Διαμόρφωση των υπηρεσιών Active Directory Federation Services (AD FS)

Επισκόπηση διαμόρφωσης AD FS

Αυτή η ενότητα παρέχει πληροφορίες σχετικά με τη διαμόρφωση του Microsoft AD FS (Active Directory Federation Services) για δημιουργία ομοσπονδίας με το Lexmark Print Management. Μάθετε πώς μπορείτε να δημιουργήσετε ένα διακριτικό ασφαλείας με τις απαιτούμενες αξιώσεις για μια υπηρεσία παροχής πόρων.

Αυτό το έγγραφο παρέχει πληροφορίες σχετικά με τη Γλώσσα Σήμανσης Αξιώσεων Ασφαλείας (Security Assertion Markup Language – SAML), έκδοση 2. Αν κάποια συγκεκριμένη διαμόρφωση δεν καλύπτεται σε αυτό το έγγραφο, επικοινωνήστε με την ομάδα των Επαγγελματικών Υπηρεσιών της Lexmark.

Προϋποθέσεις

Πριν ξεκινήσετε, βεβαιωθείτε ότι:

Διαμόρφωση του ADFS για τη γλώσσα σήμανσης ισχυρισμών ασφαλείας (SAML)

Διαμόρφωση του αναγνωριστικού ομοσπονδίας

  1. Από τον διακομιστή του AD FS, κάντε κλικ στην επιλογή Εργαλεία > Διαχείριση AD FS.

  2. Κάντε κλικ στον φάκελο υπηρεσίας. Στη συνέχεια, από τον πίνακα Ενέργειες, κάντε κλικ στην επιλογή Επεξεργασία ιδιοτήτων υπηρεσίας ομοσπονδίας.

    Στιγμιότυπο οθόνης που εμφανίζει το παράθυρο "Ιδιότητες υπηρεσιών ομοσπονδίας".

  3. Πληκτρολογήστε ένα εμφανιζόμενο όνομα υπηρεσίας ομοσπονδίας και ορίστε το Όνομα υπηρεσίας ομοσπονδίας στο πλήρως προσδιορισμένο όνομα τομέα του διακομιστή σας.

  4. Στο πεδίο Αναγνωριστικό υπηρεσίας ομοσπονδίας, πληκτρολογήστε το σωστό αναγνωριστικό. Για παράδειγμα, http://ServerFQDN/adfs/services/trust.

    Σημειώσεις:

    • Παράσχετε στην υπηρεσία παροχής πόρων το όνομα της υπηρεσίας ομοσπονδίας. Βεβαιωθείτε ότι ο διακομιστής AD FS είναι προσβάσιμος από το διαδίκτυο.
    • Για περισσότερες πληροφορίες σχετικά με την εγκατάσταση ενός διακομιστή μεσολάβησης ομοσπονδίας, ανατρέξτε στην τεκμηρίωση της Microsoft.
    • Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση του ρόλου διακομιστή μεσολάβησης ομοσπονδίας, ανατρέξτε στην τεκμηρίωση της Microsoft.

Διαμόρφωση αναγνωριστικών υπηρεσίας αξιοπιστίας

  1. Από τον διακομιστή του AD FS, κάντε κλικ στην επιλογή Εργαλεία > Διαχείριση AD FS.

  2. Αναπτύξτε τον φάκελο Σχέσεις αξιοπιστίας και κάντε κλικ στον φάκελο Υπηρεσίες αξιοπιστίας.

  3. Στον πίνακα Ενέργειες, κάντε κλικ στην επιλογή Προσθήκη υπηρεσιών αξιοπιστίας.

  4. Κάντε κλικ στις επιλογές Αναγνώριση αξιώσεων > Έναρξη > Εισαγωγή δεδομένων σχετικά με την υπηρεσία αξιοπιστίας μη αυτόματα > Επόμενο.

  5. Πληκτρολογήστε ένα εμφανιζόμενο όνομα και κάντε κλικ στην επιλογή Επόμενο.

