Descripción general de la configuración de la federación de Azure Active Directory

En esta sección se proporciona información sobre la federación de Lexmark Cloud Services con Microsoft Azure Active Directory. Para obtener mas información, póngase en contacto con el equipo de servicios profesionales de Lexmark.

Requisitos previos

Antes de comenzar, asegúrese de que tiene acceso de administrador a los siguientes portales:

• Microsoft Azure Active Directory

• Lexmark Cloud Services

Descripción de la federación

La federación es el proceso de crear una relación de confianza entre el proveedor de identidades (IdP) de un cliente y un servicio externo, como Lexmark Cloud Services. A continuación se muestran ejemplos de un IdP:

• Microsoft Azure Active Directory

• Google Identity

• Cualquier sistema de gestión de identidades compatible con SAML 2.0

Después de establecer una relación de confianza, los usuarios pueden acceder a Lexmark Cloud Services con el mismo nombre de usuario y contraseña para otros sitios y servicios internos. El IdP del cliente gestiona todos los aspectos de la gestión de credenciales, como la validación de contraseñas, los requisitos de complejidad, la caducidad y el uso potencial de la autenticación multifactor. El IdP también admite el inicio de sesión único (SSO), lo que reduce el número de veces que se requiere que los usuarios se autentiquen al cambiar entre servicios.

Experiencia del usuario

Entorno del cliente con IdP

La primera vez que un usuario accede a Lexmark Cloud Services, aparece una solicitud de dirección de correo electrónico y, a continuación, se redirige al usuario al IdP.

Si el usuario ya ha iniciado sesión en el IdP y este admite SSO, no es necesario que introduzca la contraseña. Se evitan los obstáculos de la autenticación multifactor. Este proceso crea una experiencia de inicio de sesión rápido para el usuario final.

Entorno del cliente sin IdP

Si el usuario no ha iniciado sesión en el IdP, aparecerá la solicitud de nombre de usuario y contraseña. Se producen los obstáculos de la autenticación multifactor. Después de iniciar sesión, se redirige al usuario a Lexmark Cloud Services.

Flujo de trabajo para el inicio de sesión federado

1. Lexmark Cloud Services solicita la dirección de correo electrónico del usuario. Esta información permite a Lexmark Cloud Services determinar la organización del usuario en Lexmark Cloud Services.

   Nota: La configuración de federación de la organización incluye la dirección URL del proveedor de identidades del cliente.

2. Lexmark Cloud Services redirige al usuario al IdP. Lexmark Cloud Services pasa un campo de ID de entidad.

3. El IdP utiliza el ID de entidad para determinar qué configuración se aplica a este intento de inicio de sesión. En función de la configuración, el IdP autentica el nombre de usuario y la contraseña, y puede realizar la autenticación multifactor. Si el IdP admite SSO y el usuario ya ha iniciado sesión en el IdP, el usuario inicia sesión automáticamente.

4. El IdP redirige al usuario a Lexmark Cloud Services y pasa las siguientes reclamaciones predefinidas:

   • Nombre de usuario

   • Dirección de correo electrónico

   • Organización

   • Información opcional, como el departamento del usuario y el centro de coste

   El IdP firma estas reclamaciones utilizando un certificado privado.

5. Lexmark Cloud Services se ha preconfigurado con el certificado público y lo utiliza para comprobar que esta información procede de la fuente esperada. Este proceso permite a Lexmark Cloud Services confiar en la información que pasa el IdP y completa el proceso de inicio de sesión.

Configuración de Azure Active Directory

Las siguientes imágenes pueden variar en la práctica.

1. Desde el portal de Azure, desplácese hasta Azure Active Directory.

   

2. Haga clic en Aplicaciones empresariales > Nueva aplicación.

   
   

3. Haga clic en Crear su propia aplicación > Integrar cualquier otra aplicación que no encuentre en la galería (no galería).

   

4. Escriba un nombre de aplicación.

5. En la pantalla Descripción general de aplicaciones empresariales, haga clic en Configurar inicio de sesión único y, a continuación, seleccione SAML.

   
   

6. En la sección Configuración SAML básica, configure los siguientes valores:

   
   Nota: Obtenga la configuración del proveedor de servicios.

   • Identificador (ID de entidad)

     Nota: El ID de entidad predeterminado de Lexmark Cloud Services es https://idp.iss.lexmark.com. Asegúrese de que el ID de entidad de Azure coincide con el ID de entidad del portal de Lexmark Cloud Services.

