Configurazione di Azure AD Federation

Panoramica della configurazione della federazione di Azure Active Directory

Questa sezione fornisce informazioni sulla federazione di Lexmark Cloud Services con Microsoft Azure Active Directory. Per ulteriori informazioni, contattare il team Servizi professionali Lexmark.

Prerequisiti

Prima di iniziare, assicurarsi di disporre dell'accesso come amministratore ai seguenti portali:

Informazioni sulla federazione

La federazione è il processo di creazione di una relazione di attendibilità tra un provider di identità del cliente (IdP) e un servizio esterno, come Lexmark Cloud Services. Di seguito sono riportati alcuni esempi di IdP:

Dopo aver stabilito una relazione di attendibilità, gli utenti possono accedere a Lexmark Cloud Services utilizzando lo stesso nome utente e la stessa password per altri siti e servizi interni. L'IdP del cliente gestisce tutti gli aspetti della gestione delle credenziali, come la convalida delle password, i requisiti di complessità, la scadenza e il potenziale utilizzo dell'autenticazione a più fattori. L'IdP supporta anche l'accesso Single Sign-On (SSO), che consente di ridurre il numero di volte in cui gli utenti devono autenticarsi quando passano da un servizio all'altro.

Esperienza utente

Ambiente del cliente con IdP

La prima volta che un utente accede a Lexmark Cloud Services, viene visualizzata una richiesta di indirizzo e-mail, quindi l'utente viene reindirizzato all'IdP.

Se l'utente ha già effettuato l'accesso all'IdP e quest'ultimo supporta SSO, non viene visualizzata alcuna richiesta di immissione della password. Si evitano in questo modo le richieste di autenticazione a più fattori. Questo processo crea un'esperienza di accesso rapido per l'utente finale.

Ambiente del cliente senza IdP

Se l'utente non ha effettuato l'accesso all'IdP, vengono visualizzate le richieste relative a nome utente e password. Vengono quindi attuate verifiche di autenticazione a più fattori Dopo l'accesso, l'utente viene reindirizzato a Lexmark Cloud Services.

Flusso di lavoro per l'accesso federato

  1. Lexmark Cloud Services richiede l'indirizzo e-mail dell'utente. Queste informazioni consentono a Lexmark Cloud Services di determinare l'organizzazione dell'utente al suo interno.

    Nota: le impostazioni di federazione per l'organizzazione includono l'URL del provider di identità del cliente.

  2. Lexmark Cloud Services reindirizza l'utente all'IdP. Lexmark Cloud Services passa un campo Entity ID.

  3. L'IdP utilizza il valore Entity ID per determinare quali impostazioni si applicano a questo tentativo di accesso. A seconda delle impostazioni, l'IdP autentica il nome utente e la password e può eseguire l'autenticazione a più fattori. Se l'IdP supporta SSO e l'utente ha già eseguito l'accesso all'IdP, l'utente viene connesso automaticamente.

  4. L'IdP reindirizza l'utente a Lexmark Cloud Services e trasmette le seguenti attestazioni predefinite:

    • Nome utente

    • Indirizzo e-mail

    • Organizzazione

    • Informazioni opzionali, come il reparto dell'utente e il centro di costi

    L'IdP firma tali attestazioni utilizzando un certificato privato.

  5. Lexmark Cloud Services è stato preconfigurato con il certificato pubblico e lo utilizza per verificare che queste informazioni provengano dall'origine prevista. Questo processo consente a Lexmark Cloud Services di considerare attendibili le informazioni passate dall'IdP e completa il processo di accesso.

Configurazione di Azure Active Directory

Le immagini riportate di seguito possono variare nella pratica.

  1. Nel portale di Azure, passare ad Azure Active Directory.

    Schermata che mostra il passaggio ad Azure Active Directory.

  2. Fare clic su Applicazioni aziendali > Nuova applicazione.

    Schermata che mostra il passaggio all'impostazione Applicazioni aziendali.
    Schermata che mostra il pulsante Nuova applicazione.

  3. Fare clic su Creare una propria applicazione > Integrare qualsiasi altra applicazione non trovata nella raccolta.

    Schermata che mostra il passaggio alle applicazioni non trovate nella raccolta.

  4. Digitare un nome per l'applicazione.

  5. Nella schermata Panoramica di Applicazioni aziendali, fare clic su Configurare l'accesso Single Sign-On, quindi selezionare SAML.

    Schermata che mostra la configurazione del metodo Single Sign-on.
    Schermata che mostra SAML come metodo Single Sign-on.

  6. Nella sezione Configurazione SAML di base, configurare le seguenti impostazioni:

    Schermata che mostra la configurazione degli attributi utente.
    Nota: ottenere le impostazioni dal provider di servizi.

    • Identificatore (ID entità)

      Nota: l'ID entità predefinito di Lexmark Cloud Services è https://idp.iss.lexmark.com. Assicurarsi che l'ID entità in Azure corrisponda all'ID entità nel portale Lexmark Cloud Services.