  6. Στο παράθυρο Διαμόρφωση πιστοποιητικού, κάντε κλικ στην επιλογή Επόμενο.

  7. Επιλέξτε Ενεργοποίηση υποστήριξης για το πρωτόκολλο SAML 2.0 WebSSO, πληκτρολογήστε τη διεύθυνση URL υπηρεσίας αξιοπιστίας SAML 2.0 και κάντε κλικ στην επιλογή Επόμενο.

    Σημ.: Λάβετε το αναγνωριστικό της εταιρείας από την υπηρεσία παροχής πόρων.

    Ανάλογα με την τοποθεσία σας, τα παρακάτω αποτελούν παραδείγματα διευθύνσεων URL υπηρεσιών αξιοπιστίας:

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Πληκτρολογήστε το αναγνωριστικό υπηρεσίας αξιοπιστίας και πατήστε Προσθήκη > Επόμενο.

    Στιγμιότυπο οθόνης που εμφανίζει τη διεύθυνση URL της υπηρεσίας αξιοπιστίας.
    Σημ.: Λάβετε το αναγνωριστικό της υπηρεσίας αξιοπιστίας από την υπηρεσία παροχής πόρων.

    Ανάλογα με την τοποθεσία σας, τα παρακάτω αποτελούν παραδείγματα αναγνωριστικών υπηρεσιών αξιοπιστίας:

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Στιγμιότυπο οθόνης που εμφανίζει το αναγνωριστικό της υπηρεσίας αξιοπιστίας.

  9. Στο παράθυρο Επιλογή πολιτικής ελέγχου πρόσβασης, επιλέξτε Να επιτρέπεται σε όλους ή τη συγκεκριμένη πολιτική ελέγχου πρόσβασης για την εταιρεία σας και πατήστε Επόμενο.

  10. Ελέγξτε τις ρυθμίσεις της υπηρεσίας αξιοπιστίας του και πατήστε Επόμενο.

  11. Καταργήστε την επιλογή Διαμόρφωση πολιτικής έκδοσης αξιώσεων για αυτή την εφαρμογή και πατήστε Κλείσιμο.

  12. Από την κονσόλα διαχείρισης του AD FS, κάντε κλικ στον φάκελο Υπηρεσίες αξιοπιστίας, κάντε δεξί κλικ στην υπηρεσία αξιοπιστίας που δημιουργήθηκε και πατήστε Ιδιότητες.

  13. Κάντε κλικ στην καρτέλα Σύνθετες ρυθμίσεις και επιλέξτε SHA-1 ως αλγόριθμο ασφαλούς κατακερματισμού.

    Στιγμιότυπο οθόνης που εμφανίζει τον αλγόριθμο ασφαλούς κατακερματισμού.

  14. Κάντε κλικ στην καρτέλα Τελικά σημεία και επιλέξτε Προσθήκη SAML ως αλγόριθμο ασφαλούς κατακερματισμού.

    Στιγμιότυπο οθόνης που εμφανίζει το τελικό σημείο.

  15. Επιλέξτε Αποσύνδεση SAML ως τον τύπο τελικού σημείου. Στο πεδίο Αξιόπιστη διεύθυνση URL, πληκτρολογήστε τη διεύθυνση URL αξιόπιστης αποσύνδεσης από τον διακομιστή AD FS. Για παράδειγμα: https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Κάντε κλικ διαδοχικά στις επιλογές OK > Εφαρμογή > OK.

Διαμόρφωση κανόνων αξιώσεων AD FS

  1. Από τον διακομιστή του AD FS, κάντε κλικ στην επιλογή Εργαλεία > Διαχείριση AD FS.

  2. Κάντε κλικ στον φάκελο Υπηρεσίες αξιοπιστίας, έπειτα κάντε δεξί κλικ στο αναγνωριστικό υπηρεσίας αξιοπιστίας που δημιουργήθηκε και στη συνέχεια κάντε κλικ στην επιλογή Επεξεργασία πολιτικής έκδοσης αξιώσεων.

