Azure AD Federation configureren

Inzicht in Federation

Federation is het proces waarbij een vertrouwensrelatie wordt gecreëerd tussen de identiteitsprovider (IdP) van een klant en een externe service, zoals Lexmark Cloud Services. Hieronder volgen voorbeelden van een IdP:

Microsoft Azure Active Directory
Google-id
Elk met SAML 2.0 compatibel identiteitsbeheersysteem

Nadat een vertrouwensrelatie tot stand is gebracht, hebben gebruikers toegang tot Lexmark Cloud Services met dezelfde gebruikersnaam en hetzelfde wachtwoord als voor andere interne sites en services. Het IdP van de klant beheert alle aspecten van het beheer van referenties, zoals wachtwoordvalidatie, complexiteitsvereisten, vervaldatum en mogelijk gebruik van multifactor-authenticatie. IdP ondersteunt ook single sign-on (SSO), waardoor gebruikers minder vaak hoeven te worden geverifieerd wanneer ze tussen services schakelen.

Gebruikerservaring

Omgeving van de klant met IdP

De eerste keer dat een gebruiker Lexmark Cloud Services opent, wordt een e-mailadresprompt weergegeven en wordt de gebruiker doorgestuurd naar de IdP.
Als de gebruiker zich al heeft aangemeld bij de IdP en deze SSO ondersteunt, hoeft de gebruiker het wachtwoord niet in te voeren. Problemen met multifactor-authenticatie worden voorkomen. Dit proces zorgt voor een snelle aanmeldervaring voor de eindgebruiker.

Omgeving van de klant zonder IdP

Als de gebruiker zich niet heeft aangemeld bij de IdP, worden de gebruikersnaam en het wachtwoord gevraagd. Er treden problemen op met multifactor-authenticatie. Nadat de gebruiker zich heeft aangemeld, wordt deze doorgestuurd naar Lexmark Cloud Services.

Workflow voor federatieve aanmelding

Lexmark Cloud Services vraagt om het e-mailadres van de gebruiker. Met deze informatie kan Lexmark Cloud Services de organisatie van de gebruiker binnen Lexmark Cloud Services bepalen.
Opmerking: De federation-instellingen voor de organisatie bevatten de URL van de identiteitsprovider van de klant.
Lexmark Cloud Services stuurt de gebruiker door naar de IdP. Lexmark Cloud Services geeft een entiteit-id -veldwaarde door.
De IdP gebruikt de entiteit-id om te bepalen welke instellingen van toepassing zijn op deze aanmeldingspoging. Afhankelijk van de instellingen verifieert de IdP de gebruikersnaam en het wachtwoord en kan er multifactor-authenticatie worden uitgevoerd. Als de IdP SSO ondersteunt en de gebruiker al bij IdP is aangemeld, wordt de gebruiker automatisch aangemeld.
De IdP stuurt de gebruiker door naar Lexmark Cloud Services en geeft de volgende vooraf gedefinieerde claims door:
- Gebruikersnaam
- E-mailadres
- Organisatie
- Optionele informatie, zoals de afdeling en kostenplaats van de gebruiker
De IdP ondertekent deze claims met behulp van een privécertificaat.
Lexmark Cloud Services is vooraf geconfigureerd met het openbare certificaat en gebruikt dit om te controleren of deze informatie afkomstig is van de verwachte bron. Met dit proces kan Lexmark Cloud Services de informatie vertrouwen die de IdP doorgeeft en het aanmeldingsproces voltooien.

Azure Active Directory configureren

De onderstaande afbeeldingen kunnen in de praktijk afwijken.

