Estou enfrentando desafios para fazer login no CRM a partir do cliente Outlook quando o usuário não reside no Active Directory.
Alguns de nossos usuários de CRM não possuem credenciais do Active Directory. Em vez disso, eles efetuam login em um ambiente IBM Websphere usando credenciais LDAP. Configuramos o CRM para IFD e implantamos o Shibboleth Idp para atuar como o provedor de identidade para o ADFS / CRM para esses usuários. O logon único da Web (federação passiva) no CRM para esses usuários funciona perfeitamente.
O cliente do Outlook para CRM, no entanto, usa ws-trust (federação ativa) para autenticação e não federação passiva da mesma forma que o navegador. Infelizmente, o Shibboleth Idp não suporta ws-trust, por isso preciso de um serviço de token de segurança (STS) ws-trust diferente para permitir que nossos usuários LDAP usem o cliente Outlook.
Eu testei alguns servidores STS ws-trust diferentes (OpenAM, Thinktecture Identity Server V2.0), mas sem sucesso. Toda a documentação relacionada à autenticação baseada em declarações do CRM parece centralizar-se em torno do logon único da Web e não aborda a federação ativa com o cliente Outlook. A única informação que consegui reunir em torno desse problema é especificar a configuração de registro HomeRealmUrl na chave HKLM \ SOFTWARE \ Policies \ Microsof \ MSCRMClient. A maioria dos blogs / fóruns que mencionam isso parece se referir à especificação do ponto de extremidade da federação ativa de outro servidor do ADFS com o Active Directory. Nenhum que eu encontrei parece ter integrado um STS ws-trust não-ADFS.
Eu tentei especificar o valor de HomeRealmUrl, mas sem qualquer documentação sobre os tipos de vinculação que o cliente do Outlook espera do STS, ele é um sucesso e um erro, na melhor das hipóteses.
Alguém implantou com êxito um CRM IFD onde usuários de um diretório não ativo provedor de declarações do ADFS podem entrar no cliente CRM Outlook? Em caso afirmativo: