Konfigurere Active Directory Federation-tjenester (AD FS)

Oversikt over konfigurasjon av AD FS

Denne delen inneholder informasjon om konfigurasjon av Microsoft AD FS for sammenkobling med Lexmark Print Management. Finn ut hvordan du oppretter et sikkerhetsmerke med obligatoriske krav for en ressursleverandør.

Dette dokumentet inneholder informasjon om hvordan du konfigurerer Security Assertion Markup Language (SAML) versjon 2. Hvis en bestemt konfigurasjon ikke er inkludert i dette dokumentet, kontakter du Lexmark Professional Services-teamet.

Forutsetninger

Før du starter, kontrollerer du at:

Konfigurere ADFS for Security Assertion Language (SAML)

Konfigurere Federation-ID

  1. Klikk på Verktøy > AD FS-administrasjon fra AD FS-serveren.

  2. Klikk på tjenestemappen og på Rediger egenskaper for Federation-tjenester i panelet Handlinger.

    Et skjermbilde som viser vinduet Egenskaper for Federation-tjenester.
  3. Skriv inn navnet på en Federation-tjeneste, og angi deretter Federation-tjenestenavn til det kvalifiserte domenenavnet på serveren.

  4. I feltet Federation-tjeneste-ID skriver du inn riktig identifikator. For eksempel http://ServerFQDN/adfs/services/trust.

    Merknader:

    • Gi ressursleverandøren navnet på Federation-tjenesten. Kontroller at AD FS-serveren er tilgjengelig fra Internett.
    • Hvis du vil ha mer informasjon om hvordan du installerer en Federation-serverproxy, kan du se Microsoft-dokumentasjonen.
    • Hvis du vil ha mer informasjon om hvordan du konfigurerer en Federation-serverproxy-rolle, kan du se Microsoft-dokumentasjonen.

Konfigurere klareringsidentifikatorer for leverandør

  1. Fra AD FS-serveren klikker du på Verktøy > AD FS-administrasjon.

  2. Utvid mappen Klareringsforhold og klikk på mappen Klarerte leverandører.

  3. Klikk på Legg til klarerte leverandører i panelet Handlinger.

  4. Klikk på Bevisst krav > Start > Skriv inn data om klarert leverandør manuelt > Neste.

  5. Skriv inn et skjermnavn, og klikk deretter på Neste.

  6. I vinduet Konfigurer sertifikat klikker du på Neste.

  7. Velg Aktiver støtte for SAML 2.0 WebSSO-protokollen, skriv inn URL til den aktuelle SAML 2.0-tjenesten, og klikk deretter på Neste.

    Merk: Hent organisasjons-ID fra ressursleverandøren.

    Avhengig av hvor du befinner deg, er følgende eksempler på en URL for klarerte tjenester:

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Skriv inn ID-en for klareringsidentifikator for leverandør, og klikk deretter på Legg til > Neste.

    Et skjermbilde som viser URL til den klarerte tjenesten.
    Merk: Få ID-en til klareringsidentifikator for leverandør fra ressursleverandør.

    Avhengig av hvor du befinner deg, er følgende eksempler på en klareringsidentifikatorer for leverandør:

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Et skjermbilde som viser klareringsidentifikator for leverandør.
  9. I vinduet Velg policy for tilgangskontroll velger du Gi alle tilgang eller den spesifikke policyen for tilgangskontroll for organisasjonen din, og deretter klikker du på Neste.

  10. Se gjennom innstillingene for klareringsidentifikator for leverandør, og klikk deretter på Neste.

  11. Fjern Konfigurer policy for kravutstedelse for dette programmet og klikk på Lukk.

  12. Klikk på mappen Klarerte leverandører i AD FS-administrasjonskonsollen, høyreklikk på den opprettede klarerte leverandøren og klikk på Egenskaper.

  13. Klikk på Avansert og velg SHA-1 som sikker hash-algoritme.

    Et skjermbilde som viser den sikre hash-algoritmen.
  14. Klikk på fanen Endepunkter, og velg deretter Legg til SAML som den sikre hash-algoritmen.

    Et skjermbilde som viser endepunktet.
  15. Velg SAML-avlogging som endepunktstype, og skriv deretter inn URL for utlogging av AD FS-serveren i feltet Klarert URL. For eksempel, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Klikk på OK > Bruk > OK.

Konfigurere AD FS-kravregler

  1. Klikk på Verktøy > AD FS-administrasjon fra AD FS-serveren.

  2. Klikk på Klarerte leverandører, høyreklikk på den opprettede klareringsidentifikatoren for leverandør, og klikk deretter på Rediger policy for kravutstedelse.

