Konfigurace služby federace Active Directory (AD FS)

Konfigurace přehledu služby AD FS

Tato část obsahuje informace o konfiguraci služby Microsoft AD FS pro federaci pomocí Správy tisku Lexmark. Zjistěte, jak vytvořit bezpečnostní token s požadovanými deklaracemi poskytovatele zdrojů.

Tento dokument obsahuje informace o konfiguraci jazyka SAML (Security Assertion Markup Language) verze 2. Pokud se v tomto dokumentu nenachází konkrétní konfigurace, obraťte se na tým profesionálních služeb Lexmark.

Předpoklady

Než začnete, zkontrolujte následující body:

Kroky v tomto dokumentu se provádějí na serveru Active Directory v doméně.
Server je Microsoft Windows Server 2016 s nejnovější aktualizací Service Pack.
Server má certifikát serveru a je nainstalována role AD FS.
Poznámka: Vyberte certifikát serveru a poté zadejte účet služby při instalaci role služby AD FS.

Konfigurace ADFS pro Security Assertion Markup Language (SAML)

Konfigurace identifikátoru federace

Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Klepněte na složku služby a poté na panelu Akce klepněte na možnost Upravit vlastnosti služby federační služby.
Zadejte zobrazovaný název federační služby a poté nastavte Název federační služby na plně kvalifikovaný název domény vašeho serveru.
Do pole Identifikátor služby FS zadejte správný identifikátor. Například http://ServerFQDN/adfs/services/trust.
Poznámky:
- Zadejte název federační služby pro poskytovatele prostředků. Ujistěte se, že je server AD FS přístupný z internetu.
- Další informace o instalaci federačního proxy serveru naleznete v dokumentaci společnosti Microsoft.
- Další informace o konfiguraci role federačního proxy serveru naleznete v dokumentaci společnosti Microsoft.

Konfigurace identifikátorů vztahu důvěryhodnosti předávající strany

Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Rozbalte složku Vztahy důvěryhodnosti a klepněte na složkuVztahy důvěryhodnosti předávající strany.
Na panelu Akce klepněte na možnost Přidat vztahy důvěryhodnosti předávající strany.
Klepněte na možnost S podporou deklarace identity > Start > Zadat data o předávající straně ručně > Další.
Zadejte zobrazený název a klepněte na tlačítko Další.
Na obrazovce Konfigurovat certifikát klepněte na tlačítko Další.
Vyberte možnost Povolit podporu protokolu SAML 2.0 WebSSO, zadejte adresu URL služby SAML 2.0 předávající strany a klepněte na tlačítko Další.
Poznámka: Získejte ID organizace od poskytovatele zdrojů.
V závislosti na vaší poloze jsou níže uvedeny příklady adres URL služeb předávající strany:
- https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
- https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
Zadejte identifikátor vztahu důvěryhodnosti předávající strany a klepněte na tlačítko Přidat > Další.
Poznámka: Od poskytovatele zdrojů získejte identifikátor vztahu důvěryhodnosti předávající strany.
V závislosti na vaší poloze jsou níže uvedeny příklady identifikátorů vztahu důvěryhodnosti předávající strany:
- https://idp.us.iss.lexmark.com
- https://idp.eu.iss.lexmark.com
V okně Zvolit zásadu řízení přístupu vyberte možnost Povolit všem nebo konkrétní zásady řízení přístupu pro vaši organizaci a klepněte na tlačítko Další.
Zkontrolujte nastavení důvěryhodnosti předávající strany a klepněte na tlačítko Další.
Zrušte výběr možnosti Konfigurovat zásadu vystavování deklarací identity pro tuto aplikaci a poté klepněte na tlačítko Zavřít.
V konzoli pro správu AD FS klepněte na složku Vztahy důvěryhodnosti předávající strany, klepněte pravým tlačítkem myši na vytvořený vztah důvěryhodnosti předávající strany a poté klepněte na možnost Vlastnosti.
Klepněte na kartu Rozšířené a poté jako zabezpečený algoritmus hash vyberte SHA-1.
Klepněte na kartu Koncové body a poté vyberte možnost Přidat SAML jako zabezpečený algoritmus hash.
Jako typ koncového bodu vyberte možnost Odhlášení SAML a do pole Důvěryhodná adresa URL zadejte důvěryhodnou adresu URL pro odhlášení z vašeho serveru AD FS. Například https://ServerFQDN/adfs/ls/?wa=wsignout1.0.
Klepněte na tlačítko OK > Použít > OK.

