Configuration des Active Directory Federation Services (AD FS)

Aperçu de la configuration d'AD FS

Cette section fournit des informations sur la configuration de Microsoft AD FS pour la fédération avec Lexmark Print Management. Apprenez à créer un jeton de sécurité avec les revendications requises pour un fournisseur de ressources.

Ce document fournit des informations sur la configuration de SAML (Security Assertion Markup Language) version 2. Si une configuration particulière n'est pas abordée dans ce document, contactez l'équipe des Services professionnels de Lexmark.

Conditions préalables

Avant de commencer, vérifiez les points suivants :

Configuration des ADFS pour le Security Assertion Markup Language

Configuration de l'identifiant de fédération

  1. Sur le serveur AD FS, cliquez sur Outils > Gestion AD FS.

  2. Cliquez sur le dossier de service, puis, dans le panneau Actions, cliquez sur Modifier les propriétés du service de fédération.

    Capture d'écran montrant la fenêtre Propriétés des services de fédération.

  3. Saisissez un nom d'affichage du service de fédération, puis définissez le Nom du service de fédération sur le nom de domaine complet de votre serveur.

  4. Dans le champ Identifiant du service de fédération, saisissez l'identifiant correct. Par exemple, http://ServerFQDN/adfs/services/trust.

    Remarques :

    • Indiquez au fournisseur de ressources le nom du service de fédération. Assurez-vous que le serveur AD FS est accessible depuis Internet.
    • Pour plus d'informations sur l'installation d'un proxy de serveur de fédération, consultez la documentation Microsoft.
    • Pour plus d'informations sur la configuration du rôle d'un proxy de serveur de fédération, consultez la documentation Microsoft.

Configuration des identifiants d'approbation des parties de confiance

  1. Sur le serveur AD FS, cliquez sur Outils > Gestion AD FS.

  2. Développez le dossier Relations de confiance, puis cliquez sur le dossier Approbations des parties de confiance.

  3. Dans le panneau Actions, cliquez sur Ajouter des approbations de parties de confiance.

  4. Cliquez sur Prise en charge des revendications > Démarrer > Entrer manuellement les données concernant la partie de confiance > Suivant.

  5. Saisissez un nom d'affichage, puis cliquez sur Suivant.

  6. Dans la fenêtre Configurer le certificat, cliquez sur Suivant.

  7. Sélectionnez Activer la prise en charge du protocole SAML 2.0 WebSSO, saisissez l'URL de service SAML 2.0 de la partie de confiance, puis cliquez sur Suivant.

    Remarque : Obtenez l'ID d'entreprise auprès du fournisseur de ressources.

    En fonction de votre emplacement, voici des exemples d'URL de service de partie de confiance :

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Saisissez l'identifiant d'approbation de la partie de confiance, puis cliquez sur Ajouter > Suivant.

    Capture d'écran montrant l'URL de service d'une partie de confiance.
    Remarque : Obtenez l'identifiant d'approbation de la partie de confiance auprès du fournisseur de ressources.

    En fonction de votre emplacement, voici des exemples d'identifiants d'approbation de parties de confiance :

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Capture d'écran montrant l'identifiant d'approbation d'une partie de confiance.

  9. Dans la fenêtre Sélectionner une stratégie de contrôle d'accès, sélectionnez Autoriser tout le monde ou la stratégie de contrôle d'accès spécifique de votre entreprise, puis cliquez sur Suivant.

  10. Vérifiez les paramètres d'approbation des parties de confiance, puis cliquez sur Suivant.

  11. Désactivez l'option Configurer une stratégie d'émission de revendications pour cette application, puis cliquez sur Fermer.

  12. Dans la console de gestion AD FS, cliquez sur le dossier Approbations des parties de confiance, cliquez avec le bouton droit de la souris sur l'approbation de partie de confiance créée, puis cliquez sur Propriétés.

  13. Cliquez sur l'onglet Avancé, puis sélectionnez SHA-1 comme algorithme de hachage sécurisé.

    Capture d'écran montrant l'algorithme de hachage sécurisé.

  14. Cliquez sur l'onglet Points de terminaison, puis sélectionnez Ajouter SAML en tant qu'algorithme de hachage sécurisé.

    Capture d'écran montrant le point de terminaison.

  15. Sélectionnez Déconnexion SAML comme type de point de terminaison, puis, dans le champ URL approuvée, saisissez l'URL de déconnexion approuvée de votre serveur AD FS. Par exemple, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Cliquez sur OK > Appliquer > OK.

Configuration des règles de revendication AD FS

  1. Sur le serveur AD FS, cliquez sur Outils > Gestion AD FS.

  2. Cliquez sur le dossier Approbations des parties de confiance, cliquez avec le bouton droit de la souris sur l'identifiant d'approbation de partie de confiance créé, puis cliquez sur Modifier la stratégie d'émission de revendications.

  3. Dans l'onglet Règles de transformation d'émission, cliquez sur Ajouter une règle.

  4. Dans le menu Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.

    Capture d'écran montrant la sélection du modèle de règle de revendication.

  5. Saisissez un nom de règle de revendication, puis dans le menu Magasin d'attributs, sélectionnez Active Directory.

    Capture d'écran montrant la configuration des règles.

  6. Définissez les mappages suivants :

    Attribut LDAP

    Type de revendication sortante

    E-Mail-Addresses

    Adresse e-mail

    User-Principal-Name

    UPN

    Given-Name

    Nom donné

    Surnom

    Surnom

    Service

    service

    <Attribut associé au badge>

    badge

    <Attribut associé au code PIN>

    code PIN

    <Attribut associé au centre de coûts>

    centre de coûts


    Remarque : Remplacez <Attribut associé à> par l'attribut LDAP approprié pour votre entreprise.

  7. Cliquez sur OK > Terminer.

  8. Dans l'onglet Règles de transformation d'émission, cliquez sur Ajouter une règle.

  9. Dans le menu Modèle de règle de revendication, sélectionnez Transformer une revendication entrante, puis cliquez sur Suivant.

  10. Saisissez un nom de règle de revendication, puis dans le menu Type de revendication entrante, sélectionnez Adresse e-mail.

  11. Dans le menu Type de revendication sortante, sélectionnez ID de nom.

  12. Dans le menu Format d'ID de nom sortant, sélectionnez E-mail.

  13. Cliquez sur Terminer > OK.

Capture d'écran montrant la configuration des règles de revendication.

Fourniture de métadonnées aux fournisseurs de ressources

Configuration du fournisseur de ressources

  1. Dans le portail Web Gestion de comptes, cliquez sur Entreprise > Fournisseur d'authentification > Configurer un fournisseur d'authentification.

    Capture d'écran illustrant la configuration d'un fournisseur d'authentification.

  2. Dans la section Domaines, saisissez le domaine du fournisseur d'identité, puis cliquez sur Ajouter.

    Capture d'écran montrant la création de domaines.

  3. Dans la section Paramètres de connexion unique, saisissez les URL appropriées dans les champs suivants :

    • URL cible SSO

    • URL de déconnexion SSO

    Capture d'écran montrant les paramètres de connexion unique.

    Remarques :

    • Utilisez le nom de domaine complet approprié.
    • En fonction de votre emplacement, l'ID d'entité doit être https://idp.us.iss.lexmark.com ou https://idp.eu.iss.lexmark.com.

  4. Dans le champ Certificat, copiez et collez la clé de certificat en base-64 du certificat de signature de jetons du fournisseur d'identité.

    Capture d'écran montrant les informations sur le certificat.
    Remarque : Pour plus d'informations, reportez-vous à la section Obtention du certificat de signature de jetons.

  5. Cliquez sur Enregistrer les modifications.

Obtention du certificat de signature de jetons

  1. Sur le serveur AD FS, cliquez sur Outils > Gestion AD FS.

  2. Développez le dossier Service, puis cliquez sur le dossier Certificats.

  3. Localisez le certificat de signature de jetons.

  4. Dans le panneau Actions, cliquez sur Afficher le certificat.

  5. Dans l'onglet Détails, cliquez sur Copier dans un fichier, puis suivez les instructions de l'assistant.

  6. Sur l'écran Format du fichier d'exportation, sélectionnez X.509 encodé en Base-64 (.CER).

    Capture d'écran montrant la fenêtre Assistant d'exportation de certificat.

  7. Enregistrez le certificat.

Vérification de la configuration

Configuration des rôles utilisateur dans Active Directory

Avant de commencer, assurez-vous que les utilisateurs Active Directory sont configurés avec un compte d'e-mail.

  1. A partir du serveur Active Directory, lancez le panneau Utilisateurs et ordinateurs Active Directory.

  2. Localisez les propriétés du compte de l'utilisateur concerné.

  3. Dans l'onglet Général, spécifiez l'adresse e-mail avec le domaine d'entreprise approprié.

    Capture d'écran montrant la fenêtre Propriétés du compte utilisateur.

  4. Cliquez sur OK.

Assurez-vous que les utilisateurs sont également configurés avec les attributs LDAP suivants :

Accès aux Services de cloud Lexmark

  1. Accédez aux Services de cloud Lexmark à l'aide de l'URL correcte qui vous a été fournie par votre représentant Lexmark.

    Capture d'écran montrant le portail des Services de cloud Lexmark.

  2. Dans le fournisseur d'identité, saisissez votre nom d'utilisateur et votre mot de passe.

    Capture d'écran montrant l'invite du fournisseur d'identité.
    Remarque : Le nom d'utilisateur doit être votre adresse e-mail complète. Pour plus d'informations, reportez-vous à la section Accès au tableau de bord des Services de cloud Lexmark.