Configuración de Active Directory Federation Services (AD FS)

Descripción general de la configuración de AD FS

En esta sección se proporciona información sobre la configuración de Microsoft AD FS para la federación con Lexmark Print Management. Aprenda a crear un token de seguridad con las notificaciones necesarias para un proveedor de recursos.

Este documento proporciona información sobre la configuración de Security Assertion Markup Language (SAML) versión 2. Si no se trata una configuración específica en este documento, póngase en contacto con el equipo de servicios profesionales de Lexmark.

Requisitos previos

Antes de empezar, asegúrese de que:

Configuración de ADFS para Security Assertion Markup Language (SAML)

Configuración del identificador de federación

  1. En el servidor AD FS, haga clic en Herramientas > Administración de AD FS.

  2. Haga clic en la carpeta de servicio y, a continuación, en el panel Acciones, haga clic en Editar propiedades de los servicios de federación.

    Captura de pantalla que muestra la ventana Propiedades de los servicios de federación.

  3. Escriba un nombre de visualización del servicio de federación y, a continuación, establezca el Nombre del servicio de federación en el nombre de dominio correcto completo del servidor.

  4. En el campo Identificador del servicio de federación, escriba el identificador correcto. Por ejemplo, http://ServerFQDN/adfs/services/trust.

    Notas:

    • Proporcione al proveedor de recursos el nombre del servicio de federación. Asegúrese de que se puede acceder al servidor AD FS desde Internet.
    • Para obtener más información sobre la instalación de un proxy de servidor de federación, consulte la documentación de Microsoft.
    • Para obtener más información sobre la configuración de la función de proxy del servidor de federación, consulte la documentación de Microsoft.

Configuración de identificadores de confianza de la parte confiante

  1. En el servidor AD FS, haga clic en Herramientas > Administración de AD FS.

  2. Expanda la carpeta Relaciones de confianza y, a continuación, haga clic en la carpeta Confianza de la parte confiante.

  3. En el panel Acciones, haga clic en Agregar confianza de la parte confiante.

  4. Haga clic en Información sobre reclamaciones > Iniciar > Introducir manualmente los datos de la parte confiante > Siguiente.

  5. Escriba un nombre de visualización y, a continuación, haga clic en Siguiente.

  6. En la ventana Configurar certificado, haga clic en Siguiente.

  7. Seleccione Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO, escriba la URL de servicio SAML 2.0 de la parte confiante y, a continuación, haga clic en Siguiente.

    Nota: Obtenga el ID de organización del proveedor de recursos.

    En función de su ubicación, los siguientes son ejemplos de URL de servicio de la parte confiante:

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Escriba el identificador de confianza de la parte confiante que responde y, a continuación, haga clic en Agregar > Siguiente.

    Captura de pantalla que muestra la URL de servicio de la parte confiante.
    Nota: Obtenga el identificador de confianza de la parte confiante del proveedor de recursos.

    En función de su ubicación, los siguientes son ejemplos de identificadores de confianza de la parte confiante:

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Captura de pantalla que muestra el identificador de confianza de la parte confiante.

  9. En la ventana Elegir política de control de acceso, seleccione Permitir a todos o la política de control de acceso específica para su organización y, a continuación, haga clic en Siguiente.

  10. Revise la configuración de confianza de la parte confiante y, a continuación, haga clic en Siguiente.

  11. Desactive Configurar política de emisión de notificaciones para esta aplicación y, a continuación, haga clic en Cerrar.

  12. En la consola de administración de AD FS, haga clic en la carpeta Confianza de la parte confiante, haga clic con el botón derecho en la confianza de la parte confiante creada y, a continuación, haga clic en Propiedades.

  13. Haga clic en la pestaña Avanzados y, a continuación, seleccione SHA-1 como algoritmo hash seguro.

    Captura de pantalla que muestra el algoritmo hash seguro.

  14. Haga clic en la pestaña Puntos finales y seleccione Añadir SAML como algoritmo hash seguro.

    Captura de pantalla que muestra el punto final.

  15. Seleccione Cierre de sesión de SAML como tipo de punto final y, a continuación, en el campo URL de confianza, escriba la dirección URL de cierre de sesión de confianza del servidor AD FS. Por ejemplo, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Haga clic en Aceptar > Aplicar > Aceptar.

Configuración de reglas de reclamaciones de AD FS

  1. En el servidor AD FS, haga clic en Herramientas > Administración de AD FS.

  2. Haga clic en la carpeta Confianza de la parte confiante, haga clic con el botón secundario en el identificador de confianza de la parte confiante creado y, a continuación, haga clic en Editar política de emisión de reclamaciones.

  3. En la pestaña Reglas de transformación de emisión, haga clic en Añadir regla.

  4. En el menú Plantilla de regla de reclamación , seleccione Enviar atributos LDAP como reclamaciones y, a continuación, haga clic en Siguiente.