Navigeer vanuit het Azure-portaal naar de Azure Active Directory.
Klik op Enterprise applications > New application (Enterprise-applicaties > Nieuwe applicatie).
Klik op Create your own application > Integrate any other application you don’t find in the gallery (Non-gallery) (Eigen applicatie maken > Andere applicatie integreren die niet in de galerij voorkomt).
Voer een applicatienaam in.
Klik in het scherm Enterprise Applications Overview (Overzicht Enterprise-applicaties) op Set up single sign on (Eenmalige aanmelding instellen) en selecteer vervolgens SAML.
Configureer in het gedeelte Basic SAML Configuration (Basisconfiguratie SAML) de volgende instellingen:
Opmerking: Vraag de instellingen op bij de serviceprovider.
- Identifier (Entity ID) (Id (entiteit-id))
  Opmerking: De standaard entiteit-id van Lexmark Cloud Services is https://idp.iss.lexmark.com. Zorg ervoor dat de entiteit-id in Azure overeenkomt met de entiteit-id in het Lexmark Cloud Services-portaal.
- Reply URL (Assertion Consumer Service URL) (Antwoord-URL (URL van de bevestigingsconsumerservice))
  Afhankelijk van uw locatie zijn de volgende voorbeelden van een volledig-antwoord-URL:
  - https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  - https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  Opmerking: Als u de waarde voor de parameter organization_id wilt bepalen, meldt u zich aan bij het Lexmark Cloud Services-portaal en klikt u op Account Management (Accountbeheer). De organization_id verschijnt in de URL.
Klik in het gedeelte User Attributes & Claims (Gebruikerskenmerken en claims) op Edit (Bewerken).

Klik op Add new claim (Nieuwe claim toevoegen) en voer vervolgens de naam en bron voor elke claim in.

Een schermafbeelding van het maken van nieuwe claims.

Vereiste claims
Kenmerk	Bron	Naamruimte
firstname (voornaam)	user.givenname (voornaam)	Laat dit veld leeg.
lastname (achternaam)	user.surname	Laat dit veld leeg.
e-mail	user.mail	Laat dit veld leeg.

Optionele claims
Kenmerk	Bron	Naamruimte
badge	Bronkenmerk voor uw organisatie	Laat dit veld leeg.
pin	Bronkenmerk voor uw organisatie	Laat dit veld leeg.
costCenter (kostenplaats)	Bronkenmerk voor uw organisatie	Laat dit veld leeg.
afdeling	user.department	Laat dit veld leeg.

Doe het volgende in het gedeelte SAML Signing Certificate (SAML-handtekeningcertificaat):
- Download het Base64-certificaat.
- Kopieer de URL's voor aanmelden en afmelden.
Wijs gebruikers aan de gemaakte Enterprise-applicatie toe op basis van uw Azure-configuratie.
Sla de instellingen op.

Lexmark Cloud Services configureren

Klik in het Account Management-webportaal op Organization > Authentication Provider > Configure an Authentication Provider (Organisatie > Verificatieprovider > Een verificatieprovider configureren).
Voer in het gedeelte Domains (Domeinen) het domein van de identiteitsprovider in en klik vervolgens op Add (Toevoegen).
Voer in het gedeelte Single Sign-On Settings (Instellingen voor eenmalige aanmelding) de correcte gegevens in de volgende velden in:
- Entiteits-id serviceprovider
  Opmerking: De standaard entiteit-id van Lexmark Cloud Services is https://idp.iss.lexmark.com. Zorg ervoor dat de entiteit-id in Azure overeenkomt met de entiteit-id in het Lexmark Cloud Services-portaal.
- SSO target URL (SSO-doel-URL) — De aanmeld-URL van de Azure Enterprise-applicatie die u hebt gemaakt.
- SSO Logout URL (Afmeld-URL SSO) — Deze URL bepaalt het gedrag wanneer een gebruiker zich afmeldt bij het Lexmark Cloud Services-portaal.
  - Als u wilt dat de gebruiker volledig wordt afgemeld bij uw Azure-tenant, voert u de afmeld-URL van de Azure Enterprise-applicatie in die u hebt gemaakt.
  - Als u wilt dat de gebruiker alleen wordt afgemeld bij Lexmark Cloud Services, voert u een andere URL in. De URL kan verwijzen naar een pagina die u onderhoudt ("U bent met succes afgemeld") of u kunt de desbetreffende aanmeldingspagina van Lexmark Cloud Services voor uw organisatie gebruiken. Afhankelijk van uw locatie kan de URL https://idp.us.iss.lexmark.com of https://idp.eu.iss.lexmark.com zijn.
Kopieer en plak in het veld Certificate (Certificaat) de base-64 certificaatsleutel uit het token-ondertekeningscertificaat van de identiteitsprovider.
Als u in plaats daarvan een metadata.xml-bestand hebt met de URL's en certificaatgegevens, voegt u de kop- en voettekst handmatig toe.
```
-----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----
```
Klik op Verificatieprovider configureren.
Opmerking: Sluit het Lexmark Cloud Services-portaal niet af en wacht niet tot er een time-out optreedt. Mogelijk kunt u zich niet aanmelden om problemen te verhelpen die u tijdens het testen ontdekt.