Dynamics CRM 2011 クレームベース認証構成のポイント

Article
12/14/2011

みなさん、こんにちは。

今回は管理者向けの情報として Dynamics CRM 2011 の
クレームベース認証構成に関するポイントを紹介します。構成が
うまく行かない方は是非ご覧ください。

尚、クレームベース認証構成の手順書は以下のリンクに資料があります。(英語)

Microsoft Dynamics CRM 2011 and Claims-based Authentication.doc

クレームベース認証構成時に検討が必要なもの

クレームベース認証の構成を行う際、事前に検討が必要なものが
いくつかあります。以下に項目および検討事項を紹介します。

アドレス

クレームベース認証を構成する場合、以下のアドレスを事前に
検討してください。

- AD FS 2.0 用の URL
- Windows 統合認証用 Dynamics CRM URL
- インターネットに接続する展開用の URL

尚、インターネットに接続する展開用の URL には以下のものが
含まれます。

1. <組織名>.<ドメイン名>:<ポート番号>
特定の組織にアクセスするための URL です。組織名部分は組織作成時に
指定したものになるため、どうしても変更する場合は組織の再インポートが
必要となります。

2. auth.<ドメイン名>:<ポート番号>
インターネットに接続する展開に関する設定を持つアドレスです。

3. dev..<ドメイン名>:<ポート番号>
インターネットに接続する展開で利用する検出 Web サービスのアドレスです。

これらの URL は重複することが許されません。例えば組織名が CRM
である場合、インターネットに接続する展開で利用するアドレスは
CRM.<ドメイン名>:<ポート番号> となります。この場合、同じアドレスを
Windows 統合認証用のアドレスには利用できません。

DNS の登録

上記アドレスで利用する名前は、通常サーバー名とは異なるため、
DNS に新規登録が必要です。特にインターネットに接続する展開用の
URL は登録を忘れることが多いようです。

Service Principal Name の登録

利用するアドレスにもよりますが、AD FS 2.0 のアドレスでサーバー名とは
異なる名前を利用する場合、 SPN の登録が必要となります。SPN の登録
に関しては、IIS のバージョンや設定とも関連が深いため、以下の記事を
参考にしてください。

サービスプリンシパル名の登録

Service Principal Name (SPN) checklist for Kerberos authentication with IIS 7.0/7.5

証明書の検討

クレーム認証構成では HTTPS 通信が必須です。そのため HTTPS に
対応すべく証明書が必要となります。またやり取りするクレーム自体
暗号化するための証明書も必要となります。検証環境では共有の
証明書が利用できますが、本番ではセキュリティの観点から、分離する
ことをお勧めします。

各種アプリケーションの構成変更

クレーム認証構成後、Outlook クライアントや電子メールルーター等
Dynamics CRM 2011 を利用するアプリケーションを再構成する必要が
あります。

クレームベース認証構成時のポイント

次にクレームベース認証構成時に失敗しやすいポイントを紹介します。

Dynamics CRM 2011 HTTPS 対応

Dynamics CRM 2011 を HTTPS 対応にする場合は、IIS および展開
マネージャーでの設定が必要です。ポイントは以下の 3 点です。

1. IIS マネージャのバインド設定で、正しい証明書およびポートが
指定されているか。また HTTPS プロトコルのバインドが 1 つだけか。

以下の例では、ポートは 444、証明書はワイルドカード証明書を
指定しています。

2. 展開マネージャーの設定ができているか。展開マネージャー
起動後、トップノードを右クリックしてプロパティを確認。Web
アドレスタブに正しいアドレスを指定します。

以下の例では、Windows 統合認証用のアドレスとして
https://crm2011.contoso5.local:444/\<組織名> を利用する前提です。また
全ての Web サービスに同じ名前を利用しています。
※設定後は必ず IISRESET を行ってください。

3. 利用する証明書の秘密キーにアクセス権があるか。
MMC にローカルコンピューターの証明書スナップインを追加して
個人 | 証明書にある証明書を確認しまます。

証明書を右クリック | すべてのタスク | 秘密キーの管理より
Dynamics CRM 2011 サービス実行アカウントがキーに対する
アクセス権があるか確認してください。

クレームベース認証の構成

展開マネージャーよりクレームベース認証の構成が行えます。
その際以下の 3 点を注意してください。

1. フェデレーションメタデータ URL
ウィザードで指定するフェデレーションメタデータの URL に
正しい名前を入力してください。事前にブラウザよりアクセスが
可能か確認することをお勧めします。

※アクセス自体ができない場合、AD FS 2.0 サーバーで正しい
ポートを開いているか確認してください。
※ Internet Explorer 9 を利用している場合、空白の画面が
表示される場合があります。互換表示を試してください。

2. 証明書の指定
クレームの暗号化に利用する証明書を指定します。ここでは
自己署名も利用可能ですが、秘密キーに対するアクセス権が
正しく設定されているか確認してください。

※指定した証明書が見つからないと表示される場合、同一
名称の証明書が存在しないか確認してください。特に自己署名
の証明書を利用している場合は同一名称の証明書が作成されます。
利用するもの以外は削除してください。

※証明書の名前が 256文字を超えるとエラーとなります。
その場合は名前の短い証明書を利用してください。
https://support.microsoft.com/kb/2496441

3. 構成完了後、IISRESET をしてください。

AD FS 2.0 の構成

Dynamics CRM 2011 での構成が完了したら、AD FS 2.0
に証明書利用者信頼を追加します。その際は以下の 2 点を
注意してください。

1. 要求プロバイダー信頼に UPN の定義を設定
既定では Active Directory より UPN が返されません。
AD FS 2.0 管理コンソール | 信頼関係 | 要求プロバイダー信頼 |
Active Directory 右クリック | 要求規則の編集より、UPN のルール
が追加されている確認してください。