Oversikt over konfigurasjon av AD FS

Denne delen inneholder informasjon om konfigurasjon av Microsoft AD FS for sammenkobling med Lexmark Print Management. Finn ut hvordan du oppretter et sikkerhetsmerke med obligatoriske krav for en ressursleverandør.

Dette dokumentet inneholder informasjon om hvordan du konfigurerer Security Assertion Markup Language (SAML) versjon 2. Hvis en bestemt konfigurasjon ikke er inkludert i dette dokumentet, kontakter du Lexmark Professional Services-teamet.

Forutsetninger

Før du starter, kontrollerer du at:

• Trinnene i dette dokumentet utføres på en Active Directory-server i et domene.

• Serveren er Microsoft Windows Server 2016 med den nyeste oppdateringspakken.

• Serveren har et serversertifikat, og AD FS-rollen er installert.

  Merk: Velg serversertifikatet, og angi deretter en tjenestekonto når du installerer AD FS-rollen.

Konfigurere Federation-ID

1. Klikk på Verktøy > AD FS-administrasjon fra AD FS-serveren.

2. Klikk på tjenestemappen og på Rediger egenskaper for Federation-tjenester i panelet Handlinger.

   

3. Skriv inn navnet på en Federation-tjeneste, og angi deretter Federation-tjenestenavn til det kvalifiserte domenenavnet på serveren.

4. I feltet Federation-tjeneste-ID skriver du inn riktig identifikator. For eksempel http://ServerFQDN/adfs/services/trust.

   Merknader:

   • Gi ressursleverandøren navnet på Federation-tjenesten. Kontroller at AD FS-serveren er tilgjengelig fra Internett.
   • Hvis du vil ha mer informasjon om hvordan du installerer en Federation-serverproxy, kan du se Microsoft-dokumentasjonen.
   • Hvis du vil ha mer informasjon om hvordan du konfigurerer en Federation-serverproxy-rolle, kan du se Microsoft-dokumentasjonen.

Konfigurere klareringsidentifikatorer for leverandør

1. Fra AD FS-serveren klikker du på Verktøy > AD FS-administrasjon.

2. Utvid mappen Klareringsforhold og klikk på mappen Klarerte leverandører.

3. Klikk på Legg til klarerte leverandører i panelet Handlinger.

4. Klikk på Bevisst krav > Start > Skriv inn data om klarert leverandør manuelt > Neste.

5. Skriv inn et skjermnavn, og klikk deretter på Neste.

6. I vinduet Konfigurer sertifikat klikker du på Neste.

7. Velg Aktiver støtte for SAML 2.0 WebSSO-protokollen, skriv inn URL til den aktuelle SAML 2.0-tjenesten, og klikk deretter på Neste.

   Merk: Hent organisasjons-ID fra ressursleverandøren.

   Avhengig av hvor du befinner deg, er følgende eksempler på en URL for klarerte tjenester:

   • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

   • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

8. Skriv inn ID-en for klareringsidentifikator for leverandør, og klikk deretter på Legg til > Neste.

   
   Merk: Få ID-en til klareringsidentifikator for leverandør fra ressursleverandør.

   Avhengig av hvor du befinner deg, er følgende eksempler på en klareringsidentifikatorer for leverandør:

   • https://idp.us.iss.lexmark.com

   • https://idp.eu.iss.lexmark.com

   

9. I vinduet Velg policy for tilgangskontroll velger du Gi alle tilgang eller den spesifikke policyen for tilgangskontroll for organisasjonen din, og deretter klikker du på Neste.

10. Se gjennom innstillingene for klareringsidentifikator for leverandør, og klikk deretter på Neste.

11. Fjern Konfigurer policy for kravutstedelse for dette programmet og klikk på Lukk.

12. Klikk på mappen Klarerte leverandører i AD FS-administrasjonskonsollen, høyreklikk på den opprettede klarerte leverandøren og klikk på Egenskaper.

13. Klikk på Avansert og velg SHA-1 som sikker hash-algoritme.

    

14. Klikk på fanen Endepunkter, og velg deretter Legg til SAML som den sikre hash-algoritmen.

    

15. Velg SAML-avlogging som endepunktstype, og skriv deretter inn URL for utlogging av AD FS-serveren i feltet Klarert URL. For eksempel, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

16. Klikk på OK > Bruk > OK.

Konfigurere AD FS-kravregler

1. Klikk på Verktøy > AD FS-administrasjon fra AD FS-serveren.

2. Klikk på Klarerte leverandører, høyreklikk på den opprettede klareringsidentifikatoren for leverandør, og klikk deretter på Rediger policy for kravutstedelse.

