AD FS -palvelun määrittämisen yleiskuvaus

Tässä osassa on tietoja Microsoft AD FS -palvelun määrittämisestä tunnistetietojen yhdistämiseen Lexmark Print Managementin kanssa. Opi luomaan resurssipalvelua varten suojaustunnus, jossa on vaaditut väitteet.

Tässä asiakirjassa on tietoja Security Assertion Markup Language (SAML) -kielen version 2 määrittämisestä. Jos tiettyä määritystä ei käsitellä tässä asiakirjassa, ota yhteyttä Lexmarkin ammattilaispalvelujen tiimiin.

Esivaatimukset

Tarkista seuraavat asiat ennen aloittamista:

• Tässä asiakirjassa olevat vaiheet suoritetaan toimialueen Active Directory -palvelimessa.

• Palvelin on Microsoft Windows Server 2016, jossa on uusin Service Pack.

• Palvelimella on palvelinvarmenne ja AD FS -rooli asennetaan.

  Huomautus: Valitse palvelinvarmenne ja määritä palvelutili, kun asennat AD FS -roolin.

Liittoutumistunnuksen määrittäminen

1. Valitse AD FS -palvelimessa Työkalut > AD FS -hallinta.

2. Napsauta palvelun kansiota ja valitse Toiminnot-paneelista Muokkaa liittoutumispalvelujen ominaisuuksia.

   

3. Kirjoita liittoutumispalvelun näyttönimi ja määritä sitten Liittoutumispalvelun nimi -kohtaan palvelimesi toimialueen täydellinen nimi.

4. Kirjoita Liittoutumispalvelun tunnus -kenttään oikea tunnus. Esimerkiksi http://ServerFQDN/adfs/services/trust.

   Huomautuksia:

   • Määritä resurssipalvelu liittoutumispalvelun nimelle. Varmista, että AD FS -palvelimeen saa yhteyden internetistä.
   • Lisätietoja liittoutumispalvelimen välityspalvelimen asentamisesta on Microsoftin ohjeissa.
   • Lisätietoja liittoutumispalvelimen välityspalvelinroolin määrittämisestä on Microsoftin ohjeissa.

Luottavan osapuolen luottamustunnusten määrittäminen

1. Valitse AD FS -palvelimessa Työkalut > AD FS -hallinta.

2. Laajenna Luottamussuhteet-kansio ja napsauta sitten Luottavan osapuolen luottamukset -kansiota.

3. Valitse Toiminnot-paneelista Lisää luottavan osapuolen luottamukset.

4. Valitse Väitteitä tukevat > Aloitus > Lisää luottavan osapuolen tiedot manuaalisesti > Seuraava.

5. Kirjoita näyttönimi ja valitse sitten Seuraava.

6. Valitse Määritä varmenne -ikkunassa Seuraava.

7. Valitse Ota SAML 2.0 WebSSO -protokollan tuki käyttöön, kirjoita luottavan osapuolen SAML 2.0 -palvelun URL-osoite ja valitse sitten Seuraava.

   Huomautus: Hanki organisaation tunnus resurssipalvelusta.

   Tässä on esimerkkejä luottavan osapuolen palvelun URL-osoitteista, jotka riippuvat sijainnista:

   • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

   • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

8. Kirjoita luottavan osapuolen luottamustunnus ja valitse sitten Lisää > Seuraava.

   
   Huomautus: Hanki luottavan osapuolen luottamustunnus resurssipalvelusta.

   Tässä on esimerkkejä luottavan osapuolen luottamustunnuksista, jotka riippuvat sijainnista:

   • https://idp.us.iss.lexmark.com

   • https://idp.eu.iss.lexmark.com

   

9. Valitse Valitse käyttöoikeuksien valvontakäytäntö -ikkunassa Salli kaikki tai organisaatiosi oma käyttöoikeuksien valvontakäytäntö ja valitse sitten Seuraava.

10. Tarkista luottavan osapuolen luottamusasetukset ja valitse sitten Seuraava.

11. Tyhjennä Määritä tälle sovellukselle väitteiden myöntämiskäytäntö ja valitse sitten Sulje.

12. Napsauta AD FS -hallintakonsolissa Luottavan osapuolen luottamukset -kansiota, napsauta luotua luottavan osapuolen luottamustunnusta hiiren kakkospainikkeella ja valitse sitten Ominaisuudet.

13. Napsauta Lisäasetukset-välilehteä ja valitse sitten tiivistefunktioksi SHA-1.

    

14. Napsauta Päätepisteet-välilehteä ja valitse sitten tiivistefunktioksi Lisää SAML.

    

15. Valitse päätepisteen tyypiksi SAML-uloskirjautuminen ja kirjoita sitten Luotettu URL-osoite -kenttään AD FS -palvelimesi luotettu uloskirjautumisen URL-osoite. Esimerkiksi https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

16. Valitse OK > Käytä > OK.

AD FS -väitesääntöjen määrittäminen

1. Valitse AD FS -palvelimessa Työkalut > AD FS -hallinta.

2. Napsauta Luottavan osapuolen luottamukset -kansiota, napsauta luotua luottavan osapuolen luottamustunnusta hiiren kakkospainikkeella ja valitse sitten Muokkaa väitteen myöntämiskäytäntöä.

