Configurar a visão geral do AD FS

Esta seção fornece informações sobre a configuração do Microsoft AD FS para federação com o Lexmark Print Management. Saiba como criar um token de segurança com as reivindicações necessárias para um provedor de recursos.

Este documento fornece informações sobre a configuração do SAML (Security Assertion Markup Language) versão 2. Se uma configuração específica não for abordada neste documento, entre em contato com a equipe de Professional Services da Lexmark.

Pré-requisitos

Antes de começar, verifique se:

• As etapas deste documento são executadas em um servidor Active Directory em um domínio.

• O servidor é o Microsoft Windows Server 2016 com o pacote de serviços mais recente.

• O servidor tem um certificado de servidor, e a função AD FS está instalada.

  Nota: Selecione o certificado do servidor e especifique uma conta de serviço ao instalar a função AD FS.

Configurar o identificador de federação

1. No servidor AD FS, clique em Ferramentas > Gerenciamento do AD FS.

2. Clique na pasta de serviço e, no painel Ações, clique em Editar propriedades do serviço de federação.

   

3. Digite um nome de exibição para o serviço de federação e defina o Nome do serviço de federação como o nome de domínio totalmente qualificado do servidor.

4. No campo Identificador do serviço de federação, digite o identificador correto. Por exemplo, http://ServerFQDN/adfs/services/trust.

   Notas:

   • Forneça ao provedor de recursos o nome do serviço de federação. Certifique-se de que o servidor AD FS esteja acessível na Internet.
   • Para obter mais informações sobre como instalar um proxy de servidor de federação, consulte a Documentação da Microsoft.
   • Para obter mais informações sobre como configurar a função de proxy do servidor de federação, consulte a Documentação da Microsoft.

Configurar identificadores de confiança de parte confiável

1. No servidor AD FS, clique em Ferramentas > Gerenciamento do AD FS.

2. Expanda a pasta Relações de confiança e clique na pasta Confianças de parte confiável.

3. No painel Ações, clique em Adicionar confianças de parte confiável.

4. Clique em Ciente das revindicações > Iniciar > Digitar dados sobre a parte confiável manualmente > Avançar.

5. Digite um nome de exibição e clique em Avançar.

6. Na janela Configurar certificado, clique em Avançar.

7. Selecione Ativar suporte para o protocolo SAML 2.0 WebSSO, digite o URL do serviço SAML 2.0 da parte confiável e clique em Avançar.

   Nota: Obtenha o ID da organização no provedor de recursos.

   Dependendo da sua localização, veja a seguir exemplos de URLs de serviço de parte confiável:

   • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

   • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

8. Digite o identificador de confiança de parte confiável e clique em Adicionar > Avançar.

   
   Nota: Obtenha o identificador de confiança da parte confiável no provedor de recursos.

   Dependendo da sua localização, veja a seguir exemplos de identificadores de confiança de parte confiável:

   • https://idp.us.iss.lexmark.com

   • https://idp.eu.iss.lexmark.com

   

9. Na janela Escolher política de controle de acesso, selecione Permitir a todos ou a política de controle de acesso específica para sua organização e clique em Avançar.

10. Revise as configurações de confiança da parte confiável e clique em Avançar.

11. Desmarque Configurar política de emissão de reivindicações para este aplicativo e clique em Fechar.

12. No console de gerenciamento do AD FS, clique na pasta Confianças de parte confiável, clique com o botão direito do mouse na confiança da parte confiável criada e clique em Propriedades.

13. Clique na guia Avançado e selecione SHA-1 como o algoritmo hash seguro.

    

14. Clique na guia Endpoints e selecione Adicionar SAML como o algoritmo hash seguro.

    

15. Selecione Logout do SAML como o tipo de endpoint e, no campo URL confiável, digite o URL de logout confiável do seu servidor AD FS. Por exemplo, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

16. Clique em OK > Aplicar > OK.

Configurar regras de reivindicações do AD FS

1. No servidor AD FS, clique em Ferramentas > Gerenciamento do AD FS.

2. Clique na pasta Confianças de parte confiável, clique com o botão direito do mouse no identificador de confiança de parte confiável criado e, em seguida, clique em Editar política de emissão de reivindicações.

