Konfigurace federace Azure AD

Vysvětlení federace

Federace je proces vytváření vztahu důvěryhodnosti mezi poskytovatelem identity zákazníka (IdP) a externí službou, jako jsou Cloudové služby Lexmark. Níže jsou uvedeny příklady IdP:

Služba Microsoft Azure Active Directory
Identita Google
Jakýkoli systém správy identit vyhovující standardu SAML 2.0

Po navázání vztahu důvěryhodnosti mohou uživatelé přistupovat ke Cloudovým službám Lexmark pomocí stejného uživatelského jména a hesla pro ostatní interní weby a služby. IdP zákazníka spravuje všechny aspekty správy pověření, jako je ověření hesla, požadavky na složitost, vypršení platnosti a potenciální využití vícefaktorového ověřování. IdP také podporuje jednotné přihlášení (SSO), což snižuje počet pokusů o ověření uživatelů při přepínání mezi službami.

Použití uživatelem

Prostředí zákazníka s IDP

Při prvním přístupu uživatele ke Cloudovým službám Lexmark se zobrazí výzva k zadání e-mailové adresy a poté bude uživatel přesměrován na IdP.
Pokud se uživatel již přihlásil k IdP a ten podporuje SSO, není uživatel povinen zadávat heslo. Je zabráněno výzvám s vícefaktorovým ověřováním. Tento proces vytváří rychlé přihlášení pro koncového uživatele.

Prostředí zákazníka bez IdP

Pokud se uživatel nepřihlásil k IdP, zobrazí se výzva k zadání uživatelského jména a hesla. Dochází k výzvám s vícefaktorovým ověřováním. Po přihlášení je uživatel přesměrován do Cloudových služeb Lexmark.

Pracovní postup pro federované přihlášení

Cloudové služby Lexmark žádají o e-mailovou adresu uživatele. Tyto informace umožňují Cloudovým službám Lexmark určit organizaci uživatele v rámci Cloudových služeb Lexmark.
Poznámka: Nastavení federace pro organizaci zahrnuje adresu URL poskytovatele identity zákazníka.
Cloudové služby Lexmark přesměrují uživatele na IdP. Cloudové služby Lexmark projdou polem ID subjektu.
IdP používá ID subjektu k určení, která nastavení se vztahují na tento pokus o přihlášení. V závislosti na nastavení IdP ověřuje uživatelské jméno a heslo a může provádět vícefaktorové ověřování. Pokud IdP podporuje SSO a uživatel je již přihlášen k IdP, pak je uživatel přihlášen automaticky.
IdP přesměruje uživatele do Cloudových služeb Lexmark a předá následující předdefinované deklarace:
- Uživatelské jméno
- E-mailová adresa
- Organizace
- Volitelné informace, jako je oddělení uživatele a cenové centrum
IdP tyto deklarace podepisuje pomocí soukromého certifikátu.
Cloudové služby Lexmark byly předem nakonfigurovány s veřejným certifikátem a používají jej k ověření, zda tyto informace pocházejí z očekávaného zdroje. Tento proces umožňuje Cloudovým službám Lexmark důvěřovat informacím, které IdP předává a které dokončí proces přihlášení.

Konfigurace Azure Active Directory

Níže uvedené obrázky se mohou v praxi lišit.

Z portálu Azure přejděte do služby Azure Active Directory.
Klepněte na možnost Podnikové aplikace > Nová aplikace.
Klepněte na tlačítko Vytvořit vlastní aplikaci > Integrace jakékoli jiné aplikace, kterou nenajdete v galerii (mimo galerii).
Zadejte název aplikace.
Na obrazovce Přehled podnikových aplikací klepněte na možnost Nastavit jednotné přihlášení a poté vyberte možnost SAML.
V části Základní konfigurace SAML nakonfigurujte následující nastavení:
Poznámka: Získejte nastavení od poskytovatele služeb.
- Identifikátor (ID subjektu)
  Poznámka: Výchozí ID subjektu Cloudových služeb Lexmark je https://idp.iss.lexmark.com. Ujistěte se, že ID subjektu v Azure odpovídá ID subjektu v portálu Cloudových služeb Lexmark.
- Adresa URL odpovědi (adresa URL služby Assertion Consumer Service)
  V závislosti na vaší poloze jsou níže uvedeny příklady úplné adresy URL odpovědi:
  - https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  - https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  Poznámka: Chcete-li určit hodnotu parametru organization_ID, přihlaste se do portálu Cloudových služeb Lexmark a klepněte na možnost Správa účtu. Parametr organization_id se zobrazí na adrese URL.
V části Atributy uživatele a deklarace klepněte na možnost Upravit.