3. Valitse Myöntämisen muuntosäännöt -välilehdessä Lisää sääntö.

4. Valitse Väitesäännön malli -valikosta Lähetä LDAP-määritteet väitteinä ja valitse sitten Seuraava.

   

5. Kirjoita väitesäännön nimi ja valitse sitten Määritesäilö-valikosta Active Directory.

   

6. Tee seuraavat määritykset:

   LDAP-määrite	Lähtevän väitteen tyyppi
   Sähköpostiosoitteet	Sähköpostiosoite
   User-Principal-Name	UPN
   Etunimi	Etunimi
   Sukunimi	Sukunimi
   Osasto	osasto
   <Määrite, joka liittyy nimilappuun>	nimilappu
   <Määrite, joka liittyy PIN-koodiin>	pin
   <Määrite, joka liittyy kustannuskeskukseen>	kustannuskeskus

   
   
   Huomautus: Vaihda <Määrite, joka liittyy> -kohtaan organisaatiosi oikea LDAP-määrite.

7. Valitse OK > Valmis.

8. Valitse Myöntämisen muuntosäännöt -välilehdessä Lisää sääntö.

9. Valitse Väitesäännön malli -valikosta Muunna saapuva väite ja valitse sitten Seuraava.

10. Kirjoita väitesäännön nimi ja valitse sitten Saapuvan väitteen tyyppi -valikosta Sähköpostiosoite.

11. Valitse Lähtevän väitteen tyyppi -valikosta Nimen tunnus.

12. Valitse Lähtevän nimen tunnuksen muoto -valikosta Sähköpostiosoite.

13. Valitse Valmis > OK.

Resurssipalvelun määrittäminen

1. Valitse Tilinhallinta-portaalissa Organisaatio > Käyttöoikeuksien todentamispalvelu > Määritä käyttöoikeuksien todentamispalvelu.

   

2. Kirjoita Toimialueet-osassa käyttäjätietojen tarjoajan toimialue ja valitse sitten Lisää.

   

3. Kirjoita Kertakirjautumisen asetukset -osassa oikeat URL-osoitteet seuraaviin kenttiin:

   • SSO-kohteen URL-osoite

   • SSO-uloskirjautumisen URL-osoite

   

   Huomautuksia:

   • Käytä oikeaa toimialueen täydellistä nimeä.
   • Sijainnistasi riippuen yksikkötunnuksen on oltava https://idp.us.iss.lexmark.com tai https://idp.eu.iss.lexmark.com.

4. Kopioi ja liitä Varmenne-kenttään base64-varmenteen avain käyttäjätietojen tarjoajan tunnuksen allekirjoitusvarmenteesta.

   
   Huomautus: Lisätietoja on kohdassa Tunnuksen allekirjoitusvarmenteen hankkiminen.

5. Valitse Tallenna muutokset.

Tunnuksen allekirjoitusvarmenteen hankkiminen

1. Valitse AD FS -palvelimessa Työkalut > AD FS -hallinta.

2. Laajenna Palvelu-kansio ja napsauta sitten Varmenteet-kansiota.

3. Etsi tunnuksen allekirjoitusvarmenne.

4. Valitse Toiminnot-paneelista Näytä varmenne.

5. Valitse Tiedot-välilehdessä Kopioi tiedostoon, ja noudata sitten ohjattua toimintoa.

6. Valitse Viennin tiedostomuoto -näytöstä Base64-koodattu X.509 (.CER).

   

7. Tallenna varmenne.

Käyttäjäroolien määrittäminen Active Directoryssa

Varmista ennen aloittamista, että Active Directory -käyttäjille on määritetty sähköpostiosoite.

1. Avaa Active Directory -palvelimessa Active Directoryn käyttäjät ja tietokoneet -paneeli.

2. Etsi tietyn käyttäjän tilin ominaisuudet.

3. Määritä Yleiset-välilehdessä sähköpostiosoite, jossa on oikea yrityksen toimialue.

   

4. Napsauta OK-painiketta.

Varmista, että käyttäjille määritetään myös seuraavat LDAP-määritteet:

• UPN

• Etunimi

• Sukunimi

• Osasto

• Nimilappu

• PIN-koodi

• Kustannuskeskus

Lexmark Cloud -palvelujen käyttäminen

1. Käytä Lexmark Cloud -palveluja oikealla URL-osoitteella, jonka saat Lexmark-edustajalta.

   

2. Kirjoita käyttäjätietojen tarjoajalta saatu käyttäjätunnus ja salasana.

   
   Huomautus: Käyttäjätunnuksen on oltava sähköpostiosoitteesi kokonaisuudessaan. Lisätietoja on kohdassa Lexmark Cloud -palvelujen koontinäytön käyttäminen.