我正在尝试使用Sharepoint Online(Office 365)的基于声明的身份validation和面向Internet的访问,在本地安装上configuration新的Dynamics CRM 2016。
我们目前有一个Windows 2012 R2 Essentials域控制器与Office 365同步,我知道我们不应该更改任何在线服务的密码,而是使用本地帐户,以便同步新的密码。
当时我们希望在办公室的设置方面尽可能地精益,所以Essentials是明智的select,但是现在我认为当你想要添加其他服务时,这是非常重要的! 那是对的吗?
我见过这篇文章,它解释了如何利用ACS来处理CRM的主张联邦,这将整理CRMlogin。
但是我略微担心没有在目录中configuration单一login的情况下将其展开。 例如,将密码从Azure同步到onprem AD,显然这不适用于此设置,请参阅https://social.technet.microsoft.com/Forums/windowsserver/en-US/97cdba31-afda-49a0-bd71-cdd408b22fe6 / Windows的服务器-2012-R2-要领,和蔚蓝的主动目录同步工具?论坛= winserveressentials
在我承诺使用ACS(仅在Azure高级版中提供)之前,我想确保我们也能够在整个目录中实现单点login,或者如果我们需要迁移到新的DC(不是在要领),并使用AADConnect来代替? 请参阅https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect/ ,其中包含ADFS,因此不需要ACS。
我只是混合概念? 我的担忧是没有根据的吗?
有没有人能够做这种设置之前?
任何帮助,将不胜感激。
因为我没有直接与Essentials服务器进行大量的接触,所以select一点盐。
仅用于密码pipe理的最简单的设置就是使用Azure AD Premium(安装在不是基本服务器的单独服务器上)。 这支持双向口令哈希支持。 客户关系pipe理甚至没有考虑到这个方程式的工作。 您可以禁用Essentials服务器的pipe理,然后使用此选项,但是会丢失奇特的仪表板和pipe理工具。
我也会在几个小时后做这个 – 我不知道它是如何破坏连接的细节,或者对用户有什么影响。 一旦启动Azure AD Sync,它应该能够匹配现有的用户。 您也可以在禁用Essentials服务器之前尝试此操作(只是不要启用密码同步)。
根据您的浏览器以及CRM如何configuration,您可能会看到SSO(如果直接传递信用),因为密码是共享的,但它当然不是真正的SSO。 您可以保留此设置,并通过此时Azure中可用的应用程序代理服务发布CRM,以通过Azure AD路由所有身份validation。
对于SSO设置
你正走向正确的道路。 您今天可以试用此设置,而无需更改您的Essentials服务器同步设置。 唯一缺乏的是密码回写支持。
要获取密码写回,您需要禁用基本服务器上的同步并使用Azure AD Connect工具。 您还需要Azure AD Premium订阅,然后才能将密码写回。