し、次に https://schemas.microsoft.com/xrm/2011/Claims/Organization を入力します。
入力要求値について、[値の入力] を選択し、次に Microsoft Dynamics 365 の組織の名前を入力します。
インターネットに接続する展開または設置型展開の場合は、小文字で、指定された目的の組織の一意名を入力します。[組織独自の名前] ラベルの横の Dynamics 365 Web アプリケーションの [開発者リソース] ページで、この名前を検索できます。Dynamics 365 のこのページに移動するには、[設定] > [カスタマイズ] > [開発者リソース] をクリックします。
Microsoft Dynamics 365 (オンライン) 展開の場合は、Web サービス URL の完全なホスト名部分を指定します。 たとえば、https://myorg.crm.dynamics.com/main.aspx の URL の場合、ホスト名部分は myorg.crm.dynamics.com です。
[次に] セクションで、出力要求の種類に対して、[種類を選択] をクリックし、次に http://docs.oasis-open.org/wsfed/authorization/200706/claims/action アイテムをドロップダウン リストから選択します。
出力要求値について、[値の入力] を選択し、出力要求の Send 値を入力します。
ルールの説明を追加します (任意)。 たとえば、「Contoso の組織が Microsoft Azure サービス バス に送信することを許可」と入力できます。
保存 をクリックします。
スコープの構成
以下の手順では、通常モードの投稿の場合の ACS の Microsoft Azure サービス バス のスコープを、Microsoft Dynamics 365 で構成する方法を説明します。 スコープを定義することにより、サービス名前空間へのアクセスがさらに制限されます。
[信頼関係] で、[証明書利用者アプリケーション] を選択し、次に [追加] をクリックします。
[証明書利用者アプリケーションを追加] ページで、証明書利用者の表示名を入力します。 たとえば、internal を入力します。 この名前はスコープ名です。
Microsoft Azure サービス エンドポイントのレルム URI を入力し、https://crmsdkdemo.servicebus.windows.net/internal などの、スコープ名を追加します。
戻り先 URL を入力します。これは、入力したレルム URI と同じ値にすることもできます。
[SAML 2.0] のトークン形式を選択します。
トークンの有効期間の値を任意に増やすこともできます。
[Windows Live ID] ID プロバイダーが選択されていることを確認します。
前に作成したルール グループの名前を選択します。 自分のルールの隣のチェック ボックスが透かした状態で表示される場合は、最初に現在チェックしているチェック ボックスをクリアし、次に自分のルールのチェック ボックスを選択します。
保存 をクリックします。
重要
フェデレーション モードを使用している場合、プロセスはこのチュートリアルで説明しているプロセスと似ています。 発行者を追加し、Uri に固有のスコープの作成 (推奨) または新しいベース スコープの作成を行うことができます。 -sb スコープと non-sb スコープの両方を構成する必要があります。 発行者を作成するためにトークン ポリシーを作成する必要もあります。
関連項目
Microsoft Dynamics 365 の Azure 拡張機能
チュートリアル: Microsoft Azure との統合のための Dynamics 365 の構成
Azure と Microsoft Dynamics 365 との統合の構成
ACS 管理ポータル
Microsoft Dynamics 365
© 2017 Microsoft. All rights reserved. 著作権