このセクションでは、Lexmark 印刷管理とのフェデレーション用に Microsoft AD FS を設定する方法について説明します。リソースプロバイダに必須クレームを使用してセキュリティトークンを作成する方法について説明します。
このドキュメントでは、SAML(セキュリティアサーションマークアップ言語)バージョン 2 の設定について説明します。このドキュメントで特定の構成設定がカバーされていない場合は、Lexmark プロフェッショナルサービスチームにお問い合わせください。
開始する前に、次の点を確認してください。
このドキュメントの手順は、ドメイン内の Active Directory サーバーで実行されます。
サーバーは、最新のサービスパックを適用した Microsoft Windows Server 2016 です。
サーバーにはサーバー証明書があり、AD FS ロールがインストールされています。
AD FS サーバーから、[ツール] > [AD FS 管理]をクリックします。
サービスフォルダをクリックし、[アクション]パネルで[フェデレーションサービスのプロパティを編集]をクリックします。
![フェデレーションサービスの[プロパティ]ウィンドウを示すスクリーンショット。](../resource/federation-service-properties.jpg)
フェデレーションサービスの表示名を入力し、フェデレーションサービス名をサーバーの完全修飾ドメイン名に設定します。
[フェデレーションサービス識別子]フィールドに、正しい識別子を入力します。たとえば、「。
メモ:
AD FS サーバーから、[ツール] > [AD FS 管理]をクリックします。
[信頼関係]フォルダを展開し、[依存パーティの信頼]フォルダをクリックします。
[アクション]パネルで、[依存パーティの信頼を追加]をクリックします。
[クレームに対応] > [スタート] > [依存パーティに関するデータを手動で入力] > [次へ]をクリックします。
ディスプレイ名を入力し、[次へ]をクリックします。
[証明書を設定]画面で、[次へ]をクリックします。
[SAML 2.0 WebSSO プロトコルのサポートを有効にする]を選択し、依存パーティの SAML 2.0サービス URL を入力して、[次へ]をクリックします。
場所によっては、次のような依存パーティサービス URL があります。
https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
依存パーティ信頼識別子を入力し、[追加] > [次へ]をクリックします。
場所によっては、次のような依存パーティ信頼識別子が使用されます。
https://idp.us.iss.lexmark.com
https://idp.eu.iss.lexmark.com
[アクセス制御ポリシーを選択]ウィンドウで、[すべてのユーザーを許可]または会社の特定のアクセス制御ポリシーを選択し、[次へ]をクリックします。
依存パーティの信頼設定を確認し、[次へ]をクリックします。
[このアプリケーションのクレーム発行ポリシーを設定]をオフにし、[閉じる]をクリックします。
AD FS 管理コンソールで、[依存パーティの信頼]フォルダをクリックし、作成した依存パーティの信頼を右クリックして、[プロパティ]をクリックします。
[詳細]タブをクリックし、セキュアハッシュアルゴリズムとして[SHA-1]を選択します。
[エンドポイント]タブをクリックし、セキュアハッシュアルゴリズムとして[SAML を追加]を選択します。
エンドポイントタイプとして[SAML ログアウト]を選択し、[信頼できる URL]フィールドに AD FS サーバーの信頼できるサインアウト URL を入力します。たとえば、「.
[OK] > [適用] > [OK]の順にクリックします。
AD FS サーバーから、[ツール] > [AD FS 管理]をクリックします。
[依存パーティの信頼]フォルダをクリックし、作成した依存パーティの信頼識別子を右クリックして、[クレーム発行ポリシーの編集]をクリックします。
[発行変換ルール]タブで、[ルールを追加]をクリックします。
[クレームルールテンプレート]メニューから[LDAP 属性をクレームとして送信]を選択し、[次へ]をクリックします。
クレームルール名を入力し、[属性ストア]メニューから[Active Directory]を選択します。
次のマッピングを定義します。
LDAP 属性 | 発信クレームタイプ |
|---|---|
E-Mail-Addresses | E-Mail Address |
User-Principal-Name | UPN |
Given-Name | Given Name |
Surname | Surname |
Department | department |
<Attribute that maps to badge> | badge |
<Attribute that maps to pin> | pin |
<Attribute that maps to cost center> | costCenter |
[OK] > [完了]をクリックします。
[発行変換ルール]タブで、[ルールを追加]をクリックします。
[クレームルールテンプレート]メニューから[着信クレームを変換]を選択し、[次へ]をクリックします。
クレームルール名を入力し、[着信クレームの種類]メニューから[E メールアドレス]を選択します。
[発信クレームタイプ]メニューから[名前 ID]を選択します。
[発信名 ID 形式]メニューから、[E メール]を選択します。
[完了] > [OK]をクリックします。
アカウント管理 Web ポータルで、[会社] > [認証プロバイダ] > [認証プロバイダを設定]の順にクリックします。
[ドメイン]セクションで、ID プロバイダのドメインを入力して、[追加]をクリックします。
[シングルサインオンの設定]セクションで、次のフィールドに正しい URL を入力します。
SSO ターゲット URL
SSO ログアウト URL
メモ:
[証明書]フィールドで、ID プロバイダのトークン署名証明書から Base-64 証明書キーをコピーして貼り付けます。
[変更を保存する]をクリックします。
AD FS サーバーから、[ツール] > [AD FS 管理]をクリックします。
[サービス]フォルダを展開し、[証明書]フォルダをクリックします。
トークン署名証明書を探します。
[アクション]パネルで、[証明書を表示]をクリックします。
[詳細]タブで[ファイルにコピー]をクリックし、ウィザードに従います。
[エクスポートファイル形式]画面で、Base-64 エンコード X.509(.CER)を選択します。
![[証明書エクスポートウィザード]ウィンドウを示すスクリーンショット。](../resource/certificate-export-wizard.jpg)
証明書を保存します。
作業を開始する前に、Active Directory ユーザーが E メールアカウントで設定されていることを確認してください。
Active Directory サーバーから、[Active Directory ユーザーとコンピュータ]パネルを起動します。
特定のユーザーのアカウントプロパティを探します。
[一般]タブで、正しい会社ドメインの E メールアドレスを指定します。
![user_account の[プロパティ]ウィンドウを示すスクリーンショット。](../resource/user-account-properties.jpg)
[OK]をクリックします。
ユーザーに次の LDAP 属性も設定されていることを確認します。
UPN
名
姓
部署
バッジ
PIN
コストセンター
Lexmark の担当者が提供する正しい URL を使用して、Lexmark クラウドサービスにアクセスします。
ID プロバイダから、ユーザー名とパスワードを入力します。
