Azure AD -liitoksen määrittäminen

Tunnistetietojen yhdistämisen toiminta

Tunnistetietojen yhdistäminen on prosessi, jossa luodaan luottamussuhde asiakkaan käyttäjätietojen tarjoajan (IdP) ja ulkoisen palvelun, kuten Lexmark Cloud -palvelujen, välille. Seuraavat ovat esimerkkejä käyttäjätietojen tarjoajista:

Microsoft Azure Active Directory
Google Identity
Mikä tahansa SAML 2.0 -yhteensopiva henkilöllisyyden hallintajärjestelmä

Kun luottamussuhde on luotu, käyttäjät voivat käyttää Lexmark Cloud -palveluja samalla käyttäjätunnuksella ja salasanalla kuin muita sisäisiä sivustoja ja palveluja. Asiakkaan käyttäjätietojen tarjoaja hallitsee kaikkia tunnistetietoihin liittyviä toimia, kuten salasanan vahvistamista, monimutkaisuusvaatimuksia, vanhenemista ja mahdollista monimenetelmäisen todennuksen käyttöä. Käyttäjätietojen tarjoaja tukee myös kertakirjautumista (SSO), joka vähentää käyttäjiltä vaadittuja todentautumisia, kun he vaihtavat palvelujen välillä.

Käyttökokemus

Asiakkaan ympäristö, kun käytössä on käyttäjätietojen tarjoaja

Kun käyttäjä käyttää Lexmark Cloud -palveluja ensimmäistä kertaa, häntä pyydetään antamaan sähköpostiosoite, ja hänet ohjataan sitten käyttäjätietojen tarjoajalle.
Jos käyttäjä on jo kirjautunut sisään käyttäjätietojen tarjoajaan ja se tukee kertakirjautumista, käyttäjän ei tarvitse antaa salasanaa. Monimenetelmäisen todennuksen haasteet estetään. Prosessi luo käyttäjälle nopean sisäänkirjautumiskokemuksen.

Asiakkaan ympäristö ilman käyttäjätietojen tarjoajaa

Jos käyttäjä ei ole kirjautunut sisään käyttäjätietojen tarjoajaan, käyttäjätunnus ja salasana pyydetään. Monimenetelmäisen todennuksen haasteet näytetään. Kun käyttäjä on kirjautunut sisään, hänet ohjataan Lexmark Cloud -palveluihin.

Yhdistettyjen tunnistetietojen sisäänkirjautumisen työnkulku

Lexmark Cloud -palvelut pyytää käyttäjän sähköpostiosoitteen. Tämän tiedon avulla Lexmark Cloud -palvelut löytää asiakkaan organisaation Lexmark Cloud -palveluista.
Huomautus: Organisaation tunnistetietojen yhdistämisen asetukset sisältävät asiakkaan käyttäjätietojen tarjoajan URL-osoitteen.
Lexmark Cloud -palvelut ohjaa käyttäjän käyttäjätietojen tarjoajalle. Lexmark Cloud -palvelut välittää sille Yksikkötunnus-kentän.
Käyttäjätietojen tarjoaja käyttää Yksikkötunnus-tietoa sen määrittämiseen, mitkä asetukset koskevat tätä sisäänkirjautumisyritystä. Asetuksista riippuen käyttäjätietojen tarjoaja todentaa käyttäjätunnuksen ja salasanan, ja saattaa suorittaa monimenetelmäisen todennuksen. Jos käyttäjätietojen tarjoaja tukee kertakirjautumista ja käyttäjä on jo kirjautunut sisään käyttäjätietojen tarjoajaan, käyttäjä kirjataan sisään automaattisesti.
Käyttäjätietojen tarjoaja ohjaa käyttäjän Lexmark Cloud -palveluihin ja välittää seuraavat esimääritetyt väitteet:
- Käyttäjätunnus
- Sähköpostiosoite
- Organisaatio
- Valinnaisia tietoja, kuten käyttäjän osasto ja kustannuskeskus
Käyttäjätietojen tarjoaja allekirjoittaa nämä väitteet käyttämällä yksityistä varmennetta.
Lexmark Cloud -palveluihin on esimääritetty julkinen varmenne, ja se käyttää varmennetta sen tarkistamiseen, että nämä tiedot tulivat odotetulta lähteeltä. Tämän prosessin ansiosta Lexmark Cloud -palvelut voi luottaa tietoihin, jotka käyttäjätietojen tarjoaja välittää, ja sisäänkirjautumisprosessi päättyy.

Azure Active Directory -palvelun määrittäminen

Alla olevat näkymät saattavat vaihdella käytännössä.

Valitse Azure-portaalissa Azure Active Directory.
Valitse Yrityssovellukset > Uusi sovellus.
Valitse Luo oma sovellus > Integroi muu sovellus, jota ei ole galleriassa.
Kirjoita sovelluksen nimi.
Valitse Yrityssovellusten yhteenveto -näytössä Määritä kertakirjautuminen ja valitse sitten SAML.
Määritä SAML-perusmääritykset-osassa seuraavat asetukset:
Huomautus: Hanki asetukset palveluntarjoajalta.
- Tunnus (yksikkötunnus)
  Huomautus: Lexmark Cloud -palvelujen oletusarvoinen yksikkötunnus on https://idp.iss.lexmark.com. Varmista, että Azuressa oleva yksikkötunnus vastaa Lexmark Cloud -palvelujen portaalissa olevaa yksikkötunnusta.
- Vastaus-URL (Assertion Consumer Service URL)
  Tässä on esimerkkejä täydellisistä vastaus-URL-osoitteista, jotka riippuvat sijainnista:
  - https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  - https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  Huomautus: Tarkista organization_id-parametrin arvo kirjautumalla Lexmark Cloud -palvelujen portaaliin ja valitsemalla sitten Tilinhallinta. organization_id näkyy URL-osoitteessa.
Valitse Käyttäjämääritteet ja -väitteet -osassa Muokkaa.

