逐步解說:設定 Microsoft Azure ACS 與 Microsoft Dynamics CRM 2015 整合

  • 發行項

 

發行︰ 2016年11月

適用於: Dynamics CRM 2015

此逐步解說引導您設定 Microsoft Azure Active Directory 存取控制服務 (ACS) 2.0 簽發者、範圍,以及允許接聽程式應用程式讀取張貼至 Microsoft Azure 服務匯流排 的 Microsoft Dynamics 365 訊息。 此逐步解說適用於 Microsoft Dynamics 365 任何部署類型的整合。

提示

在 SDK 所提供的外掛程式註冊工具是基本情況下自動化 ACS 設定的建議方法。 請參閱主題 逐步解說:利用 CRM 外掛程式註冊工具來註冊 Azure 感知外掛程式 中名為的「ACS 設定」一節,以取得如何使用工具設定 ACS 的指示。 如需更進階的案例,將需要使用本主題中後面說明的 Azure 管理入口網站。下載 Microsoft Dynamics CRM SDK 套件。

做為此逐步解說的先決條件,如果您執行 Microsoft Dynamics CRM 2015 (內部部署或 IFD),請設定 Microsoft Dynamics CRM 2015 與 Microsoft Azure 整合。 如需詳細資訊,請參閱逐步解說:使用 Microsoft Azure 設定整合 CRM。Microsoft Dynamics CRM Online 會針對 Microsoft Azure 整合預先設定。

本主題內容

建立新服務命名空間

建立服務識別 (簽發者)

建立規則群組以及規則

設定範圍

建立新服務命名空間

如果您有想要使用的現有 ACS 版本 2 服務命名空間,請繼續名為 建立服務識別 (簽發者) 的下一節。

警告

請勿使用 Microsoft Azure 入口網站以建立用於 Dynamics CRM 的服務命名空間。 入口網站會建立 SAS 命名空間,但 CRM 需要 ACS 命名空間。

使用 PowerShell 命令建立新的服務命名空間

  1. 下載並安裝 Microsoft AzurePowerShell 模組。其他資訊:如何安裝和設定 Azure PowerShell

  2. 從 [開始] 功能表,開啟 Microsoft AzurePowerShell 程式並輸入下列命令。

    > Add-AzureAccount
> New-AzureSBNamespace –Name YOUR_NAMESPACE -Location "YOUR_LOCATION" -CreateACSNamespace $true

    注意

    AzurePowerShell 0.8.9 版或更新版本支援 New-AzureSBNamespace 命令的 –CreateACSNamespace 參數。 如果您安裝的 AzurePowerShell 版本不支援 –CreateACSNamespace 參數,請安裝最新版本。 若要查看您使用的 AzurePowerShell 版本,請輸入命令 Get-Module Azure。

    新版命令可能會支援 –NamespaceType 參數。 如果有的話,請使用 –NamespaceType Messaging

    在您輸入 Add-AzureAccount 後,會提示您提供 Azure 訂閱的登入認證。 使用適當的命名空間名稱來替代 YOUR_NAMESPACE 與適當的位置來替代 YOUR_LOCATION。 支援的位置為:Central USEast USEast US 2North Central USSouth Central USWest USNorth EuropeWest EuropeEast AsiaSoutheast AsiaBrazil SouthJapan EastJapan West

在您輸入這些命令之後,會建立命名空間,而且您應該會看到類似下列文字的輸出。

Name                  : mynamespace
Region                : Central US
DefaultKey            : 1eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=
Status                : Active
CreatedAt             : 8/25/2014 3:36:47 PM
AcsManagementEndpoint : https://mynamespace-sb.accesscontrol.windows.net/
ServiceBusEndpoint    : https://mynamespace.servicebus.windows.net/
ConnectionString      : Endpoint=sb://mynamespace.servicebus.windows.net/;SharedSecretIssuer=owner;SharedSecretValue=1
                        eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=

建立服務識別 (簽發者)

  1. 如果尚未這樣做,請移至 Microsoft Azure 管理入口網站 並登入。

  2. 在管理入口網站,按一下 [服務匯流排],然後在清單中選取現有命名空間。

  3. 按一下 [連線資訊]。

  4. 在表單底端,按一下 [開啟 ACS 管理入口網站]。

  5. 在 [服務設定] 下,選取 [服務識別],然後按一下 [新增]。

  6. 在 [新增服務識別] 頁面,輸入簽發者識別名稱。 這必須是 Microsoft Dynamics 365 設定所用相同的簽發者名稱。 您可以透過選擇 [設定] > [自訂] > [開發人員資源],在 Dynamics 365 Web 應用程式中尋找此簽發者名稱。

