ADFS – Impossível de aceder ao Dynamics CRM 2011 Web Site com Autenticação Federada

  • Article

O que é o AD FS?

https://technet.microsoft.com/pt-pt/library/cc736690(v=ws.10).aspx

 

Durante a utilização da Autenticação através de ADFS, poderá ocorrer esporadicamente a impossibilidade de acesso às Organizações do Dynamics CRM 2011.

A autenticação baseia-se em Certificados entre as duas partes, Dynamics CRM e AD FS.

De modo geral, um Certificado, quando criado, tem uma data de expiração. Quando expirado, torna-se impossível a utilização da Aplicação Web que o está a referenciar.

Especificamente, o AD FS faz uma gestão dos certificados na sua aplicação do seguinte modo:
 

Quando adicionado o certificado à aplicação, de Token-decrypting e Token-signing, irão apresentar a seguinte configuração:

A data de Expiração das propriedades Token-decrypting e Token-signing, tem validade de um ano (por defeito) e isto irá causar problemas quando não for devidamente atualizado.

 

Aqui estão algumas propriedades importantes que se pode obter com a seguinte comando de PowerShell:

Add-PSSnapin Microsoft.Adfs.PowerShell

Get-ADFSProperties

 

CertificateDuration: 365 Dias. Ao fim de 365 dias, o Token-decrypting e Token-signing expira.

CertificateGenerationThreshold: 20 dias antes de o certificado expirar, um segundo certificado é criado e vai ser apresentado na imagem anterior.

CertificatePromotionThreshold: Os Certificados são trocados: o secundário para a ser o primário, e o primário a ser o secundário.

 

Esta é a causa da Aplicação Dynamics CRM se tornar inacessível. Existe uma discrepância entre a informação dos certificados no ADFS (Federation Medatada) e o Dynamics CRM.

Para atualizar a informação no Dynamics CRM 2011, temos de configurar novamente a Claims-Based Authentication e o Internet-Facing Deployment:

Abrir o Deployment Management no Servidor onde está instalado o Dynamics CRM 2011.

Clicar em Disable Internet-Facing Deployment e depois em Disable Claims-Based Authentication.

Clicar em Configure Claims-Based Authentication e siga o assistente de configuração até ao final, sem modificar qualquer propriedade, pois não é necessário.

Depois clique em Configure Internet-Facing Deployment e siga do mesmo modo o assistente de configuração.

Por linha de comandos, corra o seguinte comando: iisreset /noforce

Aceda normalmente à Organização de Dynamics CRM no seu browser.

 

Mais informação: 

An error occurs in Microsoft Dynamics CRM 2011 using Claims Based Authentication: "401 Unauthorized Access is Denied"

https://support.microsoft.com/kb/2686840 

 

Espero ter ajudado.

 

Pedro.