    Captura de pantalla que muestra la selección de la plantilla de regla de reclamación.

  5. Escriba un nombre de regla de reclamación y, a continuación, en el menú Almacén de atributos, seleccione Active Directory.

    Captura de pantalla que muestra la configuración de las reglas.

  6. Defina las siguientes asignaciones:

    Atributo LDAP

    Tipo de reclamación saliente

    Direcciones de correo electrónico

    Dirección de correo electrónico

    User-Principal-Name

    UPN

    Nombre

    Nombre proporcionado

    Apellido

    Apellido

    Departamento

    Departamento

    <Atributo que se asigna al distintivo>

    distintivo

    <Atributo que se asigna al pin>

    pin

    <Atributo que se asigna al centro de coste>

    centro de coste


    Nota: Sustituya <Atributo que se asigna a> por el atributo LDAP correcto para su organización.

  7. Haga clic en Aceptar > Finalizar.

  8. En la pestaña Reglas de transformación de emisión, haga clic en Añadir regla.

  9. En el menú Plantilla de regla de reclamación, seleccione Transformar una reclamación entrante y, a continuación, haga clic en Siguiente.

  10. Escriba un nombre de regla de reclamación y, a continuación, en el menú Tipo de reclamación entrante, seleccione Dirección de correo electrónico.

  11. En el menú Tipo de reclamación saliente, seleccione ID de nombre.

  12. En el menú Formato de ID de nombre saliente, seleccione Correo electrónico.

  13. Haga clic en Finalizar > Aceptar.

Captura de pantalla que muestra la configuración de las reglas de reclamación.

Proporcionar metadatos a proveedores de recursos

Configuración del proveedor de recursos

  1. En el portal web Account Management, haga clic en Organización > Proveedor de autenticación > Configurar un proveedor de autenticación.

    Captura de pantalla que muestra la configuración del proveedor de autenticación.

  2. En la sección Dominios, escriba el dominio del proveedor de identidades y, a continuación, haga clic en Agregar.

    Captura de pantalla que muestra la creación de dominios.

  3. En la sección Configuración de inicio de sesión único, escriba las URL correctas en los siguientes campos:

    • URL de destino de SSO

    • URL de cierre de sesión de SSO

    Captura de pantalla que muestra la configuración de inicio de sesión único.

    Notas:

    • Utilice el nombre de dominio correcto completo.
    • En función de su ubicación, el ID de entidad debe ser https://idp.us.iss.lexmark.com o https://idp.eu.iss.lexmark.com.

  4. En el campo Certificado, copie y pegue la clave de certificado base-64 del certificado de firma de token del proveedor de identidades.

    Captura de pantalla que muestra la información del certificado.
    Nota: Para obtener más información, consulte Obtención del certificado de firma de token.

  5. Haga clic en Guardar cambios.

Obtención del certificado de firma de token

  1. En el servidor AD FS, haga clic en Herramientas > Administración de AD FS.

  2. Expanda la carpeta Servicio y, a continuación, haga clic en la carpeta Certificados.

  3. Busque el certificado de firma de token.

  4. En el panel Acciones, haga clic en Ver certificado.

  5. En la pestaña Detalles, haga clic en Copiar a archivo y, a continuación, siga las instrucciones del asistente.

  6. En la pantalla Formato de archivo de exportación, seleccione Base-64 encoded X.509 (.CER).

    Captura de pantalla que muestra la ventana Asistente de exportación de certificados.

  7. Guarde el certificado.

Verificación de la configuración

Configuración de funciones de usuario en Active Directory

Antes de comenzar, asegúrese de que los usuarios de Active Directory están configurados con una cuenta de correo electrónico.

  1. Desde el servidor de Active Directory, inicie el panel Usuarios y equipos de Active Directory.

  2. Busque las propiedades de la cuenta de usuario específica.

  3. En la pestaña General, especifique la dirección de correo electrónico con el dominio de empresa correcto.

    Captura de pantalla que muestra la ventana Propiedades de la cuenta de usuario.

  4. Haga clic en Aceptar.

Asegúrese de que los usuarios también están configurados con los siguientes atributos LDAP:

Acceso a Lexmark Cloud Services

  1. Acceda a Lexmark Cloud Services mediante la URL correcta proporcionada por su representante de Lexmark.

    Una captura de pantalla que muestra el portal de Lexmark Cloud Services.

  2. En el proveedor de identidades, introduzca su nombre de usuario y contraseña.

    Una captura de pantalla que muestra la ventana del proveedor de identidades.
    Nota: El nombre de usuario debe ser su dirección de correo electrónico completa. Para obtener más información, consulte Acceso al panel de Lexmark Cloud Services.