Configurazione di Active Directory Federation Services (AD FS)

Panoramica della configurazione di AD FS

Questa sezione fornisce informazioni sulla configurazione di Microsoft AD FS per la federazione con Lexmark Print Management, nonché informazioni su come creare un token di sicurezza con le attestazioni richieste per un provider di risorse.

Questo documento fornisce informazioni sulla configurazione di Security Assertion Markup Language (SAML) versione 2. Se una particolare configurazione non è trattata in questo documento, contattare il team Servizi professionali Lexmark.

Prerequisiti

Prima di iniziare, accertarsi delle seguenti condizioni:

Le operazioni descritte in questo documento vengono eseguite su un server Active Directory in un dominio.
Il server utilizza Microsoft Windows Server 2016 con il Service Pack più recente.
Il server dispone di un certificato ed è installato il ruolo AD FS.
Nota: Selezionare il certificato del server, quindi specificare un account di servizio quando si installa il ruolo AD FS.

Configurazione di ADFS per Security Assertion Markup Language (SAML)

Configurazione dell'identificatore della federazione

Sul server AD FS, fare clic su Strumenti > Gestione AD FS.
Fare clic sulla cartella dei servizi, quindi nel pannello Azioni fare clic su Modifica proprietà servizio federativo.
Digitare un nome di visualizzazione del servizio federativo, quindi impostare Nome servizio federativo sul nome di dominio completo del server.
Nel campo Identificatore servizio federativo, digitare l'identificatore corretto. Ad esempio, http://ServerFQDN/adfs/services/trust.
Note:
- Fornire al provider di risorse il nome del servizio federativo. Assicurarsi che il server AD FS sia accessibile da Internet.
- Per ulteriori informazioni sull'installazione di un proxy server federativo, consultare la documentazione Microsoft.
- Per ulteriori informazioni sulla configurazione del ruolo proxy del server federativo, consultare la documentazione Microsoft.

Configurazione degli identificatori dell'attendibilità componente

Sul server AD FS, fare clic su Strumenti > Gestione AD FS.
Espandere la cartella Relazioni di attendibilità, quindi fare clic sulla cartella Attendibilità componente.
Nel pannello Azioni, fare clic su Aggiungi attendibilità componente.
Fare clic su In grado di riconoscere attestazioni > Avvia > Immetti dati sul componente manualmente > Avanti.
Digitare un nome di visualizzazione, quindi fare clic su Avanti.
Nella finestra Configura certificato, fare clic su Avanti.
Selezionare Abilita supporto del protocollo SAML 2.0 WebSSO, digitare l'URL del servizio SAML 2.0 del componente, quindi fare clic su Avanti.
Nota: ottenere l'ID organizzazione dal provider di risorse.
A seconda della propria posizione, di seguito sono riportati alcuni esempi di URL del servizio del componente:
- https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
- https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
Digitare l'identificatore dell'attendibilità del componente, quindi fare clic su Aggiungi > Avanti.
Nota: ottenere l'identificatore dell'attendibilità del componente dal provider di risorse.
A seconda della propria posizione, di seguito sono riportati alcuni esempi di identificatori dell'attendibilità del componente:
- https://idp.us.iss.lexmark.com
- https://idp.eu.iss.lexmark.com
Nella finestra Scegli criteri di controllo di accesso, selezionare Autorizza tutti o il criterio di controllo accesso specifico per la propria organizzazione, quindi fare clic su Avanti.
Rivedere le impostazioni di attendibilità del componente, quindi fare clic su Avanti.
Deselezionare Configura i criteri di rilascio attestazioni per questa applicazione, quindi fare clic su Chiudi.
Nella console di gestione di AD FS, fare clic sulla cartella Attendibilità componente, fare clic con il pulsante destro del mouse sull'attendibilità del componente creata, quindi scegliere Proprietà.
Fare clic sulla scheda Avanzate, quindi selezionare SHA-1 come algoritmo hash sicuro.
Fare clic sulla scheda Endpoint, quindi selezionare Aggiungi SAML come algoritmo hash sicuro.
Selezionare Disconnessione SAML come tipo di endpoint, quindi nel campo URL attendibile digitare l'URL di disconnessione attendibile del server AD FS. Ad esempio, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.
Fare clic su OK > Applica > OK.

