включение IFD

[Eugene.Ostroukhov]

Всем привет.

Хотим на своем CRM 2011 включить IFD.
Все пользователи - мемберы корпоративной AD.

Какие риски можем понести, насколько трудоёмко переделывать кастомный код (сервисы, UI и пр.), работающий с сервисами СРМ, и вообще необходимо ли это будет для новой авторизации (claims)?

Или "переход" будет заключаться исключительно в настройке Claims auth в деплоймент менеджере и включении IFD там же, без каких-то других трудозатрат?

[a33ik]

Цитата:

Сообщение от Eugene.Ostroukhov

Какие риски можем понести, насколько трудоёмко переделывать кастомный код (сервисы, UI и пр.), работающий с сервисами СРМ, и вообще необходимо ли это будет для новой авторизации (claims)?

Скорее всего необходимо будет немного изменить механизм аутентификации внешних сервисов. Остальное должно работать без проблем (я имею ввиду клиентский код, JS и т.п.) если код написан в соответствии с SDK.

[Eugene.Ostroukhov]

что подразумеватся под внешними сервисами?
мои собственные ? сторонние интеграции ?

[a33ik]

Цитата:

Сообщение от Eugene.Ostroukhov

кастомный код (сервисы, UI и пр.)

Цитата:

Сообщение от Eugene.Ostroukhov

что подразумеватся под внешними сервисами?
мои собственные ? сторонние интеграции ?

Именно так я это прочитал.

[Eugene.Ostroukhov]

отлично, спасибо большое!

[Артем Enot Грунин]

Цитата:

Сообщение от Eugene.Ostroukhov

Или "переход" будет заключаться исключительно в настройке Claims auth в деплоймент менеджере и включении IFD там же, без каких-то других трудозатрат?

Переход будет заключаться в серьезных изменениях вашего IT ландшафта за счет внедрения службы ADFS. Понадобится как минимум грамотный администратор, который поймет как безопасно выставить все необходимое хозяйство в DMZ, настроить все эти нужные связки SPN и DNS ключей, причем так чтобы все корректно работало как изнутри, так и снаружи.
Если такой человек есть - вашему коду ничего не угрожает, все пользователи и службы внутри сети не почувствуют перемен.

Опять же, если вы не использовали различные извращения с режимом совместимости с CRM 4.0 и некоторые примеры из SDK.

[Eugene.Ostroukhov]

http://www.interactivewebs.com/blog/...-hosted-setup/
взяли за основу эту статью.
теоретически, если верить вечно врущим админам (что мол они-то уж точно все сделали и все работает), дошли до "раздела" Test claims-based authentication within the access.

перевели биндинг сервисов (главные св-ва в депл.менеджере) на https и это приводит вот к какой штуке:
в XrmServices/2011 3 сервиса:
Organization.svc
Discovery.svc
OrganizationData.svc (это оДатаСервайс который, очень сильно используется нами из жабоскрипта)
так вот, почему-то при одной и той же конфигурации биндинга в ИИСе сайта СРМа, биндингов сервисов в депл.манагере - первые два открываются всегда (банально в браузере), третий - выдает HTTPшную 404 ошибку(not found).

никаких заумных настроек сайта СРМ и отдельно этой папки не было.
т.е. это просто фолдер внутри сайта СРМ, висящий под тем же пуллом, что и сам СРМ (более точно даже скажу - что в том же пуле, раз это просто фолдер)

так вот, может подскажете с чем это может быть связано?

[Eugene.Ostroukhov]

сейчас - еще и корневой сайт самого СРМа так же выдает 404 после ввода логина-пароля к adfs

[Likefire]

Цитата:

Сообщение от Eugene.Ostroukhov

сейчас - еще и корневой сайт самого СРМа так же выдает 404 после ввода логина-пароля к adfs

Ловите описание ошибки. Из собственного опыта могу сказать, что все возникавшие с ADFS и настройками IFD траблы разрешались с помощью гугла, в случаях, когда описание ошибки было системным.

Вряд ли Вам кто-то подскажет по общему описанию, поскольку такая штука как IFD настраивается как правило однажды и происходит в общей практике достаточно редко. Залог хорошей работы этого дела - умело настроенный ADFS.

[Eugene.Ostroukhov]

http://community.dynamics.com/crm/f/117/t/112074.aspx
по совету отсюда, убрали хттп-бинндинг, выдали прямой внешний IP и все заработало, спустя 6 часов мучений (раньше было за каким-то балансиром).
фух...