Konfigurering af Azure AD Federation

Om samling

Samling er processen med at oprette et tillidsforhold mellem en kundes identitetsudbyder (IdP) og en ekstern tjeneste, f.eks. Lexmark Cloud Services. Følgende er eksempler på en IdP:

Microsoft Azure Active Directory
Google Identity
Ethvert SAML 2.0-kompatibelt identitetsstyringssystem

Når brugere har oprettet et tillidsforhold, kan de få adgang til Lexmark Cloud Services ved hjælp af det samme brugernavn og den samme adgangskode som til andre interne websteder og tjenester. Kundens IdP administrerer alle aspekter af administration af legitimationsoplysninger, f.eks. validering af adgangskode, krav til kompleksitet, udløb og potentiel brug af multifaktorgodkendelse. IdP understøtter også enkelt login (Single Sign-On – SSO), hvilket reducerer antallet af gange, brugerne skal godkendes, når de skifter mellem tjenester.

Brugeroplevelse

Kundens miljø med IdP

Første gang en bruger får adgang til Lexmark Cloud Services, vises en prompt til e-mailadresse, og derefter omdirigeres brugeren til IdP.
Hvis brugeren allerede er logget på IdP og understøtter SSO, behøver brugeren ikke at indtaste adgangskoden. Udfordringer i forbindelse med multifaktorgodkendelse forhindres. Denne proces opretter en hurtig logon-oplevelse for slutbrugeren.

Kundens miljø uden IdP

Hvis brugeren ikke har logget på IdP, vises prompterne for brugernavn og adgangskode. Der er udfordringer ved multifaktorgodkendelse. Efter at være logget på omdirigeres brugeren til Lexmark Cloud Services.

Arbejdsgang for samlet login

Lexmark Cloud Services anmoder om brugerens e-mailadresse. Disse oplysninger gør det muligt for Lexmark Cloud Services at bestemme brugerens organisation i Lexmark Cloud Services.
Bemærk! Samlingsindstillingerne for organisationen omfatter URL'en for kundens identitetsudbyder.
Lexmark Cloud Services omdirigerer brugeren til IdP. Lexmark Cloud Services overfører et Enheds-id-felt.
IdP bruger Enheds-id til at bestemme, hvilke indstillinger der gælder for dette login-forsøg. Afhængigt af indstillingerne godkender IdP brugernavnet og adgangskoden og kan udføre multifaktorgodkendelse. Hvis IdP understøtter SSO, og brugeren allerede er logget på IdP, logges brugeren automatisk på.
IdP omdirigerer brugeren til Lexmark Cloud Services og overfører følgende foruddefinerede krav:
- Brugernavn
- E-mailadresse
- Organisation
- Valgfri oplysninger, f.eks. brugerens afdeling og omkostningssted
IdP underskriver disse krav ved hjælp af et privat certifikat.
Lexmark Cloud Services er blevet forudkonfigureret med det offentlige certifikat og bruger det til at kontrollere, at disse oplysninger kommer fra den forventede kilde. Med denne proces kan Lexmark Cloud Services stole på de oplysninger, som IdP overfører, og fuldføre logonprocessen.

Konfiguration af Azure Active Directory

Billederne nedenfor kan variere i praksis.

Fra Azure-portalen skal du navigere til Azure Active Directory.
Klik på Enterprise applications (Virksomhedsprogrammer) > New application (Nyt program).
Klik på Create your own application (Opret dit eget program) > Integrate any other application you don’t find in the gallery (Non-gallery) (Integrer alle andre programmer, du ikke finder i galleriet (ikke-galleri)).
Indtast et programnavn.
På skærmbilledet Enterprise Applications Overview (Oversigt over virksomhedsprogrammer) skal du klikke på Set up single sign on (Konfigurer enkeltlogon) og derefter vælge SAML.
I afsnittet IBasic SAML Configuration (Grundlæggende SAML-konfiguration) skal du konfigurere følgende indstillinger:
Bemærk! Få indstillingerne fra tjenesteudbyderen.
- Identifikator (enheds-id)
  Bemærk! Standard Lexmark Cloud Services-enheds-id'et er https://idp.iss.lexmark.com. Sørg for, at enheds-id'et i Azure matcher enheds-id'et i Lexmark Cloud Services-portalen.
- Svar-URL (URL-adresse til Assertion Consumer Service)
  Afhængigt af din placering er følgende eksempler på en komplet svar-URL:
  - https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  - https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  Bemærk! Hvis du vil bestemme værdien for parameteren organization_id, skal du logge på Lexmark Cloud Services-portalen og derefter klikke på Account Management. Parameteren organization_id står i URL-adressen.
Klik på Edit (Rediger) i afsnittet User Attributes & Claims (Brugerattributter og krav).