    • URL di risposta (URL del servizio consumer di asserzione)

      A seconda della propria posizione, di seguito sono riportati alcuni esempi di URL di risposta completo:

      • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      Nota: Per determinare il valore del parametro organization_id, accedere al portale Lexmark Cloud Services, quindi fare clic su Gestione account. L'organization_id è visualizzato nell'URL.
      Schermata che mostra la posizione dell'ID organizzazione.

  7. Nella sezione Attestazioni e attributi utente, fare clic su Modifica.

    Schermata che mostra la sezione Attestazioni e attributi utente.

  8. Fare clic su Aggiungi nuova attestazione, quindi digitare il nome e l'origine di ciascuna attestazione.

    Schermata che mostra la creazione di nuove attestazioni.
    Attestazioni richieste

    Attributo

    Origine

    Spazio dei nomi

    firstname

    user.givenname

    Lasciare vuoto questo campo.

    lastname

    user.surname

    Lasciare vuoto questo campo.

    e-mail

    user.mail

    Lasciare vuoto questo campo.


    Attestazioni opzionali

    Attributo

    Origine

    Spazio dei nomi

    badge

    Attributo di origine per la propria organizzazione

    Lasciare vuoto questo campo.

    pin

    Attributo di origine per la propria organizzazione

    Lasciare vuoto questo campo.

    costCenter

    Attributo di origine per la propria organizzazione

    Lasciare vuoto questo campo.

    department

    user.department

    Lasciare vuoto questo campo.


  9. Nella sezione Certificato di firma SAML effettuare le seguenti operazioni:

    • Scaricare il certificato Base64.

    • Copiare gli URL di accesso e disconnessione.

    Schermata che mostra dove scaricare il certificato e copiare gli URL di accesso e disconnessione.

  10. A seconda della configurazione di Azure, assegnare gli utenti all'applicazione aziendale creata.

    Schermata che mostra la posizione in cui assegnare utenti e gruppi.

  11. Salvare le impostazioni.

Configurazione di Lexmark Cloud Services

  1. Nel portale Web Gestione account, fare clic su Organizzazione > Provider di autenticazione > Configura un provider di autenticazione.

    Schermata che mostra l'impostazione Provider di autenticazione.

  2. Nella sezione Domini, digitare il dominio del provider di identità, quindi fare clic su Aggiungi.

    Schermata che mostra la pagina iniziale di Lexmark Cloud Services.

  3. Nella sezione Impostazioni Single Sign-On, digitare le informazioni corrette nei seguenti campi:

    • ID entità provider di servizi

      Nota: l'ID entità predefinito di Lexmark Cloud Services è https://idp.iss.lexmark.com. Assicurarsi che l'ID entità in Azure corrisponda all'ID entità nel portale Lexmark Cloud Services.

    • URL di destinazione SSO: l'URL di accesso dell'applicazione aziendale Azure creata.

    • URL di disconnessione SSO: questo URL determina il comportamento quando un utente si disconnette dal portale Lexmark Cloud Services.

      • Se si desidera che l'utente si disconnetta completamente dal tenant di Azure, digitare l'URL di disconnessione dell'applicazione aziendale Azure creata.

      • Se si desidera che l'utente venga disconnesso solo da Lexmark Cloud Services, digitare un altro URL. L'URL può puntare a una pagina gestita dall'amministratore ("Disconnessione completata") oppure è possibile utilizzare la pagina di accesso di Lexmark Cloud Services appropriata per l'organizzazione. A seconda della propria posizione, l'URL può essere https://idp.us.iss.lexmark.com o https://idp.eu.iss.lexmark.com.

  4. Nel campo Certificato, copiare e incollare la chiave del certificato base-64 dal certificato per la firma di token del provider di identità.

    Schermata che mostra le informazioni del certificato.

    Se invece si dispone di un file metadata.xml contenente gli URL e i dati del certificato, aggiungere manualmente l'intestazione e il piè di pagina.

    -----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----

  5. Fare clic su Configura provider di autenticazione.

    Nota: non uscire dal portale Lexmark Cloud Services né consentirne il timeout. Potrebbe non essere possibile effettuare l'accesso per correggere eventuali problemi riscontrati durante il test.

Accesso a Lexmark Cloud Services

Testare le impostazioni di federazione facendo accedere un utente con uno dei seguenti metodi:

  1. Accedere a Lexmark Cloud Services utilizzando l'URL corretto fornito dal rappresentante Lexmark.

    Schermata che mostra il portale Lexmark Cloud Services.

  2. Nel provider di identità, digitare il proprio nome utente e la propria password.

    Schermata che mostra il prompt del provider di identità.
    Nota: Il nome utente è rappresentato dal proprio indirizzo e-mail completo. Per ulteriori informazioni, vedere accesso al dashboard Lexmark Cloud Services.