Tato část obsahuje informace o konfiguraci služby Microsoft AD FS pro federaci pomocí Správy tisku Lexmark. Zjistěte, jak vytvořit bezpečnostní token s požadovanými deklaracemi poskytovatele zdrojů.
Tento dokument obsahuje informace o konfiguraci jazyka SAML (Security Assertion Markup Language) verze 2. Pokud se v tomto dokumentu nenachází konkrétní konfigurace, obraťte se na tým profesionálních služeb Lexmark.
Než začnete, zkontrolujte následující body:
Kroky v tomto dokumentu se provádějí na serveru Active Directory v doméně.
Server je Microsoft Windows Server 2016 s nejnovější aktualizací Service Pack.
Server má certifikát serveru a je nainstalována role AD FS.
Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Klepněte na složku služby a poté na panelu Akce klepněte na možnost Upravit vlastnosti služby federační služby.
Zadejte zobrazovaný název federační služby a poté nastavte Název federační služby na plně kvalifikovaný název domény vašeho serveru.
Do pole Identifikátor služby FS zadejte správný identifikátor. Například
.Poznámky:
Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Rozbalte složku Vztahy důvěryhodnosti a klepněte na složkuVztahy důvěryhodnosti předávající strany.
Na panelu Akce klepněte na možnost Přidat vztahy důvěryhodnosti předávající strany.
Klepněte na možnost S podporou deklarace identity > Start > Zadat data o předávající straně ručně > Další.
Zadejte zobrazený název a klepněte na tlačítko Další.
Na obrazovce Konfigurovat certifikát klepněte na tlačítko Další.
Vyberte možnost Povolit podporu protokolu SAML 2.0 WebSSO, zadejte adresu URL služby SAML 2.0 předávající strany a klepněte na tlačítko Další.
V závislosti na vaší poloze jsou níže uvedeny příklady adres URL služeb předávající strany:
https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
Zadejte identifikátor vztahu důvěryhodnosti předávající strany a klepněte na tlačítko Přidat > Další.
V závislosti na vaší poloze jsou níže uvedeny příklady identifikátorů vztahu důvěryhodnosti předávající strany:
https://idp.us.iss.lexmark.com
https://idp.eu.iss.lexmark.com
V okně Zvolit zásadu řízení přístupu vyberte možnost Povolit všem nebo konkrétní zásady řízení přístupu pro vaši organizaci a klepněte na tlačítko Další.
Zkontrolujte nastavení důvěryhodnosti předávající strany a klepněte na tlačítko Další.
Zrušte výběr možnosti Konfigurovat zásadu vystavování deklarací identity pro tuto aplikaci a poté klepněte na tlačítko Zavřít.
V konzoli pro správu AD FS klepněte na složku Vztahy důvěryhodnosti předávající strany, klepněte pravým tlačítkem myši na vytvořený vztah důvěryhodnosti předávající strany a poté klepněte na možnost Vlastnosti.
Klepněte na kartu Rozšířené a poté jako zabezpečený algoritmus hash vyberte SHA-1.
Klepněte na kartu Koncové body a poté vyberte možnost Přidat SAML jako zabezpečený algoritmus hash.
Jako typ koncového bodu vyberte možnost Odhlášení SAML a do pole Důvěryhodná adresa URL zadejte důvěryhodnou adresu URL pro odhlášení z vašeho serveru AD FS. Například
.Klepněte na tlačítko OK > Použít > OK.
Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Klepněte na složku Vztahy důvěryhodnosti předávající strany, klepněte pravým tlačítkem myši na vytvořený identifikátor vztahu důvěryhodnosti předávající strany a poté klepněte na příkaz Upravit zásady vystavování deklarací identity.
Na kartě Pravidla transformace vystavení klepněte na možnost Přidat pravidlo.
V nabídce Šablona pravidel deklarace vyberte možnost Odesílat atributy LDAP jako deklarace a klepněte na tlačítko Další.
Zadejte název pravidla deklarace a poté v nabídce Úložiště atributů vyberte možnost Active Directory.
Definujte následující mapování:
Atribut LDAP | Typ odchozí deklarace |
---|---|
E-mailové adresy | E-mailová adresa |
User-Principal-Name | UPN |
Křestní jméno | Křestní jméno |
Příjmení | Příjmení |
Oddělení | oddělení |
<Atribut, který se mapuje na průkaz> | průkaz |
<Atribut, který se mapuje na pin> | pin |
<Atribut, který se mapuje na cenové centrum> | cenové centrum |
Klepněte na tlačítko OK > Dokončit.
Na kartě Pravidla transformace vystavení klepněte na možnost Přidat pravidlo.
V nabídce Šablona pravidel deklarace vyberte možnost Transformovat příchozí deklaraci a klepněte na tlačítko Další.
Zadejte název pravidla deklarace a poté v nabídceTyp příchozí deklarace vyberte možnost E-mailová adresa.
V nabídceTyp odchozí reklamace vyberte možnost ID názvu.
V nabídceFormát ID odchozího názvu vyberte možnost E-mail.
Klepněte na tlačítko Dokončit > OK.
Z webového portálu Správa účtů klepněte na možnost Organizace > Poskytovatel služeb ověření > Nakonfigurovat poskytovatele služeb ověření.
V části Domény zadejte doménu poskytovatele identity a klepněte na tlačítko Přidat.
V části Nastavení jednotného přihlášení zadejte správné adresy URL do následujících polí:
Cílová URL SSO
URL odhlášení SSO
Poznámky:
V poli Certifikát zkopírujte a vložte klíč certifikátu Base-64 z certifikátu pro podepisování tokenů poskytovatele identity.
Klepněte na tlačítko Uložit změny.
Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Rozbalte složku Služba a poté klepněte na složku Certifikáty.
Vyhledejte certifikát pro podepisování tokenů.
Na panelu Akce klepněte na možnost Zobrazit certifikát.
Na kartě Podrobnosti klepněte na položku Kopírovat do souboru a poté postupujte podle pokynů průvodce.
Na obrazovce Formát exportovaného souboru vyberte možnost Kódování Base-64 X.509 (.CER).
Uložte certifikát.
Než začnete, ujistěte se, že jsou uživatelé služby Active Directory nakonfigurováni s e-mailovým účtem.
Na serveru Active Directory spusťte panel Uživatelé a počítače služby Active Directory.
Vyhledejte vlastnosti účtu konkrétního uživatele.
Na kartě Obecné zadejte e-mailovou adresu se správnou doménou společnosti.
Klepněte na tlačítko OK.
Ujistěte se, že jsou uživatelé také nakonfigurováni s následujícími atributy LDAP:
UPN
Křestní jméno
Příjmení
Oddělení
Průkaz
PIN kód
Cenové centrum
Ke Cloudovým službám Lexmark přistupujte pomocí správné adresy URL, kterou vám poskytne zástupce společnosti Lexmark.
V nabídce poskytovatele identity zadejte své uživatelské jméno a heslo.