关于基于声明的身份认证

关于声明认证 CRM 4.0 使用集成的Windows认证方式去验证内部用户,使用表单认证方式去验证没有使用VPN的互联网用户。CRM 2011 使用基于声明的认证方式取代表单认证方式,基于声明的认证方式是一种提供简化用户登录和单点登录去访问CRM数据的一种解决方案。  基于声明的认证方式是构建在Windows用户身份识别WIF(Windows Identity Foundation)基础上,WIF是一种用于搭建支持声明认证方式和安全token服务的框架。安全token服务是基于标准的,具有互操作性的。而互操作性又是通过工业标准的协议实现的,例如WS联合服务(WS-Federation),WS信任服务(WS-Trust)以及安全断言语言(Security Assertion Markup Language 1.1)。本文是以活动目录联合服务2.0(Active Directory Federation Services 2.0)作为身份验证提供者。 在基于声明的认证方式中,身份验证提供者或者安全token服务商负责验证请求,并颁布SAML安全token,这些安全token包含了用于识别这些用户的声明,比如用户名,用户所处的组。信任方应用程序收到这些SAML的token,并使用其中所包含的声明去决定是否提供这些客户端所请求的资源。基于声明的认证方式可以用于认证本公司本组织内的用户,外部用户,来自合作伙伴的用户。 一.预备知识 在配置CRM 2011基于声明的的认证方式之前,你必须很了解一下的一些概念 ·         CRM 2011 的安装流程; ·         基于声明的认证方式中的基于Token认证; ·         AD FS 2.0的安装和配置 ·         公用密钥的管理和数字证书 参考书目 ·         Windows Server 2008 R2 Active Directory Federation Services 2.0 (http://go.microsoft.com/fwlink/?LinkId=200771) ·         AD FS 2.0 Step-by-Step and How To Guides (http://go.microsoft.com/fwlink/?LinkId=180357)…

1

CRM 4.0 用户 (users)和Active Directory的集成绑定

  FAQ1: 我们使用了Active Directory的ADMT工具做了跨域用户的迁移,从此以后那些被迁移过的用户无法登录到CRM系统中,什么原因呢? 解答: 这个 要从CRM 4.0中和AD的绑定说起。正常情况下登录的时候,用户会被IIS那里验证,传出一个WIndows AuthInfo信息,CRM平台拿到这个信息后会比对SystemUserAuthentication这个库表,对应找到UserId,通过SystemUserOrganization库表找到该user所属的Organization和在那个Organization里面的CrmUserId. 有了这个信息后读取特定的OrganizationDB的SystemUserBase库表,找到ActiveDirectoryGuid,DomainName信息, CRM然后访问Active Directory来验证自己库表里存储的信息是否和AD中的保持一致,如果不一致本次验证失败。如下图表所示黄色部分的信息都是CRM在安装配置过程中从Active Directory里面读取的数据。 如果Active Directory使用工具ADMT迁移跨域用户后,用户的ActiveDirectoryGuid不会改变,但是AuthInfo和DomainName都会变掉,导致CRM数据库里的信息和AD的信息不一致。   解决办法是: 如果你的域关系是单向信任的 (one-way trust),你需要安装Update Rollup 7. 然后使用CRM 的Deployment Manager来重新映射用户 (修改用户对应的alias,比如testDomain\name),CRM 平台会自动去Active Directory系统获取更新最新的相关信息。     FAQ2. 我们公司的AD域被重新建过了,我们备份了CRM数据库,在新的域里面安装了CRM软件和SQL server后我们把CRM数据库恢复上线。所有的用户的Alias和域名都没有更改过。但是CRM系统无法访问? 解答: 原因参见FAQ1的解释,重新建的AD域AuthInfo和ActiveDirectoryGuid都会变掉了。解决办法是使用Import Organization工具做重新部署。 具体过程参看 952934    How to move the Microsoft Dynamics CRM 4.0 deployment   如果你的CRM数据库很大并且要映射的用户很多,需要安装如下的hotfix来提高性能 The Import Organization wizard takes a…

1

CRM 4.0 Update Rollup 7发布了

微软CRM产品部今天正式发布了4.0 的Update Rollup 7补丁 以及新的UR7 Outlook Client 主要更新改进: 与以往的Update Rollup不同,除了包含一些补丁集合外 #1. 这次的UR7对CRM产品有很多重大的改进,尤其是Outlook 客户端的设计性能改进 (对安装了UR7的Outlook客户端我们称为”UR7 Client); #2. 另外UR7加入了CRM 4.0 对Windows 7, Windows Server 2008 R2 和 SQL Server 2008 R2 的支持; #3. 新加了15种语言包.  详细的更新列表请参看产品部的blog http://blogs.msdn.com/crm/archive/2009/10/22/update-rollup-7-for-microsoft-dynamics-crm-4-0.aspx 安装和注意事项 1.       UR7 Outlook Client问题http://support.microsoft.com/kb/976539 2.       UR7安装指南  http://support.microsoft.com/kb/971782 3.       安装UR7后IE客户端出现的CRM For Outlook Button  http://support.microsoft.com/kb/2004601 4.       UR7 Outlook Client首次登录时间很长http://support.microsoft.com/kb/2004583  5.       UR7 Outlook…


CRM 4.0和Windows 7的兼容性

Windows 7正式发布了,早在今年9/18CRM产品部就宣布CRM 4.0和Windows 7以及Windows 2008 R2是兼容的 (http://blogs.msdn.com/crm/archive/2009/09/18/microsoft-dynamics-crm-4-0-on-windows-7-windows-server-2008.aspx)。 售后支持部门发布了如下相关参考知识库文章:  1. CRM 4.0对Windows 2008的支持   http://support.microsoft.com/kb/950100   2. CRM 4 对SQL 2008的支持  http://support.microsoft.com/kb/957053/   3. CRM 4对Windows 7的支持 这个主要影响是针对CRM Outlook clients, 对于使用web的瘦客户端主要是IE8的变化 (参看下面的4) a) 如果你是使用CRM 4.0 RTM的CD来安装,那么你需要更新CRM 4.0 Update Rollup 7 (http://support.microsoft.com/kb/971782) b) 或者建议你下载下面这个集成了Update Rollup7的版本来安装 http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=60c4a6cc-59d7-416e-9f44-0ae8ff249768    4. CRM 4和IE8 3.0和4.0都支持IE8 http://support.microsoft.com/kb/971024/en-us   thanks -Clifford