Active Directory-Verbunddienste (AD FS) konfigurieren

Konfigurieren von AD FS – Überblick

Dieser Abschnitt enthält Informationen zur Konfiguration von Microsoft AD FS für den Verbund mit Lexmark Print Management. Erfahren Sie, wie Sie ein Sicherheitstoken mit den erforderlichen Ansprüchen für einen Ressourcenprovider erstellen.

Dieses Dokument enthält Informationen zur Konfiguration von Security Assertion Markup Language (SAML) Version 2. Wenn eine bestimmte Konfiguration in diesem Dokument nicht behandelt wird, wenden Sie sich an das Lexmark Professional Services-Team.

Voraussetzungen

Stellen Sie zu Beginn Folgendes sicher:

ADFS für die Security Assertion Markup Language (SAML) konfigurieren

Konfigurieren des Verbunddienstbezeichners

  1. Klicken Sie auf dem AD FS-Server auf Tools > AD FS-Verwaltung.

  2. Klicken Sie auf den Dienstordner, und klicken Sie dann im Bereich Aktionen auf Verbunddiensteigenschaften bearbeiten.

    Ein Screenshot, der das Fenster mit den Verbunddiensteigenschaften zeigt.

  3. Geben Sie einen Anzeigenamen für den Verbunddienst ein, und legen Sie dann den Verbunddienstnamen auf den vollqualifizierten Domänennamen des Servers fest.

  4. Geben Sie im Feld Bezeichner des Verbunddiensts den richtigen Bezeichner ein. Zum Beispiel http://ServerFQDN/adfs/services/trust.

    Hinweise:

    • Geben Sie den Verbunddienstbezeichner an den Ressourcenprovider weiter. Stellen Sie sicher, dass der AD FS-Server über das Internet zugänglich ist.
    • Weitere Informationen zum Installieren eines Verbundserverproxys finden Sie in der Microsoft-Dokumentation.
    • Weitere Informationen zum Konfigurieren der Proxyrolle des Verbundservers finden Sie in der Microsoft-Dokumentation.

Konfigurieren von Bezeichnern der Vertrauensstellung der vertrauenden Seite

  1. Klicken Sie auf dem AD FS-Server auf Tools > AD FS-Verwaltung.

  2. Erweitern Sie den Ordner Vertrauensstellungen, und klicken Sie dann auf den Ordner Vertrauensstellungen der vertrauenden Seite.

  3. Klicken Sie im Bereich Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.

  4. Klicken Sie auf Ansprüche unterstützend > Start > Daten über die vertrauende Seite manuell eingeben > Weiter.

  5. Geben Sie einen Anzeigenamen ein, und klicken Sie dann auf Weiter.

  6. Klicken Sie im Fenster Zertifikat konfigurieren auf Weiter.

  7. Wählen Sie Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren aus, geben Sie die SAML 2.0-Service-URL der vertrauenden Seite ein, und klicken Sie dann auf Weiter.

    Hinweis: Ermitteln Sie die Organisations-ID vom Ressourcenprovider.

    Je nach Ihrem Standort gelten die folgenden Beispiele für Service-URLs der vertrauenden Seite:

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Geben Sie den Bezeichner der Vertrauensstellung der vertrauenden Seite ein, und klicken Sie auf Hinzufügen > Weiter.

    Ein Screenshot mit der Service-URL der vertrauenden Seite.
    Hinweis: Ermitteln Sie den Bezeichner der Vertrauensstellung der vertrauenden Seite vom Ressourcenprovider.

    Je nach Ihrem Standort gelten die folgenden Beispiele für Bezeichner der Vertrauensstellung der vertrauenden Seite:

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Ein Screenshot des Bezeichners der Vertrauensstellung der vertrauenden Seite.

  9. Wählen Sie im Fenster Zugriffskontrollrichtlinie auswählen die Option Jedem Einzelnen Zugriff gewähren oder die spezifische Zugriffskontrollrichtlinie für Ihre Organisation aus, und klicken Sie dann auf Weiter.

  10. Überprüfen Sie die Vertrauenseinstellungen der vertrauenden Seite, und klicken Sie dann auf Weiter.

  11. Deaktivieren Sie die Option Anspruchsausstellungs-Richtlinie für diese Anwendung konfigurieren, und klicken Sie dann auf Schließen.

  12. Klicken Sie in der AD FS-Verwaltungskonsole auf den Ordner Vertrauensstellungen der vertrauenden Seite, klicken Sie mit der rechten Maustaste auf die erstellte Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf Eigenschaften.

  13. Klicken Sie auf die Registerkarte Erweitert und wählen Sie SHA-1 als sicheren Hash-Algorithmus aus.

    Ein Screenshot, der den sicheren Hash-Algorithmus zeigt.

  14. Klicken Sie auf die Registerkarte Endpunkte, und wählen Sie SAML hinzufügen als sicheren Hash-Algorithmus aus.

    Ein Screenshot des Endpunkts.

  15. Wählen Sie SAML-Abmeldung als Endpunkttyp, und geben Sie dann im Feld Vertrauenswürdige URL die vertrauenswürdige Anmelde-URL Ihres AD FS-Servers ein. Beispiel: https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Klicken Sie auf OK > Anwenden > OK.

Konfigurieren von AD FS-Anspruchsregeln

  1. Klicken Sie auf dem AD FS-Server auf Tools > AD FS-Verwaltung.

  2. Klicken Sie auf den Ordner Vertrauensstellungen der vertrauenden Seite, klicken Sie mit der rechten Maustaste auf die erstellte Vertrauenskennung der vertrauenden Seite, und klicken Sie dann auf Anspruchsausstellungsrichtlinie bearbeiten.