3. Na guia Regras de transformação de emissão, clique em Adicionar regra.

4. No menu Modelo de regra de reivindicação, selecione Enviar atributos LDAP como reivindicações e clique em Avançar.

   

5. Digite um nome de regra de reivindicação e, no menu Armazenamento de atributos, selecione Active Directory.

   

6. Defina os seguintes mapeamentos:

   Atributo LDAP	Tipo de reivindicação de saída
   E-Mail-Addresses	E-Mail Address
   User-Principal-Name	UPN
   Given-Name	Given Name
   Surname	Surname
   Department	department
   <Attribute that maps to badge>	badge
   <Attribute that maps to pin>	pin
   <Attribute that maps to cost center>	costCenter

   
   
   Nota: Substitua <Atributo que mapeia para> pelo atributo LDAP correto para sua organização.

7. Clique em OK > Concluir.

8. Na guia Regras de transformação de emissão, clique em Adicionar regra.

9. No menu Modelo de regra de reivindicação, selecione Transformar uma reivindicação de entrada e clique em Avançar.

10. Digite um nome de regra de reivindicação e, no menu Tipo de reivindicação de entrada, selecione Endereço de e-mail.

11. No menu Tipo de reivindicação de saída, selecione ID do nome.

12. No menu Formato do ID do nome de saída, selecione E-mail.

13. Clique em Concluir > OK.

Configurar o provedor de recursos

1. Na página Web de Gestão de Contas, clique em Organização > Provedor de autenticação > Configurar um provedor de autenticação.

   

2. Na seção Domínios, digite o domínio do provedor de identidade e clique em Adicionar.

   

3. Na seção Configurações de login único, digite os URLs corretos nos seguintes campos:

   • URL de destino de SSO

   • URL de logout de SSO

   

   Notas:

   • Use o nome de domínio totalmente qualificado correto.
   • Dependendo da sua localização, o ID da entidade deve ser https://idp.us.iss.lexmark.com ou https://idp.eu.iss.lexmark.com.

4. No campo Certificado, copie e cole a chave de certificado base 64 do certificado de assinatura de token do provedor de identidade.

   
   Nota: Para obter mais informações, consulte Obter o certificado de assinatura de token.

5. Clique em Salvar alterações.

Obter o certificado de assinatura de token

1. No servidor AD FS, clique em Ferramentas > Gerenciamento do AD FS.

2. Expanda a pasta Serviço e clique na pasta Certificados.

3. Localize o certificado de assinatura de token.

4. No painel Ações, clique em Exibir certificado.

5. Na guia Detalhes, clique em Copiar para arquivo e siga o assistente.

6. Na tela Exportar formato de arquivo, selecione X.509 codificado na base 64 (.CER).

   

7. Salve o certificado.

Configurar funções de usuário no Active Directory

Antes de começar, verifique se os usuários do Active Directory estão configurados com uma conta de e-mail.

1. No servidor Active Directory, inicie o painel Usuários e computadores do Active Directory.

2. Localize as propriedades específicas da conta do usuário.

3. Na guia Geral, especifique o endereço de e-mail com o domínio correto da empresa.

   

4. Clique em OK.

Certifique-se de que os usuários também estejam configurados com os seguintes atributos LDAP:

• UPN

• Nome atribuído

• Sobrenome

• Departamento

• Crachá

• PIN

• Centro de custo

Acessar o Lexmark Cloud Services

1. Acesse o Lexmark Cloud Services usando o URL correto fornecido pelo seu representante da Lexmark.

   

2. No provedor de identidade, digite seu nome de usuário e senha.

   
   Nota: O nome de usuário deve ser seu endereço de e-mail completo. Para obter mais informações, consulte Como acessar o painel do Lexmark Cloud Services.