Configurazione delle regole attestazione di AD FS

Sul server AD FS, fare clic su Strumenti > Gestione AD FS.
Fare clic sulla cartella Attendibilità componente, fare clic con il pulsante destro del mouse sull'identificatore dell'attendibilità componente creato, quindi scegliere Modifica criteri di rilascio attestazioni.
Nella scheda Regole di trasformazione rilascio, fare clic su Aggiungi regola.
Nel menu Modello di regola attestazione, selezionare Inviare attributi LDAP come attestazioni, quindi fare clic su Avanti.
Digitare un nome per regola attestazione, quindi nel menu Archivio attributi selezionare Active Directory.

Definire i mapping seguenti:

Attributo LDAP	Tipo di attestazione in uscita
E-Mail-Addresses	Indirizzo e-mail
User-Principal-Name	UPN
Given-Name	Nome
Cognome	Cognome
Department	reparto
<Attributo corrispondente al badge>	badge
<Attributo corrispondente al pin>	pin
<Attributo corrispondente al centro di costi>	costCenter

Nota: Sostituire <Attributo corrispondente a> con l'attributo LDAP corretto per la propria organizzazione.

Fare clic su OK > Fine.
Nella scheda Regole di trasformazione rilascio, fare clic su Aggiungi regola.
Nel menu Modello di regola attestazione, selezionare Trasformare un'attestazione in ingresso, quindi fare clic su Avanti.
Digitare un nome per la regola attestazione, quindi dal menu Tipo di attestazione in ingresso selezionare Indirizzo e-mail.
Nel menu Tipo di attestazione in uscita, selezionare ID nome.
Nel menu Formato ID nome in uscita, selezionare E-mail.
Fare clic su Fine > OK.

Schermata che mostra la configurazione delle regole attestazione

Fornitura di metadati ai provider di risorse

Configurazione del provider di risorse

Nel portale Web Gestione account, fare clic su Organizzazione > Provider di autenticazione > Configura un provider di autenticazione.
Nella sezione Domini, digitare il dominio del provider di identità, quindi fare clic su Aggiungi.
Nella sezione Impostazioni Single Sign-On, digitare gli URL corretti nei seguenti campi:
- URL di destinazione SSO
- URL di disconnessione SSO
Note:
- Utilizzare il nome di dominio completo corretto.
- A seconda della propria posizione, l'ID entità deve essere https://idp.us.iss.lexmark.com o https://idp.eu.iss.lexmark.com.
Nel campo Certificato, copiare e incollare la chiave del certificato base-64 dal certificato per la firma di token del provider di identità.
Nota: Per ulteriori informazioni, vedere Come ottenere il certificato per la firma di token.
Fare clic su Salva modifiche.

Come ottenere il certificato per la firma di token

Sul server AD FS, fare clic su Strumenti > Gestione AD FS.
Espandere la cartella Servizio, quindi fare clic sulla cartella Certificati.
Individuare il certificato per la firma di token.
Nel pannello Azioni, fare clic su Visualizza certificato.
Nella scheda Dettagli, fare clic su Copia su file, quindi seguire la procedura guidata.
Nella schermata Formato file di esportazione, selezionareBase-64 encoded X.509 (.CER).
Salvare il certificato.

Verifica della configurazione

Configurazione dei ruoli utente in Active Directory

Prima di iniziare, assicurarsi che gli utenti di Active Directory siano configurati con un account e-mail.

Nel server di Active Directory, avviare il pannello Utenti e computer di Active Directory.
Individuare le proprietà dell'account utente specifico.
Nella scheda Generale, specificare l'indirizzo e-mail con il dominio aziendale corretto.
Fare clic su OK.

Assicurarsi che gli utenti siano configurati anche con i seguenti attributi LDAP:

UPN
Given-Name
Cognome
Reparto
Badge
PIN
Centro di costi