Azure AD フェデレーションを設定する

Azure Active Directory フェデレーションの設定の概要

このセクションでは、Lexmark クラウドサービスと Microsoft Azure Active Directory をフェデレーションする方法について説明します。詳細については、Lexmark プロフェッショナルサービスチームにお問い合わせください。

前提条件:

作業を開始する前に、次のポータルへの管理者アクセス権があることを確認してください。

フェデレーションについて

フェデレーションとは、顧客の ID プロバイダ(IdP)と外部サービス(Lexmark クラウドサービスなど)との間に信頼関係を構築するプロセスです。IdP の例を次に示します。

信頼関係を確立した後、ユーザーは他の社内サイトやサービスと同じユーザー名とパスワードを使用して Lexmark クラウドサービスにアクセスできます。お客様の IdP は、パスワードの検証、複雑さの要件、有効期限、多要素認証の使用の可能性など、資格情報管理のすべての側面を管理します。また、IdP はシングルサインオン(SSO)もサポートしているため、ユーザーがサービスを切り替えるときに認証が必要になる回数を減らすことができます。

ユーザーエクスペリエンス

IdP を使用しているお客様の環境

ユーザーが初めて Lexmark クラウドサービスにアクセスすると、E メールアドレスのプロンプトが表示され、ユーザーは IdP にリダイレクトされます。

ユーザーがすでに IdP にサインインしており、SSO をサポートしている場合、ユーザーはパスワードを入力する必要はありません。多要素認証の課題は回避されます。このプロセスでは、エンドユーザーに迅速なサインインエクスペリエンスが提供されます。

IdP を使用していないお客様の環境

ユーザーが IdP にサインインしていない場合は、ユーザー名とパスワードのプロンプトが表示されます。多要素認証の課題が発生します。ログインすると、ユーザーは Lexmark クラウドサービスにリダイレクトされます。

フェデレーションログインのワークフロー

  1. Lexmark クラウドサービスは、ユーザーの E メールアドレスを要求します。この情報により、Lexmark クラウドサービスは、Lexmark クラウドサービス内でユーザーの会社を決定できます。

    メモ: 会社のフェデレーション設定には、顧客の ID プロバイダの URL が含まれます。

  2. Lexmark クラウドサービスはユーザーを IdP にリダイレクトします。Lexmark クラウドサービスは[エンティティ ID]フィールドを渡します。

  3. IdP はエンティティ ID を使用して、このログイン試行に適用される設定を決定します。設定に応じて、IdP はユーザー名とパスワードを認証し、多要素認証を実行します。IdP が SSO をサポートし、ユーザーがすでに IdP にログインしている場合、ユーザーは自動的にログインします。

  4. IdP は、ユーザーを Lexmark クラウドサービスにリダイレクトし、次の定義済みクレームを渡します。

    • ユーザー名

    • E メールアドレス

    • 会社

    • ユーザーの部署やコストセンターなどのオプション情報

    IdP は、プライベート証明書を使用してこれらの要求に署名します。

  5. Lexmark クラウドサービスにはパブリック証明書が事前に設定されており、この情報が想定されるソースから送信されたことを確認するために使用されます。このプロセスにより、Lexmark クラウドサービスは IdP が渡す情報を信頼し、ログインプロセスを完了できます。

Azure Active Directory を設定する

以下の画像は実際には異なる場合があります。

  1. Azure ポータルから Azure Active Directory に移動します。

    Azure Active Directory へのナビゲーションを示すスクリーンショット。

  2. [エンタープライズアプリケーション] > [新しいアプリケーション]をクリックします。

    エンタープライズアプリケーション設定へのナビゲーションを示すスクリーンショット。
    [新しいアプリケーション]ボタンを示すスクリーンショット。

  3. [独自のアプリケーションを作成する] > [ギャラリー内に見つからない(ギャラリー以外の)他のアプリケーションを統合]をクリックします。

    ギャラリー以外のアプリケーションへのナビゲーションを示すスクリーンショット。

  4. アプリケーション名を入力します。

  5. [エンタープライズアプリケーションの概要]画面で、[シングルサインオンの設定]をクリックし、[SAML]を選択します。

    シングルサインオン方式の設定を示すスクリーンショット。
    シングルサインオン方式として SAML を示すスクレンショット。

  6. [基本 SAML の構成設定]セクションで、次の設定を構成します。

    ユーザー属性の構成設定を示すスクリーンショット。
    メモ: サービスプロバイダから設定を取得します。

    • 識別子(エンティティ ID)

      メモ: デフォルトの Lexmark クラウドサービスエンティティ ID:https: //idp.iss.lexmark.com.Azure のエンティティ ID が Lexmark クラウドサービスポータルのエンティティ ID と一致することを確認します。