  3. Klikk på Legg til regel i fanen Regler for utstedelsestransformasjon.

  4. Velg Send LDAP-attributter som krav fra menyen Mal for kravregel, og klikk deretter på Neste.

    Et skjermbilde som viser utvalget i malen for kravregel.
  5. Skriv inn et navn på en kravregel, og velg Active Directory fra menyen Attributtlager.

    Et skjermbilde som viser konfigurasjonen av regler.
  6. Definer følgende tilordninger:

    LDAP-attributt

    Utgående kravtype

    E-Mail-Addresses

    E-Mail Address

    User-Principal-Name

    UPN

    Given-Name

    Given Name

    Surname

    Surname

    Department

    department

    <Attribute that maps to badge>

    badge

    <Attribute that maps to pin>

    pin

    <Attribute that maps to cost center>

    costCenter


    Merk: Erstatt <Attributt som tilordnes til> med riktig LDAP-attributt for organisasjonen.
  7. Klikk på OK > Fullfør.

  8. Klikk på Legg til regel i fanen Regler for utstedelsestransformasjon .

  9. Velg Endre innkommende krav fra menyen Mal for kravregel, og klikk deretter på Neste.

  10. Skriv inn et navn på en kravregel, og velg E-postadresse fra menyen Innkommende kravtype.

  11. Velg Navn-ID fra menyen Utgående kravtype.

  12. Velg E-post fra menyen Utgående navn-ID-format.

  13. Klikk på Fullfør > OK.

Et skjermbilde som viser konfigurasjonen av kravregler.

Levere metadata til ressursleverandører

Konfigurere ressursleverandøren

  1. I nettportalen for kontoadministrasjon klikker du på Organisasjon > Godkjenningsleverandør > Konfigurere en godkjenningsleverandør.

    Et skjermbilde som viser innstillingen for godkjenningsleverandør.
  2. Skriv inn domenet til identitetsleverandøren i Domenet-delen, og klikk deretter på Legg til.

    Et skjermbilde som viser opprettingen av domener.
  3. Skriv inn riktig URL i følgende felt under Innstillinger for enkel pålogging:

    • SSO mål-URL

    • Avloggings-URL-adresse for SSO

    Et skjermbilde som viser innstillingene for enkel pålogging.

    Merknader:

    • Bruk riktig, kvalifisert domenenavn.
    • Avhengig av hvor du befinner deg, må enhets-ID-en være https://idp.us.iss.lexmark.com eller https://idp.eu.iss.lexmark.com.
  4. I feltet Sertifikat kopierer og limer du inn base-64-sertifikatnøkkelen fra ID-leverandørens signeringssertifikat for merke.

    Et skjermbilde som viser sertifikatinformasjonen.
    Merk: Se Hente signeringssertifikat for merke hvis du vil ha mer informasjon.
  5. Klikk på Lagre endringer.

Hente signeringssertifikat for merke

  1. Fra AD FS-serveren klikker du på Verktøy > AD FS-administrasjon.

  2. Utvid mappen Tjeneste og klikk deretter på mappen Sertifikater.

  3. Finn signeringssertifikatet for merke.

  4. Fra panelet Handlinger klikker du på Vis sertifikat.

  5. Fra fanen Detaljer klikker du på Kopier til fil, og deretter følger du veiviseren.

  6. Fra skjermen Eksporter filformat velger du Base-64 encoded X.509 (.CER).

    Et skjermbilde som viser veiviseren for sertifikateksport.
  7. Lagre sertifikatet.

Kontroller konfigurasjonen

Konfigurere brukerroller i Active Directory

Før du begynner, må du kontrollere at Active Directory-brukerne er konfigurert med en e-postkonto.

  1. Start panelet Active Directory-brukere og -datamaskiner fra Active Directory-serveren.

  2. Finn de spesifikke brukernes kontoegenskaper.

  3. Angi e-postadressen med riktig firmadomene i fanen Generelt.

    Et skjermbilde som viser vinduet user_account Properties.
  4. Klikk på OK.

Kontroller at brukerne også er konfigurert med følgende LDAP-attributter:

Tilgang til Lexmark Cloud-tjenester

  1. Få tilgang til Lexmark Cloud-tjenester ved hjelp av den riktige URL-adressen som leveres av Lexmark-representanten.

    Et skjermbilde som viser portalen for Lexmark Cloud-tjenester.
  2. Skriv inn brukernavn og passord fra identitetsleverandøren.

    Et skjermbilde som viser ledeteksten for identitetsleverandøren.
    Merk: Brukernavnet må være hele e-postadressen. Se Få tilgang til instrumentpanelet for Lexmark Cloud-tjenester hvis du vil ha mer informasjon.