Azure AD-Verbund konfigurieren

Konfigurieren des Azure Active Directory-Verbunds – Übersicht

Dieser Abschnitt enthält Informationen zum Verbund von Lexmark Cloud Services mit Microsoft Azure Active Directory. Weitere Informationen erhalten Sie vom Lexmark Professional Services-Team.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Administratorzugriff auf die folgenden Portale haben:

Informationen zu Verbünden

Ein Verbund ist ein Prozess, bei dem eine Vertrauensstellung zwischen dem Identitätsprovider (IdP) eines Kunden und einem externen Dienst, wie Lexmark Cloud Services, hergestellt wird. Beispiele für einen IdP:

Nach der Herstellung einer Vertrauensstellung können Benutzer mit demselben Benutzernamen und Kennwort wie für andere interne Standorte und Services auf Lexmark Cloud Services zugreifen. Der IdP des Kunden verwaltet alle Aspekte der Zugangsdatenverwaltung, wie Kennwortvalidierung, Komplexitätsanforderungen, Ablauf und potenzielle Verwendung von mehrstufiger Authentifizierung. Der IdP unterstützt auch Single Sign-On (SSO), wodurch die Anzahl der Benutzerauthentifizierungen beim Wechsel zwischen Diensten reduziert wird.

Benutzererfahrung

Kundenumgebung mit IdP

Wenn ein Benutzer zum ersten Mal auf Lexmark Cloud Services zugreift, wird eine Aufforderung zur Eingabe der E-Mail-Adresse angezeigt, und der Benutzer wird dann zum IdP umgeleitet.

Wenn sich der Benutzer bereits beim IdP angemeldet hat und dieser SSO unterstützt, muss er das Kennwort nicht eingeben. Probleme durch eine mehrstufige Authentifizierung werden umgangen. Dieser Prozess ermöglicht eine schnelle Anmeldung für den Endbenutzer.

Kundenumgebung ohne IdP

Wenn sich der Benutzer nicht beim IdP angemeldet hat, werden die Eingabeaufforderungen für Benutzername und Kennwort angezeigt. Es treten Probleme durch die mehrstufige Authentifizierung auf. Nach der Anmeldung wird der Benutzer zu Lexmark Cloud Services weitergeleitet.

Workflow für die Verbundanmeldung

  1. Lexmark Cloud Services fordert die E-Mail-Adresse des Benutzers an. Mit diesen Informationen kann Lexmark Cloud Services die Organisation des Benutzers innerhalb von Lexmark Cloud Services ermitteln.

    Hinweis: Die Verbundeinstellungen für die Organisation umfassen die URL des Identitätsproviders des Kunden.

  2. Lexmark Cloud Services leitet den Benutzer an den IdP weiter. Lexmark Cloud Services übergibt ein Feld mit der Entitäts-ID.

  3. Der IdP verwendet die Entitäts-ID, um zu bestimmen, welche Einstellungen für diesen Anmeldeversuch gelten. Je nach den Einstellungen authentifiziert der IdP den Benutzernamen und das Kennwort und kann eine mehrstufige Authentifizierung durchführen. Wenn der IdP SSO unterstützt und der Benutzer bereits beim IdP angemeldet ist, wird der Benutzer automatisch angemeldet.

  4. Der IdP leitet den Benutzer zu Lexmark Cloud Services weiter und wendet die folgenden vordefinierten Ansprüche an:

    • Benutzername

    • E-Mail-Adresse

    • Organisation

    • Optionale Informationen, wie z. B. Abteilung und Kostenstelle des Benutzers

    Der IdP signiert diese Ansprüche mit einem privaten Zertifikat.

  5. Lexmark Cloud Services wurde mit dem öffentlichen Zertifikat vorkonfiguriert und nutzt es, um zu überprüfen, ob diese Informationen aus der erwarteten Quelle stammen. Mit diesem Prozess vertraut Lexmark Cloud Services den Informationen, die der IdP erfolgreich angibt, und schließt den Anmeldevorgang ab.

