Konfigurowanie integracji Azure AD

Konfigurowanie federacji usługi Azure Active Directory — informacje ogólne

W tej sekcji znajdują się informacje na temat federacji Usług w chmurze Lexmark z usługą Microsoft Azure Active Directory. Aby uzyskać więcej informacji, skontaktuj się z zespołem Lexmark Professional Services.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp administratora do następujących portali:

Zrozumienie federacji

Federacja to proces tworzenia relacji zaufania pomiędzy dostawcą tożsamości klienta (IdP) a usługą zewnętrzną, taką jak Usługi w chmurze Lexmark. Poniżej przedstawiono przykłady dostawców tożsamości:

Po nawiązaniu relacji zaufania użytkownicy mogą uzyskać dostęp do Usług w chmurze Lexmark przy użyciu tej samej nazwy użytkownika i hasła dla innych wewnętrznych witryn i usług. Dostawca tożsamości klienta zarządza wszystkimi aspektami zarządzania poświadczeniami, takimi jak weryfikacja haseł, wymagania dotyczące złożoności, wygaśnięcie ważności i potencjalne wykorzystanie uwierzytelniania wieloelementowego. Dostawca tożsamości obsługuje również funkcję logowania jednokrotnego (SSO), która zmniejsza liczbę prób uwierzytelniania użytkowników podczas przełączania się pomiędzy usługami.

Komfort obsługi

Otoczenie klienta z dostawcą tożsamości

Przy pierwszym użyciu Usług w chmurze Lexmark zostanie wyświetlony monit o podanie adresu e-mail, a następnie użytkownik zostanie przekierowany do dostawcy tożsamości.

Jeśli użytkownik zalogował się już do dostawcy tożsamości, który obsługuje logowanie jednokrotne, nie jest wymagane wprowadzanie hasła. Zapobiega się wyzwaniom związanym z uwierzytelnianiem wieloelementowym. Proces ten zapewnia użytkownikowi możliwość szybkiego zalogowania się.

Środowisko klienta bez dostawcy tożsamości

Jeśli użytkownik nie zalogował się do dostawcy tożsamości, pojawi się monit o podanie nazwy użytkownika i hasła. Napotkano wyzwania uwierzytelniania wieloelementowego. Po zalogowaniu użytkownik zostanie przekierowany do Usług w chmurze Lexmark.

Przepływ pracy dla federowanego logowania

  1. Usługi w chmurze Lexmark proszą użytkownika o podanie adresu e-mail. Informacje te pozwalają Usługom w chmurze Lexmark określić organizację użytkownika w ramach Usług w chmurze Lexmark.

    Uwaga: Ustawienia federacji organizacji obejmują adres URL dostawcy tożsamości klienta.

  2. Usługi w chmurze Lexmark przekierowują użytkownika do dostawcy tożsamości. Usługi w chmurze Lexmark pomyślnie przechodzą pole identyfikatora podmiotu.

  3. Dostawca tożsamości wykorzystuje identyfikator podmiotu do określenia, które ustawienia mają zastosowanie do tej próby logowania. W zależności od ustawień dostawca tożsamości uwierzytelnia nazwę użytkownika i hasło, a także może przeprowadzić uwierzytelnianie wieloelementowe. Jeśli dostawca tożsamości obsługuje logowanie SSO, a użytkownik jest już zalogowany do dostawcy tożsamości, użytkownik zostaje zalogowany automatycznie.

  4. Dostawca tożsamości przekierowuje użytkownika do Usług w chmurze Lexmark i przekazuje następujące wstępnie zdefiniowane oświadczenia:

    • Nazwa użytkownika

    • Adres e-mail

    • Organizacja

    • Informacje opcjonalne, takie jak dział użytkownika i centrum kosztów

    Dostawca tożsamości podpisuje te oświadczenia, korzystając z certyfikatu prywatnego.