Valitse Lisää uusi väite ja kirjoita sitten kunkin väitteen nimi ja lähde.

Näyttökuva uusien väitteiden luomisesta.

Vaaditut väitteet
Määrite	Lähde	Nimitila
firstname	user.givenname	Jätä tämä kenttä tyhjäksi.
lastname	user.surname	Jätä tämä kenttä tyhjäksi.
sähköposti	user.mail	Jätä tämä kenttä tyhjäksi.

Valinnaiset väitteet
Määrite	Lähde	Nimitila
nimilappu	Organisaation lähdemäärite	Jätä tämä kenttä tyhjäksi.
pin	Organisaation lähdemäärite	Jätä tämä kenttä tyhjäksi.
kustannuskeskus	Organisaation lähdemäärite	Jätä tämä kenttä tyhjäksi.
osasto	user.department	Jätä tämä kenttä tyhjäksi.

Tee SAML-allekirjoitusvarmenne -osassa seuraavat:
- Lataa Base64-varmenne.
- Kopioi sisäänkirjautumisen ja uloskirjautumisen URL-osoitteet.
Määritä käyttäjiä luotuun yrityssovellukseen Azure-kokoonpanosi mukaisesti.
Tallenna asetukset.

Lexmark Cloud -palvelujen määrittäminen

Valitse Tilinhallinta-portaalissa Organisaatio > Käyttöoikeuksien todentamispalvelu > Määritä käyttöoikeuksien todentamispalvelu.
Kirjoita Toimialueet-osassa käyttäjätietojen tarjoajan toimialue ja valitse sitten Lisää.
Kirjoita Kertakirjautumisen asetukset -osassa oikeat tiedot seuraaviin kenttiin:
- Palveluntarjoajan yksikkötunnus
  Huomautus: Lexmark Cloud -palvelujen oletusarvoinen yksikkötunnus on https://idp.iss.lexmark.com. Varmista, että Azuressa oleva yksikkötunnus vastaa Lexmark Cloud -palvelujen portaalissa olevaa yksikkötunnusta.
- SSO-kohteen URL-osoite – Luomasi Azure-yrityssovelluksen sisäänkirjautumisen URL-osoite.
- SSO-uloskirjautumisen URL-osoite – Tämä URL-osoite määrittää toiminnan, kun käyttäjä kirjautuu ulos Lexmark Cloud -palvelujen portaalista.
  - Jos haluat, että käyttäjä kirjataan kokonaan ulos Azure-vuokraajasta, kirjoita luomasi Azure-yrityssovelluksen uloskirjautumisen URL-osoite.
  - Jos haluat, että käyttäjä kirjataan ulos vain Lexmark Cloud -palveluista, kirjoita toinen URL-osoite. URL-osoite voi viedä ylläpitämällesi sivulle (”Olet kirjautunut ulos”) tai voit käyttää organisaatiollesi sopivaa Lexmark Cloud -palvelujen sisäänkirjautumissivua. Sijainnistasi riippuen URL-osoite voi olla https://idp.us.iss.lexmark.com tai https://idp.eu.iss.lexmark.com.
Kopioi ja liitä Varmenne-kenttään base64-varmenteen avain käyttäjätietojen tarjoajan tunnuksen allekirjoitusvarmenteesta.
Jos sinulla on sen sijaan metadata.xml-tiedosto, joka sisältää URL-osoitteet ja varmennetiedot, lisää ylä- ja alatunniste käsin.
```
-----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----
```
Valitse Määritä käyttöoikeuksien todentamispalvelu.
Huomautus: Älä poistu Lexmark Cloud -palvelujen portaalista tai anna sen aikakatkaista yhteyttä. Et välttämättä pääse kirjautumaan sisään ja korjaamaan mahdollisia ongelmia, jotka löydät testauksen aikana.

Lexmark Cloud -palvelujen käyttäminen

Testaa tunnistetietojen yhdistämisen asetuksia pyytämällä käyttäjää kirjautumaan sisään jollakin seuraavista tavoista:

Kirjaudu sisään eri selaimella samalta työasemalta.
Kirjaudu yksityisestä tai incognito-selainikkunasta samalla työasemalla.
Pyydä toista käyttäjää kirjautumaan käyttäjän työasemalta.

Käytä Lexmark Cloud -palveluja oikealla URL-osoitteella, jonka saat Lexmark-edustajalta.
Kirjoita käyttäjätietojen tarjoajalta saatu käyttäjätunnus ja salasana.
Huomautus: Käyttäjätunnuksen on oltava sähköpostiosoitteesi kokonaisuudessaan. Lisätietoja on kohdassa Lexmark Cloud -palvelujen koontinäytön käyttäminen.