Konfigurieren des Azure Active Directory

Die folgenden Bilder können in der Praxis variieren.

  1. Navigieren Sie über das Azure-Portal zum Azure Active Directory.

    Ein Screenshot, der die Navigation zum Azure Active Directory zeigt.

  2. Klicken Sie auf Unternehmensanwendungen > Neue Anwendung.

    Ein Screenshot, der die Navigation zu den Einstellungen für Unternehmensanwendungen zeigt.
    Ein Screenshot, der die Schaltfläche "Neue Anwendung" zeigt.

  3. Klicken Sie auf Eigene Anwendung erstellen > Integrieren Sie andere Anwendungen, die nicht in der Galerie enthalten sind (Nicht-Galerie).

    Ein Screenshot, der die Navigation zu den Nicht-Galerieanwendungen zeigt.

  4. Geben Sie einen Anwendungsnamen ein.

  5. Klicken Sie auf dem Bildschirm Übersicht über Unternehmensanwendungen auf Single Sign-On einrichten, und wählen Sie SAML aus.

    Ein Screenshot, der die Einrichtung der Single Sign-On-Methode zeigt.
    Ein Screenshot, der SAML als Single Sign-On-Methode anzeigt.

  6. Konfigurieren Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Einstellungen:

    Ein Screenshot, der die Konfiguration von Benutzerattributen zeigt.
    Hinweis: Wenden Sie sich an den Dienstanbieter, um die Einstellungen zu erhalten.

    • Bezeichner (Entitäts-ID)

      Hinweis: Die standardmäßige Entitäts-ID von Lexmark Cloud Services lautet https://idp.iss.lexmark.com. Stellen Sie sicher, dass die Entitäts-ID in Azure mit der Entitäts-ID im Lexmark Cloud Services-Portal übereinstimmt.

    • Antwort-URL (Assertionsverbraucherdienst-URL)

      Je nach Ihrem Standort gelten die folgenden Beispiele für eine vollständige Antwort-URL:

      • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      Hinweis: Um den Wert für den Parameter organization_id zu ermitteln, melden Sie sich beim Lexmark Cloud Services-Portal an, und klicken Sie dann auf Kontoverwaltung. Die organization_id wird in der URL angezeigt.
      Ein Screenshot, der die Position der Organisations-ID zeigt.

  7. Klicken Sie im Abschnitt Benutzerattribute und -berechtigungen auf Bearbeiten.

    Ein Screenshot, der den Abschnitt "Benutzerattribute und -berechtigungen" zeigt.

  8. Klicken Sie auf Neue Berechtigung hinzufügen, und geben Sie dann den Namen und die Quelle für jede Berechtigung ein.

    Ein Screenshot, der die Erstellung neuer Berechtigungen zeigt.
    Erforderliche Berechtigungen

    Attribute

    Quelle

    Namespace

    firstname

    user.givenname

    Lassen Sie dieses Feld leer.

    lastname

    user.surname

    Lassen Sie dieses Feld leer.

    email

    user.mail

    Lassen Sie dieses Feld leer.


    Optionale Berechtigungen

    Attribut

    Quelle

    Namespace

    badge

    Quellattribut für Ihre Organisation

    Lassen Sie dieses Feld leer.

    pin

    Quellattribut für Ihre Organisation

    Lassen Sie dieses Feld leer.

    costCenter

    Quellattribut für Ihre Organisation

    Lassen Sie dieses Feld leer.

    department

    user.department

    Lassen Sie dieses Feld leer.


  9. Gehen Sie im Abschnitt SAML-Signaturzertifikat folgendermaßen vor:

    • Laden Sie das Base64-Zertifikat herunter.

    • Kopieren Sie die Anmelde- und Abmelde-URLs.

    Ein Screenshot, der zeigt, wo das Zertifikat heruntergeladen und die Anmelde- und Anmelde-URLs kopiert werden können.