Konfigurace pravidel deklarací serveru AD FS

Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Klepněte na složku Vztahy důvěryhodnosti předávající strany, klepněte pravým tlačítkem myši na vytvořený identifikátor vztahu důvěryhodnosti předávající strany a poté klepněte na příkaz Upravit zásady vystavování deklarací identity.
Na kartě Pravidla transformace vystavení klepněte na možnost Přidat pravidlo.
V nabídce Šablona pravidel deklarace vyberte možnost Odesílat atributy LDAP jako deklarace a klepněte na tlačítko Další.
Zadejte název pravidla deklarace a poté v nabídce Úložiště atributů vyberte možnost Active Directory.

Definujte následující mapování:

Atribut LDAP	Typ odchozí deklarace
E-mailové adresy	E-mailová adresa
User-Principal-Name	UPN
Křestní jméno	Křestní jméno
Příjmení	Příjmení
Oddělení	oddělení
<Atribut, který se mapuje na průkaz>	průkaz
<Atribut, který se mapuje na pin>	pin
<Atribut, který se mapuje na cenové centrum>	cenové centrum

Poznámka: Nahraďte položku <Atribut, který se mapuje na> správným atributem LDAP pro vaši organizaci.

Klepněte na tlačítko OK > Dokončit.
Na kartě Pravidla transformace vystavení klepněte na možnost Přidat pravidlo.
V nabídce Šablona pravidel deklarace vyberte možnost Transformovat příchozí deklaraci a klepněte na tlačítko Další.
Zadejte název pravidla deklarace a poté v nabídceTyp příchozí deklarace vyberte možnost E-mailová adresa.
V nabídceTyp odchozí reklamace vyberte možnost ID názvu.
V nabídceFormát ID odchozího názvu vyberte možnost E-mail.
Klepněte na tlačítko Dokončit > OK.

Snímek obrazovky zobrazující konfiguraci pravidel deklarací.

Poskytování metadat poskytovatelům zdrojů

Konfigurace poskytovatele zdrojů

Z webového portálu Správa účtů klepněte na možnost Organizace > Poskytovatel služeb ověření > Nakonfigurovat poskytovatele služeb ověření.
V části Domény zadejte doménu poskytovatele identity a klepněte na tlačítko Přidat.
V části Nastavení jednotného přihlášení zadejte správné adresy URL do následujících polí:
- Cílová URL SSO
- URL odhlášení SSO
Poznámky:
- Použijte správný plně kvalifikovaný název domény.
- V závislosti na vaší poloze musí být ID subjektu https://idp.us.iss.lexmark.com nebo https://idp.eu.iss.lexmark.com.
V poli Certifikát zkopírujte a vložte klíč certifikátu Base-64 z certifikátu pro podepisování tokenů poskytovatele identity.
Poznámka: Další informace najdete v části Získání certifikátu pro podepisování tokenů.
Klepněte na tlačítko Uložit změny.

Získání certifikátu pro podepisování tokenů

Na serveru AD FS klepněte na možnost Nástroje > Správa AD FS.
Rozbalte složku Služba a poté klepněte na složku Certifikáty.
Vyhledejte certifikát pro podepisování tokenů.
Na panelu Akce klepněte na možnost Zobrazit certifikát.
Na kartě Podrobnosti klepněte na položku Kopírovat do souboru a poté postupujte podle pokynů průvodce.
Na obrazovce Formát exportovaného souboru vyberte možnost Kódování Base-64 X.509 (.CER).
Uložte certifikát.

Ověřování konfigurace

Konfigurace uživatelských rolí ve službě Active Directory

Než začnete, ujistěte se, že jsou uživatelé služby Active Directory nakonfigurováni s e-mailovým účtem.

Na serveru Active Directory spusťte panel Uživatelé a počítače služby Active Directory.
Vyhledejte vlastnosti účtu konkrétního uživatele.
Na kartě Obecné zadejte e-mailovou adresu se správnou doménou společnosti.
Klepněte na tlačítko OK.

Ujistěte se, že jsou uživatelé také nakonfigurováni s následujícími atributy LDAP:

UPN
Křestní jméno
Příjmení
Oddělení
Průkaz
PIN kód
Cenové centrum