Klepněte na možnost Přidat novou deklaraci a zadejte název a zdroj pro každou deklaraci.

Snímek obrazovky zobrazující vytvoření nových deklarací.

Požadované deklarace
Atribut	Zdroj	Obor názvů
křestní jméno	user.givenname	Toto pole nechte prázdné.
příjmení	user.surname	Toto pole nechte prázdné.
e-mail	user.mail	Toto pole nechte prázdné.

Volitelné deklarace
Atribut	Zdroj	Obor názvů
průkaz	Atribut zdroje pro vaši organizaci	Toto pole nechte prázdné.
pin	Atribut zdroje pro vaši organizaci	Toto pole nechte prázdné.
cenové centrum	Atribut zdroje pro vaši organizaci	Toto pole nechte prázdné.
oddělení	user.department	Toto pole nechte prázdné.

V části Podpisový certifikát SAML proveďte tyto kroky:
- Stáhněte si certifikát Base64.
- Zkopírujte přihlašovací adresy a adresy URL pro odhlášení.
V závislosti na vaší konfiguraci služby Azure přiřaďte uživatele vytvořené podnikové aplikaci.
Uložte nastavení.

Konfigurace Cloudových služeb Lexmark

Z webového portálu Správa účtů klepněte na možnost Organizace > Poskytovatel služeb ověření > Nakonfigurovat poskytovatele služeb ověření.
V části Domény zadejte doménu poskytovatele identity a klepněte na tlačítko Přidat.
V části Nastavení jednotného přihlášení zadejte správné informace do následujících polí:
- ID subjektu poskytovatele služeb
  Poznámka: Výchozí ID subjektu Cloudových služeb Lexmark je https://idp.iss.lexmark.com. Ujistěte se, že ID subjektu v Azure odpovídá ID subjektu na portálu Cloudových služeb Lexmark.
- Cílová URL SSO – přihlašovací adresa URL podnikové aplikace Azure, kterou jste vytvořili.
- URL odhlášení SSO – tato adresa URL určuje chování při odhlášení uživatele z portálu Cloudových služeb Lexmark.
  - Pokud chcete, aby se uživatel zcela odhlásil ze svého klienta Azure, zadejte adresu URL odhlášení podnikové aplikace Azure, kterou jste vytvořili.
  - Pokud chcete, aby byl uživatel odhlášen pouze z Cloudových služeb Lexmark, zadejte jinou adresu URL. Adresa URL může ukazovat na stránku, kterou spravujete („úspěšně jste se odhlásili“), nebo můžete pro svou organizaci použít odpovídající přihlašovací stránku Cloudových služeb Lexmark. V závislosti na vaší poloze může být adresa URL https://idp.us.iss.lexmark.com nebo https://idp.eu.iss.lexmark.com.
V poli Certifikát zkopírujte a vložte klíč certifikátu Base-64 z certifikátu pro podepisování tokenů poskytovatele identity.
Pokud místo toho máte soubor metadata.xml obsahující adresy URL a data certifikátu, přidejte záhlaví a zápatí ručně.
```
-----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----
```
Klepněte na možnost Konfigurovat službu ověření.
Poznámka: Portál Cloudových služeb Lexmark neukončujte a nenechávejte jej vypršet. Možná se nebudete moci přihlásit, abyste opravili všechny problémy, které objevíte během testování.

Přístup ke Cloudovým službám Lexmark

Otestujte nastavení federace tak, že se uživatel přihlásí pomocí jedné z následujících metod:

Přihlaste se z jiného prohlížeče na stejné pracovní stanici.
Přihlaste se ze soukromého nebo inkognito okna prohlížeče na stejné pracovní stanici.
Přihlaste se z pracovní stanice jiného uživatele.

Ke Cloudovým službám Lexmark přistupujte pomocí správné adresy URL, kterou vám poskytne zástupce společnosti Lexmark.
V nabídce poskytovatele identity zadejte své uživatelské jméno a heslo.
Poznámka: Uživatelské jméno musí být vaše úplná e-mailová adresa. Další informace najdete v části Přístup k řídicímu panelu Cloudových služeb Lexmark..