Configuração da federação com o Azure AD

Noções básicas de federação

Federação é o processo de criar uma relação de confiança entre o provedor de identidade (IdP) de um cliente e um serviço externo, como o Lexmark Cloud Services. Veja a seguir exemplos de um IdP:

Microsoft Azure Active Directory
Google Identity
Qualquer sistema de gerenciamento de identidade compatível com SAML 2.0

Depois de estabelecer um relacionamento de confiança, os usuários podem acessar o Lexmark Cloud Services usando o mesmo nome de usuário e senha para outros sites e serviços internos. O IdP do cliente gerencia todos os aspectos do gerenciamento de credenciais, como validação de senha, requisitos de complexidade, expiração e uso potencial da autenticação baseada em vários fatores. O IdP também suporta login único (SSO), o que reduz o número de vezes que os usuários precisam se autenticar à medida que alternam entre serviços.

Experiência do usuário

Ambiente do cliente com IdP

Na primeira vez que um usuário acessa o Lexmark Cloud Services, um prompt de endereço de e-mail é exibido e, em seguida, o usuário é redirecionado para o IdP.
Se o usuário já tiver feito login no IdP e ele suportar SSO, não será necessário inserir a senha. Os desafios da autenticação baseada em vários fatores são evitados. