Aperçu de la configuration de la fédération Azure Active Directory

Cette section fournit des informations sur la fédération des Services de cloud Lexmark avec Microsoft Azure Active Directory. Pour en savoir plus, contactez l'équipe des Services professionnels de Lexmark.

Conditions préalables

Avant de commencer, assurez-vous que vous disposez d'un accès administrateur aux portails suivants :

• Microsoft Azure Active Directory

• Services de cloud Lexmark

Présentation de la fédération

La fédération est le processus de création d'une relation de confiance entre le fournisseur d'identité (IdP) d'un client et un service externe, comme les Services de cloud Lexmark. Voici des exemples d'IdP :

• Microsoft Azure Active Directory

• Google Identity

• Tout système de gestion des identités compatible SAML 2.0

Après avoir établi une relation de confiance, les utilisateurs peuvent accéder aux Services de cloud Lexmark en utilisant le même nom d'utilisateur et le même mot de passe qu'ils utilisent pour les autres sites et services internes. L'IdP du client gère tous les aspects de la gestion des informations d'identification, tels que la validation des mots de passe, les exigences de complexité, l'expiration et l'utilisation potentielle de l'authentification multifactorielle. L'IdP prend également en charge la connexion unique (SSO), ce qui réduit le nombre de fois où les utilisateurs doivent s'authentifier lorsqu'ils basculent d'un service à un autre.

Expérience utilisateur

Environnement du client avec IdP

La première fois qu'un utilisateur accède aux Services de cloud Lexmark, il est invité à saisir son adresse e-mail, puis il est redirigé vers l'IdP.

Si l'utilisateur s'est déjà connecté à l'IdP et que celui-ci prend en charge la connexion SSO, alors l'utilisateur n'est pas obligé de saisir le mot de passe. Les difficultés que soulève l'authentification multifactorielle sont évitées. Ce processus accélère l'expérience de connexion pour l'utilisateur final.

Environnement du client sans IdP

Si l'utilisateur ne s'est pas connecté à l'IdP, il est invité à saisir son nom d'utilisateur et son mot de passe. Il est confronté aux difficultés soulevées par l'authentification multifactorielle. Une fois connecté, l'utilisateur est redirigé vers les Services de cloud Lexmark.

Flux de travail pour la connexion fédérée

1. Les Services de cloud Lexmark demandent l'adresse e-mail de l'utilisateur. Ces informations permettent de déterminer l'entreprise de l'utilisateur au sein des Services de cloud Lexmark.

   Remarque : Les paramètres de fédération de l'entreprise incluent l'URL du fournisseur d'identité du client.

2. Les Services de cloud Lexmark redirigent l'utilisateur vers l'IdP. Les Services de cloud Lexmark transmettent un champ ID d'entité.

3. L'IdP utilise l'ID d'entité pour déterminer les paramètres applicables à cette tentative de connexion. En fonction de ces paramètres, l'IdP authentifie le nom d'utilisateur et le mot de passe, et peut procéder à une authentification multifactorielle. Si l'IdP prend en charge la connexion unique et que l'utilisateur est déjà connecté à l'IdP, l'utilisateur est automatiquement connecté.

4. L'IdP redirige l'utilisateur vers les Services de cloud Lexmark et transmet les revendications prédéfinies suivantes :

   • Nom d'utilisateur

   • Adresse e-mail

   • Entreprise

   • Informations facultatives, telles que le service et le centre de coûts de l'utilisateur

   L'IdP signe ces revendications à l'aide d'un certificat privé.

5. Les Services de cloud Lexmark ont été préconfigurés avec le certificat public, qu'ils utilisent pour vérifier que ces informations proviennent de la source attendue. Grâce à ce processus, les Services de cloud Lexmark peuvent faire confiance aux informations transmises par le fournisseur d'identité et terminer le processus de connexion.

Configuration d'Azure Active Directory

Les images ci-dessous peuvent varier en pratique.

1. Depuis le portail Azure, accédez à Azure Active Directory.

   

2. Cliquez sur Applications d'entreprise > Nouvelle application.

   
   

3. Cliquez sur Créer votre propre application > Intégrer toute autre application que vous ne trouvez pas dans la galerie (hors galerie).

   

4. Saisissez un nom d'application.

5. Sur l'écran Aperçu des applications d'entreprise, cliquez sur Configurer la connexion unique, puis sélectionnez SAML.

   
   

6. Dans la section Configuration SAML de base, configurez les paramètres suivants :

   
   Remarque : Obtenez les paramètres auprès du fournisseur de services.

   • Identifiant (ID d'entité)

     Remarque : L'ID d'entité des Services de cloud Lexmark par défaut est https://idp.iss.lexmark.com. Assurez-vous que l'ID d'entité dans Azure correspond à l'ID d'entité dans le portail des Services de cloud Lexmark.

   • URL de réponse (URL Assertion Consumer Service)

     En fonction de votre emplacement, voici des exemples d'URL de réponse complète :

     • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     Remarque : Pour déterminer la valeur du paramètre organization_id, connectez-vous au portail des Services de cloud Lexmark, puis cliquez sur Gestion de comptes. La valeur organization_id apparaît dans l'URL.
     

7. Dans la section Attributs utilisateur et revendications, cliquez sur Modifier.

   

8. Cliquez sur Ajouter une nouvelle revendication, puis saisissez le nom et la source de chaque revendication.

   

   Revendications requises

   Caractéristique	Source	Espace de noms
   prénom	user.givenname	Ne renseignez pas ce champ.
   nom	user.surname	Ne renseignez pas ce champ.
   cour. élect.	user.mail	Ne renseignez pas ce champ.

   
   

   Revendications facultatives

   Caractéristique	Source	Espace de noms
   badge	Attribut source de votre entreprise	Ne renseignez pas ce champ.
   code PIN	Attribut source de votre entreprise	Ne renseignez pas ce champ.
   centre de coûts	Attribut source de votre entreprise	Ne renseignez pas ce champ.
   service	user.department	Ne renseignez pas ce champ.

   
   

9. Dans la section Certificat de signature SAML, procédez comme suit :

   • Téléchargez le certificat Base64.

   • Copiez les URL de connexion et de déconnexion.

   

10. En fonction de votre configuration Azure, attribuez des utilisateurs à l'application d'entreprise créée.

    

11. Enregistrez les paramètres.

Configuration des Services de cloud Lexmark

1. Dans le portail Web Gestion de comptes, cliquez sur Entreprise > Fournisseur d'authentification > Configurer un fournisseur d'authentification.

   

2. Dans la section Domaines, saisissez le domaine du fournisseur d'identité, puis cliquez sur Ajouter.

   

3. Dans la section Paramètres de connexion unique, saisissez les informations correctes dans les champs suivants :

   • ID d'entité du fournisseur de services

     Remarque : L'ID d'entité des Services de cloud Lexmark par défaut est https://idp.iss.lexmark.com. Assurez-vous que l'ID d'entité dans Azure correspond à l'ID d'entité dans le portail des Services de cloud Lexmark.

   • URL cible SSO : URL de connexion de l'application d'entreprise Azure que vous avez créée.

   • URL de déconnexion SSO : cette URL détermine le comportement lorsqu'un utilisateur se déconnecte du portail des Services de cloud Lexmark.

     • Si vous souhaitez que l'utilisateur se déconnecte complètement de votre locataire Azure, saisissez l'URL de déconnexion de l'application d'entreprise Azure que vous avez créée.

     • Si vous souhaitez que l'utilisateur se déconnecte uniquement des Services de cloud Lexmark, saisissez une autre URL. L'URL peut pointer vers une page que vous gérez (« Déconnexion réussie ») ou vous pouvez utiliser la page de connexion aux Services de cloud Lexmark appropriée pour votre entreprise. Selon votre emplacement, l'URL peut être https://idp.us.iss.lexmark.com ou https://idp.eu.iss.lexmark.com.

4. Dans le champ Certificat, copiez et collez la clé de certificat en base-64 du certificat de signature de jetons du fournisseur d'identité.

   

   Si vous disposez plutôt d'un fichier metadata.xml contenant les URL et les données de certificat, ajoutez manuellement l'en-tête et le pied de page.

   -----BEGIN CERTIFICATE----
   MIIC8DCCAdigAwIBAgIQdzA…
   -----END CERTIFICATE-----

5. Cliquez sur Configurer le fournisseur d'authentification.

   Remarque : Ne quittez pas le portail des Services de cloud Lexmark et ne laissez pas le délai d'attente expirer. Il se pourrait que vous ne puissiez pas vous connecter pour corriger les problèmes découverts pendant le test.

Accès aux Services de cloud Lexmark

Testez les paramètres de fédération en demandant à un utilisateur de se connecter de l'une des façons suivantes :

• Connectez-vous à partir d'un autre navigateur sur le même poste de travail.

• Connectez-vous à partir d'une fenêtre de navigation privée sur le même poste de travail.

• Demandez à un autre utilisateur de se connecter à partir de son poste de travail.

1. Accédez aux Services de cloud Lexmark à l'aide de l'URL correcte qui vous a été fournie par votre représentant Lexmark.

   

2. Dans le fournisseur d'identité, saisissez votre nom d'utilisateur et votre mot de passe.

   
   Remarque : Le nom d'utilisateur doit être votre adresse e-mail complète. Pour plus d'informations, reportez-vous à la section Accès au tableau de bord des Services de cloud Lexmark.