   • URL de respuesta (URL del servicio de consumidor de aserción)

     En función de su ubicación, los siguientes son ejemplos de una URL de respuesta completa:

     • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     Nota: Para determinar el valor del parámetro organization_id, inicie sesión en el portal Lexmark Cloud Services y, a continuación, haga clic en Account Management. El organization_id aparece en la URL.
     

7. En la sección Atributos y reclamaciones de usuario, haga clic en Editar.

   

8. Haga clic en Agregar nueva reclamación y, a continuación, escriba el nombre y el origen de cada reclamación.

   

   Reclamaciones requeridas

   Atributo	Origen	Espacio de nombres
   nombre	user.givenname	Deje este campo en blanco.
   apellido	user.surname	Deje este campo en blanco.
   correo	user.mail	Deje este campo en blanco.

   
   

   Reclamaciones opcionales

   Atributo	Origen	Espacio de nombres
   distintivo	Atributo de origen de su organización	Deje este campo en blanco.
   pin	Atributo de origen de su organización	Deje este campo en blanco.
   centro de coste	Atributo de origen de su organización	Deje este campo en blanco.
   Departamento	user.department	Deje este campo en blanco.

   
   

9. En la sección Certificado de firma SAML, haga lo siguiente:

   • Descargue el certificado Base64.

   • Copie las URL de inicio y cierre de sesión.

   

10. En función de la configuración de Azure, asigne usuarios a la aplicación empresarial creada.

    

11. Guarde la configuración.

Configuración de Lexmark Cloud Services

1. En el portal web Account Management, haga clic en Organización > Proveedor de autenticación > Configurar un proveedor de autenticación.

   

2. En la sección Dominios, escriba el dominio del proveedor de identidades y, a continuación, haga clic en Agregar.

   

3. En la sección Configuración de inicio de sesión único, escriba la información correcta en los siguientes campos:

   • ID de la entidad del proveedor de servicios

     Nota: El ID de entidad predeterminado de Lexmark Cloud Services es https://idp.iss.lexmark.com. Asegúrese de que el ID de entidad de Azure coincide con el ID de entidad del portal de Lexmark Cloud Services.

   • URL de destino de SSO: la URL de inicio de sesión de la aplicación empresarial Azure que ha creado.

   • URL de cierre de sesión de SSO: esta URL determina el comportamiento cuando un usuario cierra sesión en el portal de Lexmark Cloud Services.

     • Si desea que el usuario cierre la sesión del inquilino de Azure por completo, escriba la URL de cierre de sesión de la aplicación empresarial de Azure que ha creado.

     • Si desea que solo se cierre la sesión del usuario en Lexmark Cloud Services, escriba otra URL. La URL puede dirigir a una página que usted mantenga (“Ha cerrado la sesión correctamente”) o puede utilizar la página de inicio de sesión de Lexmark Cloud Services correspondiente a su organización. En función de su ubicación, la URL puede ser https://idp.us.iss.lexmark.com o https://idp.eu.iss.lexmark.com.

4. En el campo Certificado, copie y pegue la clave de certificado base-64 del certificado de firma de token del proveedor de identidades.

   

   Si en su lugar tiene un archivo metadata.xml que contiene las direcciones URL y los datos del certificado, agregue el encabezado y el pie de página manualmente.

   -----BEGIN CERTIFICATE----
   MIIC8DCCAdigAwIBAgIQdzA…
   -----END CERTIFICATE-----

5. Haga clic en Configurar proveedor de autenticación.

   Nota: No salga del portal de Lexmark Cloud Services ni deje que se agote el tiempo de espera. Es posible que no pueda iniciar sesión para corregir cualquier problema que detecte durante las pruebas.

Acceso a Lexmark Cloud Services

Pruebe la configuración de federación haciendo que cualquier usuario inicie sesión con uno de los siguientes métodos:

• Iniciar sesión desde un navegador diferente en la misma estación de trabajo.

• Iniciar sesión desde una ventana del navegador privada o incógnito en la misma estación de trabajo.

• Pida a otro usuario que inicie sesión desde su estación de trabajo.

1. Acceda a Lexmark Cloud Services mediante la URL correcta proporcionada por su representante de Lexmark.

   

2. En el proveedor de identidades, introduzca su nombre de usuario y contraseña.

   
   Nota: El nombre de usuario debe ser su dirección de correo electrónico completa. Para obtener más información, consulte Acceso al panel de Lexmark Cloud Services.