Klik på Add new claim (Tilføj nyt krav), og indtast derefter navn og kilde for hvert krav.

Et skærmbillede, der viser oprettelsen af nye krav.

Påkrævede krav
Attribut	Kilde	Navneområde
fornavn	bruger.fornavn	Lad dette felt være tomt.
efternavn	bruger.efternavn	Lad dette felt være tomt.
e-mail	bruger.mail	Lad dette felt være tomt.

Valgfrie krav
Attribut	Kilde	Navneområde
kort	Kildeattribut for din organisation	Lad dette felt være tomt.
PIN-kode	Kildeattribut for din organisation	Lad dette felt være tomt.
Omkostningssted	Kildeattribut for din organisation	Lad dette felt være tomt.
afdeling	bruger.afdeling	Lad dette felt være tomt.

I afsnittet SAML Signing Certificate (SAML-signeringscertifikat) skal du gøre følgende:
- Download Base64-certifikatet.
- Kopiér URL-adresserne for login og logout.
Afhængigt af din Azure-konfiguration skal du tildele brugere til det oprettede virksomhedsprogram.
Gem indstillingerne.

Konfiguration af Lexmark Cloud Services

Fra Account Management web portal skal du klikke på Organisation > Godkendelsesudbyder > Konfigurer en godkendelsesudbyder.
Skriv identitetsudbyderens domæne i sektionen Domæner, og klik derefter på Tilføj.
I afsnittet Indstillinger for enkeltlogon skal du indtaste de korrekte oplysninger i følgende felter:
- Tjenesteudbyderens enheds-id
  Bemærk! Standard Lexmark Cloud Services-enheds-id'et er https://idp.iss.lexmark.com. Sørg for, at enheds-id'et i Azure matcher enheds-id'et i Lexmark Cloud Services-portalen.
- URL-adresse for SSO-mål – URL-adressen til login i det Azure Enterprise-program, du har oprettet.
- URL-adresse for SSO-logout – Denne URL-adresse bestemmer funktionsmåden, når en bruger logger ud af Lexmark Cloud Services-portalen.
  - Hvis du ønsker, at brugeren skal være logget helt af din Azure-lejer, skal du indtaste URL-adressen for logout i det Azure Enterprise-program, du har oprettet.
  - Hvis du ønsker, at brugeren kun skal være logget af Lexmark Cloud Services, skal du indtaste en anden URL-adresse. URL-adressen kan pege på en side, som du vedligeholder ("Du er logget af"), eller du kan bruge den relevante Lexmark Cloud Services-loginside til din organisation. Afhængigt af din placering kan URL-adressen være https://idp.us.iss.lexmark.com eller https://idp.eu.iss.lexmark.com.
I feltet Certifikat skal du kopiere og indsætte base-64-certifikatnøglen fra identitetsudbyderens token-signeringscertifikat.
Hvis du i stedet har en metadata.xml-fil, der indeholder URL-adresser og certifikatdata, skal du tilføje sidehovedet og sidefoden manuelt.
```
-----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----
```
Klik på Konfigurer godkendelsesudbyder.
Bemærk! Afslut ikke Lexmark Cloud Services-portalen, og lad den ikke få timeout. Du kan muligvis ikke logge på for at rette eventuelle fejl, du opdager, mens du tester.