  10. Weisen Sie abhängig von Ihrer Azure-Konfiguration Benutzer der erstellten Unternehmensanwendung zu.

    Ein Screenshot, der zeigt, wo Benutzer und Gruppen zugewiesen werden können.

  11. Speichern Sie die Einstellungen.

Konfigurieren von Lexmark Cloud Services

  1. Klicken im Kontomanagement-Webportal auf Organisation > Authentifizierungsprovider > Authentifizierungsprovider konfigurieren.

    Ein Screenshot, der die Einstellung des Authentifizierungsproviders zeigt.

  2. Geben Sie im Abschnitt Domänen die Domäne des Identitätsproviders ein, und klicken Sie auf Hinzufügen.

    Ein Screenshot der Startseite von Lexmark Cloud Services.

  3. Geben Sie im Abschnitt Single-Sign-On-Einstellungen die korrekten Informationen in die folgenden Felder ein:

    • Dienstanbieter-ID

      Hinweis: Die standardmäßige Entitäts-ID von Lexmark Cloud Services lautet https://idp.iss.lexmark.com. Stellen Sie sicher, dass die Entitäts-ID in Azure mit der Entitäts-ID im Lexmark Cloud Services-Portal übereinstimmt.

    • SSO-Ziel-URL: Die Anmelde-URL der von Ihnen erstellten Azure Enterprise-Anwendung.

    • SSO-Abmelde-URL: Diese URL bestimmt das Verhalten, wenn sich ein Benutzer vom Lexmark Cloud Services-Portal abmeldet.

      • Wenn Sie möchten, dass der Benutzer vollständig von Ihrem Azure-Mandanten abgemeldet wird, geben Sie die Abmelde-URL der von Ihnen erstellten Azure-Unternehmensanwendung ein.

      • Wenn Sie möchten, dass der Benutzer nur von Lexmark Cloud Services abgemeldet wird, geben Sie eine andere URL ein. Die URL kann auf eine Seite verweisen, die Sie verwalten ("Sie haben sich erfolgreich abgemeldet"), oder Sie können die entsprechende Lexmark Cloud Services-Anmeldeseite für Ihr Unternehmen verwenden. Abhängig von Ihrem Standort kann die URL https://idp.us.iss.lexmark.com oder https://idp.eu.iss.lexmark.com lauten.

  4. Kopieren Sie im Feld Zertifikat den Base64-Zertifikatschlüssel aus dem Tokensignaturzertifikat des Identitätsproviders, und fügen Sie ihn ein.

    Ein Screenshot, der die Zertifikatinformationen zeigt.

    Wenn Sie stattdessen eine metadata.xml-Datei haben, die die URLs und Zertifikatdaten enthält, fügen Sie die Kopf- und Fußzeile manuell hinzu.

    -----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----

  5. Klicken Sie auf Authentifizierungsprovider konfigurieren.

    Hinweis: Verlassen Sie das Lexmark Cloud Services-Portal nicht, und lassen Sie nicht zu, dass eine Zeitüberschreitung auftritt. Möglicherweise können Sie sich ansonsten nicht anmelden, um Probleme zu beheben, die während des Tests ermittelt wurden.

Zugreifen auf Lexmark Cloud Services

Testen Sie die Verbundeinstellungen, indem Sie einen beliebigen Benutzer mit einer der folgenden Methoden anmelden:

  1. Greifen Sie über die korrekte URL, die Sie von Ihrem Lexmark-Vertriebsmitarbeiter erhalten haben, auf Lexmark Cloud Services zu.

    Ein Screenshot des Lexmark Cloud Services-Portals.

  2. Geben Sie im Identitätsprovider Ihren Benutzernamen und Ihr Kennwort ein.

    Ein Screenshot, der die Eingabeaufforderung des Identitätsproviders zeigt.
    Hinweis: Der Benutzername muss Ihrer vollständigen E-Mail-Adresse entsprechen. Weitere Informationen finden Sie unter Zugreifen auf das Dashboard der Lexmark Cloud Services.