3. Klikk på Legg til regel i fanen Regler for utstedelsestransformasjon.

4. Velg Send LDAP-attributter som krav fra menyen Mal for kravregel, og klikk deretter på Neste.

   

5. Skriv inn et navn på en kravregel, og velg Active Directory fra menyen Attributtlager.

   

6. Definer følgende tilordninger:

   LDAP-attributt	Utgående kravtype
   E-Mail-Addresses	E-Mail Address
   User-Principal-Name	UPN
   Given-Name	Given Name
   Surname	Surname
   Department	department
   <Attribute that maps to badge>	badge
   <Attribute that maps to pin>	pin
   <Attribute that maps to cost center>	costCenter

   
   
   Merk: Erstatt <Attributt som tilordnes til> med riktig LDAP-attributt for organisasjonen.

7. Klikk på OK > Fullfør.

8. Klikk på Legg til regel i fanen Regler for utstedelsestransformasjon .

9. Velg Endre innkommende krav fra menyen Mal for kravregel, og klikk deretter på Neste.

10. Skriv inn et navn på en kravregel, og velg E-postadresse fra menyen Innkommende kravtype.

11. Velg Navn-ID fra menyen Utgående kravtype.

12. Velg E-post fra menyen Utgående navn-ID-format.

13. Klikk på Fullfør > OK.

Konfigurere ressursleverandøren

1. I nettportalen for kontoadministrasjon klikker du på Organisasjon > Godkjenningsleverandør > Konfigurere en godkjenningsleverandør.

   

2. Skriv inn domenet til identitetsleverandøren i Domenet-delen, og klikk deretter på Legg til.

   

3. Skriv inn riktig URL i følgende felt under Innstillinger for enkel pålogging:

   • SSO mål-URL

   • Avloggings-URL-adresse for SSO

   

   Merknader:

   • Bruk riktig, kvalifisert domenenavn.
   • Avhengig av hvor du befinner deg, må enhets-ID-en være https://idp.us.iss.lexmark.com eller https://idp.eu.iss.lexmark.com.

4. I feltet Sertifikat kopierer og limer du inn base-64-sertifikatnøkkelen fra ID-leverandørens signeringssertifikat for merke.

   
   Merk: Se Hente signeringssertifikat for merke hvis du vil ha mer informasjon.

5. Klikk på Lagre endringer.

Hente signeringssertifikat for merke

1. Fra AD FS-serveren klikker du på Verktøy > AD FS-administrasjon.

2. Utvid mappen Tjeneste og klikk deretter på mappen Sertifikater.

3. Finn signeringssertifikatet for merke.

4. Fra panelet Handlinger klikker du på Vis sertifikat.

5. Fra fanen Detaljer klikker du på Kopier til fil, og deretter følger du veiviseren.

6. Fra skjermen Eksporter filformat velger du Base-64 encoded X.509 (.CER).

   

7. Lagre sertifikatet.

Konfigurere brukerroller i Active Directory

Før du begynner, må du kontrollere at Active Directory-brukerne er konfigurert med en e-postkonto.

1. Start panelet Active Directory-brukere og -datamaskiner fra Active Directory-serveren.

2. Finn de spesifikke brukernes kontoegenskaper.

3. Angi e-postadressen med riktig firmadomene i fanen Generelt.

   

4. Klikk på OK.

Kontroller at brukerne også er konfigurert med følgende LDAP-attributter:

• UPN

• Given-Name

• Etternavn

• Avdeling

• Kort

• PIN-kode

• Kostnadssted

Tilgang til Lexmark Cloud-tjenester

1. Få tilgang til Lexmark Cloud-tjenester ved hjelp av den riktige URL-adressen som leveres av Lexmark-representanten.

   

2. Skriv inn brukernavn og passord fra identitetsleverandøren.

   
   Merk: Brukernavnet må være hele e-postadressen. Se Få tilgang til instrumentpanelet for Lexmark Cloud-tjenester hvis du vil ha mer informasjon.