  3. Klicken Sie auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen.

  4. Wählen Sie im Menü Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden, und klicken Sie dann auf Weiter.

    Ein Screenshot, der die Auswahl der Anspruchsregelvorlage zeigt.

  5. Geben Sie einen Anspruchsregelnamen ein, und wählen Sie dann im Menü Attributspeicher die Option Active Directory.

    Ein Screenshot, der die Konfiguration von Regeln zeigt.

  6. Definieren Sie die folgenden Zuordnungen:

    LDAP-Attribut

    Ausgehender Anspruchstyp

    E-Mail-Addresses

    E-Mail Address

    User-Principal-Name

    UPN

    Given-Name

    Given Name

    Surname

    Surname

    Department

    department

    <Attribute that maps to badge>

    badge

    <Attribute that maps to pin>

    pin

    <Attribute that maps to cost center>

    costCenter


    Hinweis: Ersetzen Sie <Attribute that maps to> durch das richtige LDAP-Attribut für Ihre Organisation.

  7. Klicken Sie auf OK > Fertig stellen.

  8. Klicken Sie auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen.

  9. Wählen Sie im Menü Anspruchsregelvorlage die Option Eingehenden Anspruch transformieren aus, und klicken Sie auf Weiter.

  10. Geben Sie einen Anspruchsregelnamen ein, und wählen Sie dann im Menü Eingehender Anspruchstyp die Option E-Mail-Adresse aus.

  11. Wählen Sie im Menü Ausgehender Anspruchstyp die Option Namens-ID aus.

  12. Wählen Sie im Menü ID Format des ausgehenden Namens die Option E-Mail aus.

  13. Klicken Sie auf Fertig stellen > OK.

Ein Screenshot, der die Konfiguration von Anspruchsregeln zeigt.

Metadaten für Ressourcenanbieter bereitstellen

Konfigurieren des Ressourcenproviders

  1. Klicken im Kontomanagement-Webportal auf Organisation > Authentifizierungsprovider > Authentifizierungsprovider konfigurieren.

    Ein Screenshot, der die Einstellung des Authentifizierungsproviders zeigt.

  2. Geben Sie im Abschnitt Domänen die Domäne des Identitätsproviders ein, und klicken Sie auf Hinzufügen.

    Ein Screenshot, der die Erstellung von Domänen zeigt.

  3. Geben Sie im Abschnitt Single-Sign-On-Einstellungen die korrekten URLs in die folgenden Felder ein:

    • SSO-Ziel-URL

    • SSO-Abmelde-URL

    Ein Screenshot mit den Single-Sign-On-Einstellungen.

    Hinweise:

    • Verwenden Sie den korrekten vollständigen Domänennamen.
    • Je nach Standort muss die Entitäts-ID https://idp.us.iss.lexmark.com oder https://idp.eu.iss.lexmark.com lauten.

  4. Kopieren Sie im Feld Zertifikat den Base64-Zertifikatschlüssel aus dem Tokensignaturzertifikat des Identitätsproviders, und fügen Sie ihn ein.

    Ein Screenshot, der die Zertifikatinformationen zeigt.
    Hinweis: Weitere Informationen finden Sie unter Abrufen des Tokensignaturzertifikats.

  5. Klicken Sie auf Änderungen speichern.

Abrufen des Tokensignaturzertifikats

  1. Klicken Sie auf dem AD FS-Server auf Tools > AD FS-Verwaltung.

  2. Erweitern Sie den Ordner Service, und klicken Sie dann auf den Ordner Zertifikate.

  3. Suchen Sie das Tokensignaturzertifikat.

  4. Klicken Sie im Bereiche Aktionen auf Zertifikat anzeigen.

  5. Klicken Sie auf der Registerkarte Details auf In Datei kopieren, und befolgen Sie die Anweisungen des Assistenten.

  6. Wählen Sie im Bildschirm Format der zu exportierenden Datei die Option Base64-codiertes X.509 (*.CER).

    Ein Screenshot, der das Fenster des Assistenten für den Zertifikatexport zeigt.

  7. Speichern Sie das Zertifikat.

Konfiguration überprüfen

Konfigurieren von Benutzerrollen in Active Directory

Stellen Sie zunächst sicher, dass die Active Directory-Benutzer mit einem E-Mail-Konto konfiguriert sind.

  1. Öffnen Sie auf dem Active Directory-Server den Bereich Active Directory-Benutzer und -Computer.

  2. Suchen Sie die Kontoeigenschaften des jeweiligen Benutzers.

  3. Geben Sie auf der Registerkarte Allgemein die E-Mail-Adresse mit der richtigen Unternehmensdomäne an.

    Ein Screenshot, der das Eigenschaftsfenster des Benutzerkontos zeigt.

  4. Klicken Sie auf OK.

Stellen Sie sicher, dass die Benutzer auch mit den folgenden LDAP-Attributen konfiguriert sind:

Zugreifen auf Lexmark Cloud Services

  1. Greifen Sie über die korrekte URL, die Sie von Ihrem Lexmark-Vertriebsmitarbeiter erhalten haben, auf Lexmark Cloud Services zu.

    Ein Screenshot des Lexmark Cloud Services-Portals.

  2. Geben Sie im Identitätsprovider Ihren Benutzernamen und Ihr Kennwort ein.

    Ein Screenshot, der die Eingabeaufforderung des Identitätsproviders zeigt.
    Hinweis: Der Benutzername muss Ihrer vollständigen E-Mail-Adresse entsprechen. Weitere Informationen finden Sie unter Zugreifen auf das Dashboard der Lexmark Cloud Services.