  3. Στην καρτέλα Κανόνες μετασχηματισμού έκδοσης, κάντε κλικ στην επιλογή Προσθήκη κανόνα.

  4. Από το μενού Πρότυπο κανόνα αξίωσης, επιλέξτε Αποστολή χαρακτηριστικών LDAP ως αξιώσειςκαι πατήστε Επόμενο .

    Στιγμιότυπο οθόνης που εμφανίζει την επιλογή του προτύπου κανόνα αξίωσης.

  5. Πληκτρολογήστε ένα όνομα κανόνα αξίωσης. Στη συνέχεια, από το μενού Αποθήκευση χαρακτηριστικών, επιλέξτε Active Directory.

    Στιγμιότυπο οθόνης που εμφανίζει τη διαμόρφωση των κανόνων.

  6. Ορίστε τις ακόλουθες αντιστοιχίσεις:

    Χαρακτηριστικό LDAP

    Τύπος εξερχόμενης αξίωσης

    Διευθύνσεις email

    Διεύθυνση email

    User-Principal-Name

    UPN

    Όνομα

    Όνομα

    Επώνυμο

    Επώνυμο

    Τμήμα

    τμήμα

    <Χαρακτηριστικό που αντιστοιχεί σε σήμα>

    κάρτα

    <Χαρακτηριστικό που αντιστοιχεί σε PIN>

    pin

    <Χαρακτηριστικό που αντιστοιχεί σε κέντρο κόστους>

    Κέντρο κόστους


    Σημ.: Αντικαταστήστε το <Χαρακτηριστικό που αντιστοιχεί σε> με το σωστό χαρακτηριστικό LDAP για την εταιρεία σας.

  7. Πατήστε OK > Τέλος.

  8. Στην καρτέλα Κανόνες μετασχηματισμού έκδοσης, κάντε κλικ στην επιλογή Προσθήκη κανόνα.

  9. Από το μενού Πρότυπο κανόνα αξίωσης, επιλέξτε Μετασχηματισμός εισερχόμενης αξίωσης και κάντε κλικ στην επιλογή Επόμενο.

  10. Πληκτρολογήστε ένα όνομα κανόνα αξίωσης. Στη συνέχεια, από το μενού Τύπος εισερχόμενης αξίωσης, επιλέξτε Διεύθυνση email.

  11. Από το μενού Τύπος εξερχόμενης αξίωσης, επιλέξτε Αναγνωριστικό ονόματος.

  12. Από το μενού Μορφή αναγνωριστικού ονόματος εξερχόμενου, επιλέξτε Email.

  13. Κάντε κλικ στην επιλογή Τέλος > OK.

Στιγμιότυπο οθόνης που εμφανίζει τη διαμόρφωση των κανόνων αξίωσης.

Παροχή μεταδεδομένων σε παρόχους πόρων

Διαμόρφωση της υπηρεσίας παροχής πόρων

  1. Από το Account Management web portal, κάντε κλικ στις επιλογές Εταιρεία > Υπηρεσία παροχής ελέγχου ταυτότητας > Διαμόρφωση υπηρεσίας παροχής ελέγχου ταυτότητας..

    Στιγμιότυπο οθόνης που εμφανίζει τη ρύθμιση της Υπηρεσίας παροχής ελέγχου ταυτότητας.

  2. Από την ενότητα Τομείς, πληκτρολογήστε τον τομέα της υπηρεσίας παροχής ταυτότητας και κάντε κλικ στην επιλογή Προσθήκη.

    Στιγμιότυπο οθόνης που εμφανίζει τη δημιουργία τομέων.

  3. Από την ενότητα Ρυθμίσεις καθολικής σύνδεσης, πληκτρολογήστε τις σωστές διευθύνσεις URL στα παρακάτω πεδία:

    • URL προορισμού SSO

    • URL αποσύνδεσης SSO

    Στιγμιότυπο οθόνης που εμφανίζει τις ρυθμίσεις καθολικής σύνδεσης.

