Overzicht van AD FS configureren

Dit gedeelte bevat informatie over het configureren van Microsoft AD FS voor federatie met Lexmark Print Management. Informatie over het maken van een beveiligingstoken met de vereiste claims voor een bronprovider.

Dit document bevat informatie over het configureren van SAML (Security Assertion Markup Language) versie 2. Als een bepaalde configuratie niet in dit document wordt behandeld, neemt u contact op met het Lexmark Professional Services-team.

Vereisten

Controleer het volgende voor u begint:

• De stappen in dit document worden uitgevoerd op een Active Directory-server in een domein.

• De server is Microsoft Windows Server 2016 met het meest recente servicepack.

• De server heeft een servercertificaat en de AD FS-rol is geïnstalleerd.

  Opmerking: Selecteer het servercertificaat en geef vervolgens een serviceaccount op bij het installeren van de AD FS-rol.

De federatie-id configureren

1. Klik op de AD FS-server op Tools > AD FS Management (Hulpmiddelen > AD FS-beheer).

2. Klik op de servicemap en klik vervolgens in het deelvenster Actions (Acties) op Edit Federation Service Properties (Eigenschappen van de Federation Service bewerken).

   

3. Voer een weergavenaam voor de Federation Service in en stel de Federation Service name (Naam Federation Service) in op de Fully Qualified Domain Name van uw server.

4. Voer in het veld Federation Service identifier (Id van Federation Service) de juiste id in. Bijvoorbeeld http://ServerFQDN/adfs/services/trust.

   Opmerkingen:

   • Geef de bronprovider de naam van de Federation Service. Zorg ervoor dat de AD FS-server toegankelijk is vanaf internet.
   • Raadpleeg de Microsoft-documentatie voor meer informatie over het installeren van een federatieserverproxy.
   • Raadpleeg de Microsoft-documentatie voor meer informatie over het configureren van de federatieve serverproxy.

Id van de vertrouwensrelaties van relying party configureren

1. Klik op de AD FS-server op Tools > AD FS Management (Hulpmiddelen > AD FS-beheer).

2. Vouw de map Trust Relationships (Vertrouwensrelaties) uit en klik vervolgens op de map Relying Party Trusts (Vertrouwensrelaties van relying party).

3. Klik in het deelvenster Actions (Acties) op Add Relying Party Trust (Vertrouwensrelatie van de relying party toevoegen).

4. Klik op Claims aware > Start > Enter data about the relying party manually > Next (Claim-compatibel > Starten > Gegevens over de relying party handmatig invoeren > Volgende).

5. Voer een weergavenaam in en klik op Next (Volgende).

6. Klik in het venster Configure Certificate (Certificaat configureren) op Next (Volgende).

7. Selecteer Enable support for the SAML 2.0 WebSSO protocol (Ondersteuning inschakelen voor het SAML 2.0 WebSSO-protocol) voer de relying party SAML 2.0 service-URL in en klik op Next (Volgende).

   Opmerking: Haal de organisatie-id van de bronprovider op.

   Afhankelijk van uw locatie zijn de volgende voorbeelden van relying party service-URL's:

   • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

   • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

8. Voer de id van de vertrouwensrelatie van de relying party in en klik op Add > Next (Toevoegen > Volgende).

   
   Opmerking: Haal de id van de vertrouwensrelatie van de relying party van de bronprovider op.

   Afhankelijk van uw locatie zijn de volgende voorbeelden van id's van vertrouwensrelaties van relying party's:

   • https://idp.us.iss.lexmark.com

   • https://idp.eu.iss.lexmark.com

   

9. Selecteer in het venster Choose Access Control Policy (Toegangsbeheerbeleid kiezen) de optie Permit everyone (Iedereen toestaan) of het specifieke toegangsbeheerbeleid voor uw organisatie en klik vervolgens op Next (Volgende).

10. Controleer de instellingen van de vertrouwensrelatie van de relying party en klik op Next (Volgende).

11. Schakel Configure claims issuance policy for this application (Claimuitgiftebeleid configureren voor deze toepassing) uit en klik op Close (Sluiten).

12. Klik in de AD FS-beheerconsole op de mapRelying Party Trusts (Vertrouwensrelaties van relying party), klik met de rechtermuisknop op de vertrouwensrelatie van de relying party die is gemaakt en klik vervolgens op Properties (Eigenschappen).

13. Klik op het tabblad Advanced (Geavanceerd) en selecteer vervolgens SHA-1 als het veilige hash-algoritme.

    

14. Klik op het tabblad Endpoints (Eindpunten) en selecteer Add SAML (SAML toevoegen) als het beveiligde hash-algoritme.

    

15. Selecteer SAML Logout (SAML afmelden) als het type eindpunt en voer vervolgens in het veld Trusted URL (Vertrouwde URL) de vertrouwde afmeld-URL of uw AD FS-server in. Bijvoorbeeld https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

16. Klik op OK > Toepassen > OK.

AD FS-claimregels configureren

1. Klik op de AD FS-server op Tools > AD FS Management (Hulpmiddelen > AD FS-beheer).

2. Klik op de map Relying Party Trusts (Vertrouwensrelaties van relying party), klik met de rechtermuisknop op de id van de vertrouwensrelatie van de relying party en klik vervolgens op Edit Claim Issuance Policy (Claimuitgiftebeleid bewerken).

