配置 Azure Active Directory 联合概述

本节提供有关将 Lexmark 云服务与 Microsoft Azure Active Directory 联合的信息。如需更多信息，请与 Lexmark 专业服务团队联系。

先决条件

在开始之前，请确保您对以下门户具有管理员访问权：

• Microsoft Azure Active Directory

• Lexmark 云服务

了解联合

联合是在客户的身份提供者 (IdP) 和外部服务（例如 Lexmark 云服务）之间创建信任关系的过程。以下是 IdP 的示例：

• Microsoft Azure Active Directory

• Google 身份

• 任何符合 SAML 2.0 的身份管理系统

建立信任关系后，用户可以使用相同的用户名和密码访问 Lexmark 云服务，访问其他内部站点和服务。客户的 IdP 管理凭证管理的所有方面，例如密码验证、复杂性要求、到期和多因素身份验证的潜在用途。IdP 还支持单点登录 (SSO)，这减少了用户在服务之间切换时需要进行验证的次数。

用户体验

使用 IdP 的客户环境

用户第一次访问 Lexmark 云服务时，会出现一个电子邮件地址提示，然后将用户重定向到 IdP。

如果用户已经登录到 IdP 并且它支持 SSO，则用户不需要输入密码。防止了多因素验证的难题。此过程为最终用户创造了快速登录体验。

没有 IdP 的客户环境

如果用户尚未登录 IdP，则会出现用户名和密码提示。遇到多因素验证的难题。登录后，用户被重定向到 Lexmark 云服务。

联合登录的工作流程

1. Lexmark 云服务请求用户的电子邮件地址。此信息让 Lexmark 云服务确定用户在 Lexmark 云服务中的组织。

   注意： 组织的联合设置包括客户身份提供程序的 URL。

2. Lexmark 云服务将用户重定向到 IdP。Lexmark 云服务传递实体 ID 字段。

3. IdP 使用实体 ID 确定哪些设置适用于此登录尝试。根据设置，IdP 对用户名和密码进行验证，并可能执行多因素验证。如果 IdP 支持 SSO，并且用户已经登录到 IdP，则用户会自动登录。

4. IdP 将用户重定向到 Lexmark 云服务并传递以下预定义声明：

   • 用户名

   • 电子邮件地址

   • 组织

   • 可选信息，例如用户的部门和成本中心

   IdP 使用私有证书签署这些声明。

5. Lexmark 云服务已预先配置了公共证书，并使用它来验证此信息是否来自预期的来源。此过程让 Lexmark 云服务信任 IdP 传递的信息并完成登录过程。

配置 Azure Active Directory

下面的图片在实际情况中可能会有所不同。

1. 从 Azure 门户中，导航到 Azure Active Directory。

   

2. 单击企业应用程序 > 新应用程序。

   
   

3. 单击创建您自己的应用程序 > 集成您在图库中找不到的任何其他应用程序（非图库）。

   

4. 键入应用程序名称。

5. 从企业应用程序概述屏幕中，单击设置单点登录，然后选择 SAML。

   
   

6. 从基本 SAML 配置部分中，配置以下设置：

   
   注意： 从服务提供程序中获取设置。

   • 标识符（实体 ID）

     注意： 默认的 Lexmark 云服务实体 ID 为 https://idp.iss.lexmark.com。确保 Azure 中的实体 ID 与 Lexmark 云服务门户中的实体 ID 匹配。

   • 回复 URL（断言用户服务 URL）

     以下是完整回复 URL 的示例，具体取决于您所在的位置：

     • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     注意： 要确定 organization_id 参数的值，请登录到 Lexmark 云服务门户，然后单击帐户管理。organization_id 将出现在 URL 中。
     

7. 从用户属性和声明部分中，单击编辑.

   

8. 单击添加新声明，然后键入每个声明的名称和来源。

   

   必需的声明

   属性	来源	命名空间
   firstname	user.givenname	将此字段留空。
   lastname	user.surname	将此字段留空。
   email	user.mail	将此字段留空。

   
   

   可选声明

   属性	来源	命名空间
   badge	您的组织的来源属性	将此字段留空。
   pin	您的组织的来源属性	将此字段留空。
   costCenter	您的组织的来源属性	将此字段留空。
   department	user.department	将此字段留空。

   
   

9. 从SAML 签名证书部分中，执行以下操作：

   • 下载 Base64 证书。

   • 复制登录和注销 URL。

   

10. 根据您的 Azure 配置，将用户分配给创建的企业应用程序。

    

11. 保存设置。

配置“Lexmark 云服务”

1. 在“帐户管理”Web 门户中，单击组织 > 验证提供程序 > 配置验证提供程序。

   

2. 从域部分中，键入身份提供者的域，然后单击添加。

   

3. 从单点登录设置部分中，在以下字段中键入正确的信息：

   • 服务提供商实体 ID

     注意： 默认的 Lexmark 云服务实体 ID 为 https://idp.iss.lexmark.com。确保 Azure 中的实体 ID 与 Lexmark 云服务门户中的实体 ID 匹配。

   • SSO 目标 URL - 您创建的 Azure 企业应用程序的登录 URL。

   • SSO 注销 URL - 此 URL 确定用户注销 Lexmark 云服务门户时的行为。

     • 如果您希望用户完全注销您的 Azure 租户，请键入您创建的 Azure 企业应用程序的注销 URL。

     • 如果您希望用户仅注销 Lexmark 云服务，请键入另一个 URL。URL 可以指向您维护的页面（“您已成功退出”），也可以为您的组织使用适当的 Lexmark 云服务登录页面。根据您所在的位置，该 URL 可以是 https://idp.us.iss.lexmark.com 或 https://idp.eu.iss.lexmark.com。

4. 在证书字段中，从身份提供程序的令牌签名证书中复制并粘贴 base-64 证书密钥。

   

   如果您有一个包含 URL 和证书数据的 metadata.xml 文件，请手动添加页眉和页脚。

   -----BEGIN CERTIFICATE---- MIIC8DCCAdigAwIBAgIQdzA… -----END CERTIFICATE-----

5. 单击配置验证提供程序。

   注意： 不要退出 Lexmark 云服务门户，也不要让该门户超时。您可能无法登录以纠正您在测试时发现的任何问题。

访问“Lexmark 云服务”

让任何用户使用以下方法之一登录，以此来测试联合设置：

• 通过同一工作站上的不同浏览器登录。

• 通过同一工作站上的私人或隐身浏览器窗口登录。

• 让另一个用户从他们的工作站登录。

1. 使用 Lexmark 代表提供的正确 URL 访问 Lexmark 云服务。

   

2. 在身份提供程序中，键入您的用户名和密码。

   
   注意： 用户名必须是您的完整电子邮件地址。如需更多信息，请参阅访问“Lexmark 云服务”仪表板。