Konfigurering af Active Directory Federation Services (ADFS)

Oversigt over konfiguration af AD FS

Dette afsnit indeholder oplysninger om konfiguration af Microsoft AD FS til samling med Lexmark Print Management. Få at vide, hvordan du opretter et sikkerhedstoken med de påkrævede krav til en ressourceudbyder.

Dette dokument indeholder oplysninger om konfiguration af Security Assertion Markup Language (SAML) version 2. Hvis en bestemt konfiguration ikke er dækket i dette dokument, skal du kontakte Lexmark Professional Services-teamet.

Forudsætninger

Inden du begynder, skal du kontrollere at:

Konfigurering af ADFS til SAML (Security Assertion Markup Language)

Konfiguration af samlings-id'et

  1. Klik på Tools (Værktøjer) > AD FS Management (AD FS-styring) på AD FS-serveren.

  2. Klik på tjenestemappen, og klik derefter på Edit Federation Service Properties (Rediger egenskaber for Federation Service) i panelet Actions (Handlinger).

    Et skærmbillede, der viser vinduet Egenskaber for Federation Service.

  3. Indtast et vist navn for en Federation Service, og angiv derefter Federation Service name (Navn på Federation Service) til det fulde domænenavn på din server.

  4. Indtast det korrekte id i feltet Federation Service identifier (Federation Service-id). For eksempel http://ServerFQDN/adfs/services/trust.

    Bemærkninger:

    • Giv ressourceudbyderen Federation Service-navnet. Sørg for, at AD FS-serveren er tilgængelig fra internettet.
    • Du kan finde flere oplysninger om installation af en Federation-server-proxy i Microsoft-dokumentationen.
    • Du kan finde flere oplysninger om konfiguration af Federation-serverens proxyrolle i Microsoft-dokumentationen.

Konfiguration af Relying Party-tillids-id’er

  1. Klik på Tools (Værktøjer) > AD FS Management (AD FS-styring) på AD FS-serveren.

  2. Udvid mappen Trust Relationships (Tillidsrelationer), og klik derefter på mappen Relying Party Trusts (Relying Party-tillidsforhold).

  3. I panelet Actions (Handlinger) skal du klikke på Add Relying Party Trusts (Tilføj Relying Party-tillidsforhold).

  4. Klik på Claims Aware (Kravsbevidst) > Start > Enter data about the relying party manually (Angiv data om relying party manuelt) > Next (Næste).

  5. Indtast et vist navn, og klik derefter på Next (Næste).

  6. Klik på Next (Næste) i vinduet Configure Certificate (Konfigurer certifikat).

  7. Vælg Enable support for the SAML 2.0 WebSSO protocol (Aktivér support for SAML 2.0 WebSSO-protokollen), indtast Relying Party SAML 2.0-tjenestens URL-adresse, og klik derefter på Next (Næste).

    Bemærk! Få organisations-id'et fra ressourceudbyderen.

    Afhængigt af din placering er følgende eksempler på URL-adresser til Relying Party-tjenesten:

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Indtast Relying Party-tillids-id’et, og klik derefter på Add (Tilføj) > Next (Næste).

    Et skærmbillede, der viser URL-adressen til Relying Party-tjenesten.
    Bemærk! Få Relying Party-tillids-id’et fra ressourceudbyderen.

    Afhængigt af din placering er følgende eksempler på Relying Party-tillids-id’er:

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Et skærmbillede, der viser Relying Party-tillids-id’et.

  9. Vælg Permit everyone (Tillad alle) eller den specifikke adgangskontrolpolitik for din organisation i vinduet Choose Access Control Policy (Vælg adgangskontrolpolitik), og klik derefter på Next (Næste).

  10. Gennemse indstillingerne for Relying Party-tillid, og klik derefter på Next (Næste).

  11. Ryd Configure claims issuance policy for this application (Konfigurer politik for udstedelse af krav for dette program), og klik derefter på Close (Luk).

  12. I AD FS-administrationskonsollen skal du klikke på mappen Relying Party Trusts (Relying Party-tillidsforhold), højreklikke på det oprettede Relying Party-tillidsforhold og derefter klikke på Properties (Egenskaber).

  13. Klik på fanen Advanced (Avanceret), og vælg derefter SHA-1 som den sikre hash-algoritme.

    Et skærmbillede, der viser den sikre hash-algoritme.

  14. Klik på fanen Endpoints (Slutpunkter), og vælg derefter Add SAML (Tilføj SAML) som den sikre hash-algoritme.

    Et skærmbillede, der viser slutpunktet.

  15. Vælg SAML Logout (SAML-logout) som slutpunktstype, og skriv derefter URL-adressen for logout på din AD FS-server, der er tillid til, i feltet Trusted URL (URL-adresse, der er tillid til). For eksempel https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Klik på OK > Anvend > OK.

Konfiguration af AD FS-kravregler

  1. Klik på Tools (Værktøjer) > AD FS Management (AD FS-styring) på AD FS-serveren.

  2. Klik på mappen Relying Party Trusts (Relying Party-tillidsforhold), højreklik på det oprettede Relying Party-tillids-id, og klik derefter på Edit Claim Issuance Policy (Rediger politik for udstedelse af krav).