3. Klik op het tabblad Issuance Transform Rules (Transformatieregels voor uitgifte) op Add Rule (Regel toevoegen).

4. Selecteer in het menu Claim rule template (Claimregelsjabloon) de optie Send LDAP Attributes as Claims (LDAP-kenmerken verzenden als claims) en vervolgens op Next (Volgende).

   

5. Voer een claimregelnaam in en selecteer vervolgens in het menu Attribute store (Kenmerkarchief) de optie Active Directory.

   

6. Definieer de volgende toewijzingen:

   LDAP-kenmerk	Type uitgaande claim
   E-mailadres	E-mailen
   User-Principal-Name	UPN
   Voornaam	Roepnaam
   Achternaam	Achternaam
   Afdeling	afdeling
   <Kenmerk dat is toegewezen aan badge>	badge
   <Kenmerk dat is toegewezen aan pin>	pin
   <Kenmerk dat is toegewezen aan kostenplaats>	Kostenplaats

   
   
   Opmerking: Vervang <Kenmerk dat is toegewezen aan> door het correcte LDAP-kenmerk voor uw organisatie.

7. Klik op OK > Finish (Voltooien).

8. Klik op het tabblad Issuance Transform Rules (Transformatieregels voor uitgifte) op Add Rule (Regel toevoegen).

9. Selecteer in het menu Claim rule template (Claimregelsjabloon) de optie Transform an Incoming Claim (Een binnenkomende claim transformeren) en vervolgens op Next (Volgende).

10. Voer een claimregelnaam in en selecteer vervolgens in het menu Incoming claim type (Type binnenkomende claim) de optie E-Mail Address (E-mailadres).

11. Selecteer in het menu Outgoing claim type (Type uitgaande claim) de optie Name ID (Naam-id).

12. Selecteer in het menu Outgoing name ID format (Id-indeling van uitgaande naam) de optie Email (E-mail).

13. Klik op Finish > OK (Voltooien > OK).

De bronprovider configureren

1. Klik in het Account Management-webportaal op Organization > Authentication Provider > Configure an Authentication Provider (Organisatie > Verificatieprovider > Een verificatieprovider configureren).

   

2. Voer in het gedeelte Domains (Domeinen) het domein van de identiteitsprovider in en klik vervolgens op Add (Toevoegen).

   

3. Voer in het gedeelte Single Sign-On Settings (Instellingen single sign-on) de correcte URL's in de volgende velden in:

   • SSO doel-URL

   • SSO afmeldings-URL

   

   Opmerkingen:

   • Gebruik de juiste FQDN (Fully Qualified Domain Name).
   • Afhankelijk van uw locatie moet de entiteit-id https://idp.us.iss.lexmark.com of https://idp.eu.iss.lexmark.com zijn.

4. Kopieer en plak in het veld Certificate (Certificaat) de base-64 certificaatsleutel uit het token-ondertekeningscertificaat van de identiteitsprovider.

   
   Opmerking: Zie Het token-ondertekeningscertificaat verkrijgen voor meer informatie.

5. Klik op Wijzigingen opslaan.

Het token-ondertekeningscertificaat verkrijgen

1. Klik op de AD FS-server op Tools > AD FS Management (Hulpmiddelen > AD FS-beheer).

2. Vouw de map Service uit en klik vervolgens op de map Certificates (Certificaten).

3. Zoek het token-ondertekeningscertificaat.

4. Klik in het deelvenster Actions (Acties) op View Certificate (Certificaat weergeven).

5. Klik op het tabblad Details op Copy to File (Kopiëren naar bestand) en voer de stappen in de wizard uit.

6. Selecteer Export File Format (Bestandsindeling exporteren) en vervolgens Base-64 encoded X.509 (.CER).

   

7. Sla het certificaat op.

Gebruikersrollen configureren in Active Directory

Controleer voordat u begint of de Active Directory-gebruikers zijn geconfigureerd met een e-mailaccount.

1. Open het deelvenster Active Directory Users and Computers (Active Directory-gebruikers en -computers) op de Active Directory-server.

2. Zoek de eigenschappen van de specifieke gebruikersaccount.

3. Geef op het tabbladGeneral (Algemeen) het e-mailadres met het juiste bedrijfsdomein op.

   

4. Klik op OK.

Zorg ervoor dat de gebruikers ook zijn geconfigureerd met de volgende LDAP-kenmerken:

• UPN

• Voornaam

• Achternaam

• Afdeling

• Badge

• Pincode

• Kostenplaats

Toegang krijgen tot Lexmark Cloud Services

1. Open Lexmark Cloud Services met de correcte URL die u van uw Lexmark-vertegenwoordiger hebt gekregen.

   

2. Voer uw gebruikersnaam en wachtwoord van de identiteitsprovider in.

   
   Opmerking: De gebruikersnaam moet uw volledige e-mailadres zijn. Zie Toegang tot het Lexmark Cloud Services-dashboard voor meer informatie.