    Σημειώσεις:

    • Χρησιμοποιήστε το σωστό, πλήρως προσδιορισμένο όνομα τομέα.
    • Ανάλογα με την τοποθεσία σας, το αναγνωριστικό φορέα πρέπει να είναι https://idp.us.iss.lexmark.com ή https://idp.eu.iss.lexmark.com.

  4. Στο πεδίο Πιστοποιητικό, αντιγράψτε και επικολλήστε το κλειδί πιστοποιητικού βασικής έκδοσης-64 από το πιστοποιητικό υπογραφής διακριτικού της υπηρεσίας παροχής ταυτότητας.

    Στιγμιότυπο οθόνης που εμφανίζει τις πληροφορίες πιστοποιητικών.
    Σημ.: Για περισσότερες πληροφορίες, δείτε Απόκτηση του πιστοποιητικού υπογραφής διακριτικού.

  5. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών.

Απόκτηση του πιστοποιητικού υπογραφής διακριτικού

  1. Από τον διακομιστή του AD FS, κάντε κλικ στην επιλογή Εργαλεία > Διαχείριση AD FS.

  2. Αναπτύξτε τον φάκελο Υπηρεσία και κάντε κλικ στον φάκελο Πιστοποιητικά.

  3. Εντοπίστε το πιστοποιητικό υπογραφής διακριτικού.

  4. Από τον πίνακα Ενέργειες, κάντε κλικ στην επιλογή Προβολή πιστοποιητικού.

  5. Από την καρτέλα Λεπτομέρειες, κάντε κλικ στην επιλογή Αντιγραφή σε φάκελο και ακολουθήστε τον οδηγό.

  6. Από την οθόνη Μορφή αρχείου εξαγωγής, επιλέξτε Με βασική-64 κωδικοποίηση X.509 (.CER).

    Στιγμιότυπο οθόνης που εμφανίζει το Παράθυρο οδηγού εξαγωγής πιστοποιητικών.

  7. Αποθηκεύστε το πιστοποιητικό.

Επαλήθευση της διαμόρφωσης

Διαμόρφωση ρόλων χρήστη στην υπηρεσία καταλόγου Active Directory

Πριν ξεκινήσετε, βεβαιωθείτε ότι οι χρήστες της υπηρεσίας καταλόγου Active Directory έχουν διαμορφωθεί με έναν λογαριασμό email.

  1. Από τον διακομιστή της υπηρεσίας καταλόγου Active Directory, ανοίξτε τον πίνακα Χρήστες και υπολογιστές Active Directory.

  2. Εντοπίστε τις ιδιότητες του λογαριασμού του συγκεκριμένου χρήστη.

  3. Στην καρτέλα Γενικά, ορίστε τη διεύθυνση email με τον σωστό εταιρικό τομέα.

    Στιγμιότυπο οθόνης που εμφανίζει το παράθυρο με τις ιδιότητες του λογαριασμού_χρήστη.

  4. Κάντε κλικ στο OK.

Βεβαιωθείτε ότι οι χρήστες έχουν επίσης διαμορφωθεί με τα ακόλουθα χαρακτηριστικά LDAP:

Πρόσβαση στις Lexmark Cloud Services

  1. Αποκτήστε πρόσβαση στις Lexmark Cloud Services χρησιμοποιώντας τη σωστή διεύθυνση URL που παρέχεται από τον αντιπρόσωπο της Lexmark στην περιοχή σας.

    Στιγμιότυπο οθόνης που εμφανίζει την πύλη των Lexmark Cloud Services.

  2. Από την υπηρεσία παροχής ταυτότητας, πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασής σας.

    Στιγμιότυπο οθόνης που εμφανίζει την ερώτηση της υπηρεσίας παροχής ταυτότητας.
    Σημ.: Το όνομα χρήστη πρέπει να είναι η πλήρης διεύθυνση email σας. Για περισσότερες πληροφορίες, δείτε Πρόσβαση στον πίνακα εργαλείων των Lexmark Cloud Services.