    • 返信 URL(Assertion Consumer Service URL)

      ロケーションに応じたフル応答 URL の例:

      • https: //idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      • https: //idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      メモ: organization_id パラメータの値を確認するには、Lexmark クラウドサービスポータルにログインし、[アカウント管理]をクリックします。organization_id が URL に表示されます。
      会社 ID の場所を示すスクリーンショット。

  7. [ユーザー属性とクレーム]セクションで、[編集]をクリックします。

    [ユーザー属性とクレーム]セクションを示すスクリーンショット。

  8. [新規クレームを追加]をクリックし、各クレームの名前とソースを入力します。

    新規クレームの作成を示すスクリーンショット。
    必須クレーム

    属性

    給紙源

    名前空間

    firstname

    user.givenname

    このフィールドは空白のままにしてください。

    lastname

    user.surname

    このフィールドは空白のままにしてください。

    email

    user.mail

    このフィールドは空白のままにしてください。


    オプションのクレーム

    属性

    給紙源

    名前空間

    badge

    会社のソース属性

    このフィールドは空白のままにしてください。

    pin

    会社のソース属性

    このフィールドは空白のままにしてください。

    costCenter

    会社のソース属性

    このフィールドは空白のままにしてください。

    department

    user.department

    このフィールドは空白のままにしてください。


  9. [SAML 署名証明書]セクションで、次の手順を実行します。

    • Base64 証明書をダウンロードします。

    • ログインおよびログアウト URL をコピーします。

    証明書をダウンロードし、ログイン URL とログアウト URL をコピーする場所を示すスクリーンショット。

  10. Azure の構成設定に応じて、作成したエンタープライズアプリケーションにユーザーを割り当てます。

    ユーザーとグループを割り当てる場所を示すスクリーンショット。

  11. 設定を保存します。

Lexmark Cloud Services を設定する

  1. アカウント管理 Web ポータルで、[会社] > [認証プロバイダ] > [認証プロバイダを設定]の順にクリックします。

    認証プロバイダ設定を示すスクリーンショット。

  2. [ドメイン]セクションで、ID プロバイダのドメインを入力して、[追加]をクリックします。

    Lexmark クラウドサービスのホームページを示すスクリーンショット。

  3. [シングルサインオンの設定]セクションで、次のフィールドに正しい情報を入力します。

    • サービスプロバイダのエンティティ ID

      メモ: デフォルトの Lexmark クラウドサービスエンティティ ID:https: //idp.iss.lexmark.com.Azure のエンティティ ID が Lexmark クラウドサービスポータルのエンティティ ID と一致することを確認します。

    • SSO ターゲット URL—作成した Azure エンタープライズアプリケーションのログイン URL。

    • SSO ログアウト URL—この URL は、ユーザーが Lexmark クラウドサービスポータルからログアウトしたときの動作を決定します。

      • ユーザーが Azure テナントから完全にログアウトする場合は、作成した Azure エンタープライズアプリケーションのログアウト URL を入力します。

      • ユーザーを Lexmark クラウドサービスのみからサインアウトする場合は、別の URL を入力します。URL は、管理しているページ(「正常にログアウトしました」)をポイントするか、会社に適した Lexmark クラウドサービスのログインページを使用できます。ユーザーの場所に応じて、URL は、次のようになります。https: //idp.us.iss.lexmark.com または https: //idp.eu.iss.lexmark.com

  4. [証明書]フィールドで、ID プロバイダのトークン-署名証明書から Base-64 証明書キーをコピーして貼り付けます。

    証明書情報を示すスクリーンショット。

    URL と証明書データを含む metadata.xml ファイルがある場合は、ヘッダーとフッターを手動で追加します。

    -----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----

  5. [認証プロバイダの設定]をクリックします。

    メモ: Lexmark クラウドサービスポータルを終了しないでください。またはタイムアウトさせないでください。テスト中に発見した問題を修正するためにログインできない可能性があります。

Lexmark クラウドサービスにアクセスする

次のいずれかの方法を使用して、任意のユーザーがログインできるようにして、フェデレーション設定をテストします。

  1. Lexmark の担当者が提供する正しい URL を使用して、Lexmark クラウドサービスにアクセスします。

    Lexmark クラウドサービスポータルを示すスクリーンショット。

  2. ID プロバイダから、ユーザー名とパスワードを入力します。

    ID プロバイダプロンプトを示すスクリーンショット。
    メモ: ユーザー名は完全な E メールアドレスである必要があります。詳細については、Lexmark クラウドサービスダッシュボードにアクセスする を参照してください。