CRM-service Active Directory Integration

CRM-service Active Directory Integration

Allgemeines

Dieses Dokument beschreibt das High-Level-Design der Active Directory-Integration. Die Implementierung der AD-Integration, die in diesem Dokument behandelt wird, enthält keine Single-Sign-On-Funktionalität.

Alle Nutzer, die Zugriff auf das CRM-service haben, gehören auch zu einer bestimmten CRM-Nutzergruppe im Active Directory. Das Active Directory enthält keine Rollen, Nutzerrechte oder Berechtigungen des CRM-service.

Allgemeine Einschränkungen

Der Active Directory-Server verwendet den Domänenmodus von Windows Server 2003/2008. Die Kommunikation zwischen CRM-service und dem AD ist durch SSL gesichert.

Automatischer Benutzererstellungsprozess

Die AD-Integration erstellt Nutzerbasisinformationen automatisch zum CRM-service, nachdem der Nutzer mit einer CRM Active Directory-Gruppe verbunden wurde. Die automatische Benutzererstellung erfolgt als Batch, der periodisch ausgeführt wird (siehe Abbildung unten).

Authentifizierungsprozess

Der Authentifizierungsprozess des CRM-Dienstes ist in der folgenden Abbildung beschrieben.

Nutzer werden immer gegen AD authentifiziert, wenn die im CRM-service gespeicherten Nutzeranmeldeinformationen aus dem AD-Nutzersynchronisierungsprozess stammen. Die Nutzer, die nicht vom AD-Nutzersynchronisierungsprozess erstellt werden, werden immer mit ihrer CRM-service Anmeldung und Passwort authentifiziert.

Die AD-Authentifizierungsabfrage erfolgt mithilfe des AD-Attributs UserPrincipalName, um den Nutzer zu identifizieren. Es wird angenommen, dass die Nutzeranmeldung für CRM-Dienste unter dem UserPrincipalName des Nutzers erfolgt.

Die AD-Berechtigungsprüfung besteht aus zwei verschiedenen Prüfungen:
1. Nutzeranmeldung und Passwort müssen korrekt sein
2. Der Nutzer muss zur CRM AD-Gruppe gehören.

Wenn beide Bedingungen erfüllt sind, kann sich der Nutzer anmelden.

Das Kennwort des AD-Nutzers wird niemals auf der CRM-service Seite gespeichert.

Fehlerbehandlung

Wenn der CRM-Dienst keine Verbindung zum AD-Server des Kunden herstellen kann, können sich Nutzer, die einen AD-Nutzernamen haben, nicht im CRM anmelden.

Combined Shape