  7. 選取 [X.509 憑證] 的認證類型。

  8. 瀏覽至本機電腦上的憑證位置。 在 Dynamics 365 Web 應用程式的 [開發人員資源] 頁面,按一下 [下載憑證] 連結,取得憑證。

  9. 按一下 [儲存]。

如果您使用 Microsoft Dynamics CRM Online 並看到您從該伺服器取得的憑證已過期的指示,您可忽略此警告。

建立規則群組以及規則

為目標範圍建立規則,允許 Microsoft Dynamics 365 傳送或「張貼」至 Microsoft Azure 服務匯流排。 您可以設定 ACS 從 Microsoft Dynamics 365 輸入「組織」宣告對應至 Microsoft Azure 服務匯流排 輸出「傳送」宣告,達成這個目標。

首先,藉由執行下列步驟建立規則群組。

  1. 在 [信任關係] 下,選取 [規則群組]。

  2. 按一下 [新增]。

  3. 輸入規則群組的名稱,然後選取 [儲存]。

接著,新增宣告規則至規則群組。

  1. 在 [編輯規則群組] 頁面上,按一下 [新增]。

  2. 在頁面的 [If] 區段中,選取 [存取控制服務]。

  3. 對於輸入宣告類型,請選取 [輸入類型] 然後輸入 **https://schemas.microsoft.com/xrm/2011/Claims/Organization**。

  4. 對於輸入宣告值,請選取 [輸入值],然後輸入 Microsoft Dynamics 365 組織的名稱。

    針對網際網路對向部署或內部部署,以小寫字母輸入期望組織唯一名稱。 在 Dynamics 365 Web 應用程式的 [開發人員資源] 頁面上,[組織唯一名稱] 旁邊找到此名稱。 若要瀏覽至 Dynamics 365 的該頁面,請選擇 [設定] > [自訂] > [開發人員資源]。

    對於 Microsoft Dynamics CRM Online 部署,指定 Web 服務 URL 的完整主機名稱部分。 例如,如果 URL 為 https://myorg.crm.dynamics.com/main.aspx,則主機名稱部分為 myorg.crm.dynamics.com。

  5. 在 [Then] 區段,對於輸出宣告類型,按一下 [選取類型],並從下拉式清單中選取 http://docs.oasis-open.org/wsfed/authorization/200706/claims/action 項目。

  6. 對於輸出宣告值,請選取 [輸入值],然後輸入輸出宣告的 Send 值。

  7. 新增規則描述 (選擇性)。 例如,您可以輸入:「允許 Contoso 組織傳送給 Microsoft Azure 服務匯流排」。

  8. 按一下 [儲存]。

設定範圍

下列步驟說明如何為 Microsoft Dynamics 365 一般模式張貼,設定 ACS 的 Microsoft Azure 服務匯流排 範圍。 定義範圍更限制服務命名空間的存取權。

  1. 在 [信任關係] 下,選取 [信賴憑證者信任],然後按一下 [新增]。

  2. 在 [新增信賴憑證者應用程式] 頁面,輸入信賴憑證者的顯示名稱。 例如,輸入 internal。 這個名稱是範圍名稱。

  3. 輸入您的 Microsoft Azure 服務端點領域 URI 及附加範圍名稱,例如,**https://crmsdkdemo.servicebus.windows.net/internal**。

  4. 輸入傳回 URL,可與剛才輸入的領域 URI 值相同。

  5. 選取權杖格式 [SAML 2.0]。

  6. 您可選擇性地提高權杖存留期值。

  7. 確定已選取 [Windows Live ID] 身分識別提供者。

  8. 選取先前建立的規則群組名稱。 如果在您的規則旁邊的核取方塊為鬼影,請先清除目前勾選的核取方塊,然後選取您規則的核取方塊。

  9. 按一下 [儲存]。

重要

如果您使用同盟模式,程序類似於本逐步解說描述。 您可以新增簽發者,並建立 Uri 特定的範圍 (建議) 或新的基本範圍。 您需要設定 –sb 和非 –sb 範圍。 您也可能需要建立簽發者建立的權杖原則。

另請參閱

Microsoft Dynamics CRM 2015 Azure 擴充功能
逐步解說:使用 Microsoft Azure 設定整合 CRM
設定 Azure 與 Microsoft Dynamics CRM 2015 整合
ACS 管理入口網站

© 2017 Microsoft. 著作權所有,並保留一切權利。 著作權