Dynamics CRM com o Windows Essentials AD + Azure AD

2

Estou tentando configurar uma nova instalação do Dynamics CRM 2016 no local com autenticação baseada em declarações para o SharePoint Online (Office 365) e acesso à Internet.

Atualmente, temos um controlador de domínio do Windows 2012 R2 Essentials sincronizando com o Office 365. Estou ciente de que não devemos alterar senhas em nenhum serviço on-line, mas usar a conta local para sincronizar a nova senha.

Na época, queríamos ser o mais enxutos possível em termos de configuração no escritório, então o Essentials era a escolha óbvia, mas agora acho que é essencial demais quando você quer adicionar outros serviços! Isso está correto?

Eu vi este artigo, link , que explica como aproveitar o ACS para a federação de declarações do CRM, que classificaria o login do CRM.

Mas estou um pouco preocupada em lançar isso sem ter um único logon configurado no diretório. por exemplo. sincronize a senha do Azure para o onprem AD e, aparentemente, isso não é possível com essa configuração, consulte link

Antes de me comprometer a usar o ACS (disponível somente no Azure premium), desejo garantir que também possamos fazer logon único no diretório, ou se precisarmos migrar para um novo diretório. DC (não no essencial) e usar o AADConnect em vez disso? Consulte o link que inclui um ADFS e, portanto, não precisa do ACS.

Estou apenas misturando conceitos? A minha preocupação é infundada?

Alguém já conseguiu fazer esse tipo de configuração antes?

Qualquer ajuda sobre isso seria muito apreciada.

    
por Pedro Costa 18.12.2015 / 17:59

1 resposta

2

Considere isso com cautela, pois não tenho muita exposição diretamente no servidor do Essentials.

A configuração mais simples para o gerenciamento de senhas é usar o Azure AD Sync (instalado em um servidor separado, não essencial) com o Azure AD Premium. Isso suporta dois modos de suporte a hash de senha. O CRM não leva em consideração a equação aqui para que isso funcione. Você pode desabilitar o gerenciamento para o servidor Essentials e, em seguida, usar essa opção, mas perde o painel sofisticado e as ferramentas de gerenciamento.

Eu também faria isso depois de horas - não sei os detalhes de como isso quebra a conexão ou o efeito que isso terá sobre os usuários. Depois que você iniciar o Azure AD Sync, ele poderá corresponder aos usuários existentes. Você também pode tentar isso antes de desabilitar o servidor essencial (apenas não habilite a sincronização de senha).

Dependendo do seu navegador e de como o CRM é configurado, você pode ter o que parece SSO (se os creds forem passados diretamente), porque as senhas são compartilhadas, mas não é realmente SSO, é claro. Você pode manter essa configuração e publicar o CRM através de um serviço de proxy de aplicativo também disponível no Azure neste momento para rotear toda a autenticação através do Azure AD.

Para configuração de SSO

Você está seguindo o caminho correto. Você pode testar essa configuração hoje sem alterar a configuração de sincronização do servidor essencial. A única coisa que você não terá é o suporte a write-back de senha.

Para obter a gravação de senha, é necessário desativar a sincronização no seu servidor essencial e usar a ferramenta Azure AD Connect. Você também precisa da assinatura do Azure AD Premium e, em seguida, pode redigitar a senha.

    
por 22.12.2015 / 17:29