  5. Usługi w chmurze Lexmark zostały wstępnie skonfigurowane przy użyciu certyfikatu publicznego i korzystają z niego w celu sprawdzenia, czy te informacje pochodzą z oczekiwanego źródła. Ten proces pozwala Usługom w chmurze Lexmark ufać informacjom, które dostawca tożsamości przekazuje, i zakończyć proces logowania.

Konfiguracja Azure Active Directory

Poniższe ilustracje mogą się różnić w praktyce.

  1. W portalu Azure przejdź do usługi Azure Active Directory.

    Zrzut ekranu przedstawiający nawigację do usługi Azure Active Directory.

  2. Kliknij kolejno opcje Aplikacje dla przedsiębiorstw > Nowa aplikacja.

    Zrzut ekranu przedstawiający nawigację do ustawień aplikacji dla przedsiębiorstw.
    Zrzut ekranu przedstawiający przycisk Nowa aplikacja.

  3. Kliknij opcję Utwórz własną aplikację > Zintegruj dowolną inną aplikację, której nie można znaleźć w galerii (spoza galerii).

    Zrzut ekranu przedstawiający nawigację do aplikacji spoza galerii.

  4. Wpisz nazwę aplikacji.

  5. Na ekranie Przegląd aplikacji dla przedsiębiorstw kliknij opcję Konfiguracja pojedynczego logowania, a następnie wybierz opcję SAML.

    Zrzut ekranu przedstawiający konfigurację metody jednokrotnego logowania.
    Zrzut obrazu przedstawiający SAML jako metodę jednokrotnego logowania.

  6. W sekcji Podstawowa konfiguracja SAML skonfiguruj następujące ustawienia:

    Zrzut ekranu przedstawiający konfigurację atrybutów użytkownika.
    Uwaga: Uzyskaj ustawienia od dostawcy usług.

    • Identyfikator (identyfikator podmiotu)

      Uwaga: Domyślny identyfikator podmiotu Usług w chmurze Lexmark to https://idp.iss.lexmark.com. Upewnij się, że identyfikator podmiotu w systemie Azure jest zgodny z identyfikatorem podmiotu w portalu Usług w chmurze Lexmark.

    • Adres URL odpowiedzi (adres URL usługi asercji konsumenta)

      W zależności od lokalizacji, poniżej przedstawiono przykłady pełnego adresu URL odpowiedzi:

      • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      Uwaga: Aby określić wartość parametru organization_id , zaloguj się do portalu Usług w chmurze Lexmark, a następnie kliknij opcję Zarządzanie kontem. Organization_id pojawi się w adresie URL.
      Zrzut ekranu przedstawiający lokalizację identyfikatora organizacji.

  7. W sekcji Atrybuty użytkownika i oświadczenia kliknij przycisk Edytuj.

    Zrzut ekranu przedstawiający sekcję Atrybuty użytkownika i oświadczenia.

  8. Kliknij przycisk Dodaj nowe oświadczenie, a następnie wpisz nazwę i źródło każdego oświadczenia.

    Zrzut ekranu przedstawiający tworzenie nowych oświadczeń.
    Wymagane oświadczenia

    Atrybut

    Źródło

    Przestrzeń nazw

    firstname

    user.givenname

    Pozostaw to pole puste.

    lastname

    user.surname

    Pozostaw to pole puste.

    email

    user.mail

    Pozostaw to pole puste.


    Oświadczenia opcjonalne

    Atrybut

    Źródło

    Przestrzeń nazw

    badge

    Atrybut źródłowy organizacji

    Pozostaw to pole puste.

    pin

    Atrybut źródłowy organizacji

    Pozostaw to pole puste.

    costCenter

    Atrybut źródłowy organizacji

    Pozostaw to pole puste.

    department

    user.department

    Pozostaw to pole puste.


  9. W sekcji Certyfikat podpisywania SAML wykonaj poniższe czynności:

    • Pobierz certyfikat Base64.

    • Skopiuj adresy URL logowania i wylogowania.

