Konfigurowanie usług integracji Active Directory Federation Services (AD FS).

Konfiguracja AD FS — informacje ogólne

W tej sekcji znajdują się informacje na temat konfigurowania programu Microsoft AD FS do współpracy z programem Lexmark Print Management. Dowiedz się, jak utworzyć token zabezpieczeń z wymaganymi oświadczeń dla dostawcy zasobów.

Niniejszy dokument zawiera informacje na temat konfigurowania języka SAML (Security Assertion Markup Language) w wersji 2. Jeśli dana konfiguracja nie została omówiona w tym dokumencie, należy skontaktować się z zespołem Lexmark Professional Services.

Wymagania wstępne

Zanim rozpoczniesz, upewnij się że:

Konfigurowanie usług ADFS dla protokołu Security Assertion Markup Language (SAML)

Konfigurowanie identyfikatora federacji

  1. Na serwerze AD FS kliknij Narzędzia > Zarządzanie AD FS.

  2. Kliknij folder usługi, a następnie w panelu Akcje kliknij polecenie Edytuj właściwości usługi federacyjnej.

    Zrzut ekranu przedstawiający okno Właściwości usługi federacyjnej.

  3. Wpisz nazwę wyświetlaną usług federacyjnych, a następnie ustaw nazwę usługi federacyjnej na w pełni kwalifikowaną nazwę domeny serwera.

  4. W polu Identyfikator usługi federacyjnej wpisz prawidłowy identyfikator. Na przykład http://ServerFQDN/adfs/services/trust.

    Uwagi:

    • Podaj dostawcy zasobów nazwę usługi federacyjnej. Upewnij się, że serwer AD FS jest dostępny z Internetu.
    • Więcej informacji na temat instalowania serwera proxy federacyjnego można znaleźć w dokumentacji firmy Microsoft.
    • Więcej informacji na temat konfigurowania roli serwera proxy federacyjnego można znaleźć w dokumentacji firmy Microsoft.

Konfigurowanie identyfikatorów zaufania jednostki uzależnionej

  1. Na serwerze AD FS kliknij Narzędzia > Zarządzanie AD FS.

  2. Rozwiń folder Relacje zaufania, a następnie kliknij folder Zaufania jednostek uzależnionych.

  3. W panelu Akcje kliknij opcję Dodaj zaufania jednostek uzależnionych.

  4. Kliknij kolejno pozycje Obsługa oświadczeń > Rozpocznij > Ręczne wprowadzenie danych o zaufaniu jednostki uzależnionej > Dalej.

  5. Wpisz nazwę wyświetlaną, a następnie kliknij przycisk Dalej.

  6. W oknie Konfiguruj certyfikat kliknij przycisk Dalej.

  7. Wybierz opcję Włącz obsługę protokołu SAML 2.0 WebSSO, wpisz adres URL usługi SAML 2.0 jednostki uzależnionej, a następnie kliknij przycisk Dalej.

    Uwaga: Uzyskaj identyfikator organizacji od dostawcy zasobów.

    W zależności od lokalizacji, poniżej przedstawiono przykłady adresów URL usług jednostki uzależnionej:

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Wpisz identyfikator zaufania jednostki uzależnionej, a następnie kliknij przycisk Dodaj > Dalej.

    Zrzut ekranu przedstawiający adres URL usługi jednostki uzależnionej.
    Uwaga: Uzyskaj identyfikator zaufania jednostki uzależnionej od dostawcy zasobów.

    W zależności od lokalizacji, poniżej przedstawiono przykłady identyfikatorów zaufania jednostki uzależnionej:

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Zrzut ekranu przedstawiający identyfikator zaufania jednostki uzależnionej.

  9. W oknie Wybieranie zasad kontroli dostępu wybierz opcję Zezwalaj wszystkim lub określone zasady kontroli dostępu dla organizacji, a następnie kliknij przycisk Dalej.

  10. Sprawdź ustawienia zaufania jednostki uzależnionej, a następnie kliknij przycisk Dalej.

  11. Usuń zaznaczenie pola wyboru Konfiguruj zasady wystawiania oświadczeń dla tej aplikacji, a następnie kliknij przycisk Zamknij.

  12. W konsoli zarządzania AD FS kliknij folderZaufania jednostek uzależnionych, kliknij prawym przyciskiem myszy utworzone zaufanie jednostki uzależnionej, a następnie kliknij Właściwości.

  13. Kliknij kartę Zaawansowane, a następnie wybierz SHA-1 jako bezpieczny algorytm wyznaczania wartości skrótu.

    Zrzut ekranu przedstawiający bezpieczny algorytm wyznaczania wartości skrótu.

  14. Kliknij kartę Punkty końcowe, a następnie wybierz opcję Dodaj obiekt SAML jako bezpieczny algorytm wyznaczania wartości skrótu.

    Zrzut ekranu przedstawiający punkt końcowy.

  15. Jako typ punktu końcowego wybierz opcję Wylogowywanie SAML, a następnie w polu Zaufany adres URL wpisz zaufany adres URL wylogowania serwera AD FS. Na przykład https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Kliknij kolejno przyciski OK > Zastosuj > OK.

Konfiguracja reguł dotyczących oświadczeń AD FS

  1. Na serwerze AD FS kliknij Narzędzia > Zarządzanie AD FS.

  2. Kliknij folder Zaufania jednostek uzależnionych, kliknij prawym przyciskiem myszy utworzony identyfikator zaufania jednostki uzależnionej, a następnie kliknij polecenie Edytuj zasady wystawiania oświadczeń.

  3. Na karcie Reguły transformacji wystawiania kliknij polecenie Dodaj regułę.

  4. Z menu Szablon reguły dotyczącej oświadczeń wybierz polecenie Wysyłaj atrybuty LDAP jako oświadczenia, a następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający wybór szablonu reguły dotyczącej oświadczeń.

  5. Wpisz nazwę reguły dotyczącej oświadczeń, a następnie w menu Magazyn atrybutów wybierz opcję Active Directory.

    Zrzut ekranu przedstawiający konfigurację reguł.

  6. Zdefiniuj następujące mapowania:

    Atrybut LDAP

    Typ oświadczenia wychodzącego

    Adresy e-mail

    Adres e-mail

    User-Principal-Name

    UPN

    Imię

    Imię

    Nazwisko

    Nazwisko

    Dział

    dział

    <Attribute that maps to badge>

    karta dostępu

    <Attribute that maps to pin>

    kod pin

    <Attribute that maps to cost center>

    centrumKosztów


    Uwaga: Zastąp <Attribute that maps to> prawidłowym atrybutem LDAP dla organizacji.

  7. Kliknij OK > Zakończ.

  8. Na karcie Reguły transformacji wystawiania kliknij polecenie Dodaj regułę.

  9. Z menu Szablon reguły dotyczącej oświadczeń wybierz polecenie Przekształcaj oświadczenie przychodzące, a następnie kliknij przycisk Dalej.

  10. Wpisz nazwę reguły dotyczącej oświadczeń, a następnie z menu Typ oświadczenia przychodzącego wybierz opcję Adres e-mail.

  11. Z menu Typ oświadczenia wychodzącego wybierz opcję Identyfikator nazwy.

  12. Z menu Format identyfikatora nazwy wychodzącej wybierz E-mail.

  13. Kliknij przycisk Zakończ > OK.

Zrzut ekranu przedstawiający konfigurację reguł dotyczących oświadczeń.

Dostarczanie metadanych dostawcom zasobów

Konfigurowanie dostawcy zasobów

  1. W portalu internetowym Account Management kliknij opcję Organizacja > Dostawca uwierzytelniania > Konfiguracja dostawcy uwierzytelniania.

    Zrzut ekranu przedstawiający ustawienie dostawcy uwierzytelniania.

  2. W sekcji Domeny wpisz domenę dostawcy tożsamości, a następnie kliknij przycisk Dodaj.

    Zrzut ekranu przedstawiający tworzenie domen.

  3. W sekcji Ustawienia logowania jednokrotnego wpisz poprawne adresy URL w następujących polach:

    • Docelowy adres URL dla SSO

    • Adres URL wylogowywania dla SSO

    Zrzut ekranu przedstawiający ustawienia logowania jednokrotnego.

    Uwagi:

    • Użyj prawidłowej w pełni kwalifikowanej nazwy domeny.
    • W zależności od lokalizacji identyfikator podmiotu musi mieć adres https://idp.us.iss.lexmark.com lub https://idp.eu.iss.lexmark.com.

  4. W polu Certyfikat skopiuj i wklej klucz certyfikatu Base-64 z certyfikatu podpisywania tokenu dostawcy tożsamości.

    Zrzut ekranu przedstawiający informacje o certyfikacie.
    Uwaga: Więcej informacji można znaleźć w sekcji Uzyskiwanie certyfikatu podpisywania tokenu.

  5. Kliknij przycisk Zapisz zmiany.

Uzyskiwanie certyfikatu podpisywania tokenu

  1. Na serwerze AD FS kliknij Narzędzia > Zarządzanie AD FS.

  2. Rozwiń folder Usługa, a następnie kliknij folder Certyfikaty.

  3. Odszukaj certyfikat podpisywania tokenu.

  4. W panelu Akcje kliknij opcję Wyświetl certyfikat.

  5. Na karcie Szczegóły kliknij opcję Kopiuj do pliku, a następnie postępuj zgodnie z instrukcjami kreatora.

  6. Na ekranie Formaty eksportowania plików wybierz opcję Base-64 encoded X.509 (.CER).

    Zrzut ekranu przedstawiający okno Kreator eksportu certyfikatów.

  7. Zapisz certyfikat.

Sprawdzanie konfiguracji

Konfigurowanie ról użytkowników w usłudze Active Directory

Przed rozpoczęciem upewnij się, że użytkownicy usługi Active Directory są skonfigurowani z kontem e-mail.

  1. Na serwerze Active Directory uruchom panel Użytkownicy i komputery usługi Active Directory.

  2. Znajdź właściwości konta określonego użytkownika.

  3. Na karcie Ogólne określ adres e-mail zawierający poprawną domenę firmy.

    Zrzut ekranu przedstawiający okno Właściwości konto_użytkownika.

  4. Kliknij przycisk OK.

Upewnij się, że użytkownicy są również skonfigurowani z następującymi atrybutami LDAP:

Uzyskiwanie dostępu do Usług w chmurze Lexmark

  1. Uzyskaj dostęp do Usług w chmurze Lexmark, korzystając z prawidłowego adresu URL, który został podany przez przedstawiciela firmy Lexmark.

    Zrzut ekranu przedstawiający portal Usługi w chmurze Lexmark.

  2. W sekcji dostawcy tożsamości wpisz nazwę użytkownika i hasło.

    Zrzut ekranu przedstawiający monit dostawcy tożsamości.
    Uwaga: Nazwa użytkownika musi być pełnym adresem e-mail. Więcej informacji można znaleźć w sekcji Dostęp do panelu sterowania usług w chmurze Lexmark.