  3. Klik på Add Rule (Tilføj regel) under fanen Issuance Transform Rules (Transformationsregler for udstedelse).

  4. Vælg Send LDAP Attributes as Claims (Send LDAP-attributter som krav) i menuen Claim rule template (Skabelon for kravsregel), og klik derefter på Next (Næste).

    Et skærmbillede, der viser valget af skabelon for kravsregel.

  5. Indtast et navn på en kravsregel, og vælg Active Directory i menuen Attribute store (Attributlager).

    Et skærmbillede, der viser konfigurationen af regler.

  6. Definer følgende tilknytninger:

    LDAP-attribut

    Udgående kravstype

    E-mailadresser

    E-mailadresse

    User-Principal-Name

    UPN

    Fornavn

    Fornavn

    Efternavn

    Efternavn

    Afdeling

    afdeling

    <Attribut, der knytter sig til badge>

    kort

    <Attribut, der knytter sig til PIN-kode>

    PIN-kode

    <Attribut, der knytter sig til omkostningssted>

    Omkostningssted


    Bemærk! Erstat <Attribut, der knytter sig til> med den korrekte LDAP-attribut for din organisation.

  7. Klik på OK > Afslut.

  8. Klik på Add Rule (Tilføj regel) under fanen Issuance Transform Rules (Transformationsregler for udstedelse).

  9. Vælg Transform an Incoming Claim (Transformer et indgående krav) i menuen Claim rule template (Skabelon for kravsregel), og klik derefter på Next (Næste).

  10. Indtast et navn på en kravsregel, og vælg E-Mail Address (E-mailadresse) i menuen Incoming claim type (Indgående kravtype).

  11. Vælg Name ID (Navn-id) i menuen Outgoing claim type (Udgående kravtype).

  12. Vælg Email (E-mail) i menuen Outgoing name ID format (Id-format for udgående navn).

  13. Klik på Afslut > OK.

Et skærmbillede, der viser konfigurationen af kravsreglerne.

Levering af metadata til ressourceleverandører

Konfiguration af ressourceudbyderen

  1. Fra Account Management web portal skal du klikke på Organisation > Godkendelsesudbyder > Konfigurer en godkendelsesudbyder.

    Et skærmbillede, der viser indstillingen Godkendelsesudbyder.

  2. Skriv identitetsudbyderens domæne i sektionen Domæner, og klik derefter på Tilføj.

    Et skærmbillede, der viser oprettelsen af domæner.

  3. I afsnittet Indstillinger for enkeltlogon skal du indtaste de korrekte URL-adresser i følgende felter:

    • URL-adresse for SSO-mål

    • URL-adresse for SSO-logout

    Et skærmbillede, der viser indstillingerne for enkeltlogon.

    Bemærkninger:

    • Brug det korrekte fulde domænenavn.
    • Afhængigt af din placering skal enheds-id'et være https://idp.us.iss.lexmark.com eller https://idp.eu.iss.lexmark.com.

  4. I feltet Certifikat skal du kopiere og indsætte base-64-certifikatnøglen fra identitetsudbyderens token-signeringscertifikat.

    Et skærmbillede, der viser certifikatoplysningerne.
    Bemærk! Der er flere oplysninger i Anskaffelse af token-signeringscertifikat.

  5. Klik på Gem ændringer.

Anskaffelse af token-signeringscertifikat

  1. Klik på Tools (Værktøjer) > AD FS Management (AD FS-styring) på AD FS-serveren.

  2. Udvid mappen Service , og klik derefter på mappen Certifikates (Certifikater).

  3. Find token-signeringscertifikatet.

  4. Klik på View Certificate (Vis certifikat) i panelet Actions (Handlinger).

  5. Klik på Copy to File (Kopiér til fil) under fanen Details (Detaljer), og følg derefter guiden.

  6. Vælg Base-64 encoded X.509 (.CER) (Base-64-kodet X.509 (.CER)) på skærmbilledet Export File Format (Filformat til eksport).

    Et skærmbillede, der viser vinduet med guiden Certifikatimport.

  7. Gem certifikatet.

Kontrol af konfiguration

Konfiguration af brugerroller i Active Directory

Før du begynder, skal du kontrollere, at Active Directory-brugere er konfigureret med en e-mailkonto.

  1. Åbn panelet Active Directory-brugere og -computere fra Active Directory-serveren.

  2. Find den specifikke brugers kontoegenskaber.

  3. Angiv den e-mailadresse, der har det korrekte firmadomæne, på fanen Generelt.

    Et skærmbillede, der viser vinduet Egenskaber for brugerkonto.

  4. Klik på OK.

Sørg for, at brugerne også er konfigureret med følgende LDAP-attributter:

Adgang til Lexmark Cloud Services

  1. Få adgang til Lexmark Cloud Services ved hjælp af den korrekte URL-adresse, som din Lexmark-repræsentant har oplyst.

    Et skærmbillede, der viser Lexmark Cloud Services-portalen.

  2. Indtast dit brugernavn og din adgangskode fra identitetsudbyderen.

    Et skærmbillede, der viser prompten til identitetsudbyderen.
    Bemærk! Brugernavnet skal være din fulde e-mailadresse. Der er flere oplysninger i Adgang til Lexmark Cloud Services dashboard.