    Zrzut ekranu przedstawiający miejsce pobierania certyfikatu i kopiowania adresów URL logowania i wylogowania.

  10. W zależności od konfiguracji systemu Azure należy przypisać użytkowników do utworzonej aplikacji dla przedsiębiorstw.

    Zrzut ekranu przedstawiający miejsce przypisywania użytkowników i grup.

  11. Zapisz ustawienia.

Konfiguracja Usług w chmurze Lexmark

  1. W portalu internetowym Account Management kliknij opcję Organizacja > Dostawca uwierzytelniania > Konfiguracja dostawcy uwierzytelniania.

    Zrzut ekranu przedstawiający ustawienie dostawcy uwierzytelniania.

  2. W sekcji Domeny wpisz domenę dostawcy tożsamości, a następnie kliknij przycisk Dodaj.

    Zrzut ekranu przedstawiający stronę główną Usług w chmurze Lexmark.

  3. W sekcji Ustawienia logowania jednokrotnego wpisz poprawne informacje w następujących polach:

    • Identyfikator podmiotu dostawcy usługi

      Uwaga: Domyślny identyfikator podmiotu Usług w chmurze Lexmark to https://idp.iss.lexmark.com. Upewnij się, że identyfikator podmiotu w systemie Azure jest zgodny z identyfikatorem podmiotu w portalu Usług w chmurze Lexmark.

    • Docelowy adres URL logowania jednokrotnego— adres URL logowania utworzonej aplikacji Azure dla przedsiębiorstw.

    • Adres URL wylogowania jednokrotnego — ten adres URL określa zachowanie się, gdy użytkownik wylogowuje się z portalu Usług w chmurze Lexmark.

      • Jeśli użytkownik ma być całkowicie wylogowany z dzierżawcy systemu Azure, wpisz adres URL wylogowania utworzonej aplikacji Azure dla przedsiębiorstw.

      • Jeśli chcesz, aby użytkownik wylogował się tylko z Usług w chmurze Lexmark, wpisz inny adres URL. Adres URL może wskazywać stronę, którą obsługujesz („nastąpiło pomyślne wylogowanie”) lub można użyć odpowiedniej strony logowania Usług w chmurze Lexmark dla swojej organizacji. W zależności od lokalizacji adres URL może mieć postać https://idp.us.iss.lexmark.com lub https://idp.eu.iss.lexmark.com.

  4. W polu Certyfikat skopiuj i wklej klucz certyfikatu Base-64 z certyfikatu podpisywania tokenu dostawcy tożsamości.

    Zrzut ekranu przedstawiający informacje o certyfikacie.

    Jeśli zamiast tego masz plik metadata.xml zawierający adresy URL i dane certyfikatu, dodaj ręcznie nagłówek i stopkę.

    -----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----

  5. Kliknij opcję Skonfiguruj dostawcę uwierzytelniania.

    Uwaga: Nie należy wychodzić z portalu Usług w chmurze Lexmark ani zezwalać na przekroczenie przez niego limitu czasu. Zalogowanie się może być niemożliwe w celu rozwiązania problemów odkrytych podczas testowania.

Uzyskiwanie dostępu do Usług w chmurze Lexmark

Przetestuj ustawienia federacji, logując się dowolnego użytkownika, korzystając z jednej z następujących metod:

  1. Uzyskaj dostęp do Usług w chmurze Lexmark, korzystając z prawidłowego adresu URL, który został podany przez przedstawiciela firmy Lexmark.

    Zrzut ekranu przedstawiający portal Usługi w chmurze Lexmark.

  2. W sekcji dostawcy tożsamości wpisz nazwę użytkownika i hasło.

    Zrzut ekranu przedstawiający monit dostawcy tożsamości.
    Uwaga: Nazwa użytkownika musi być pełnym adresem e-mail. Więcej informacji można znaleźć w sekcji Dostęp do panelu sterowania usług w chmurze Lexmark.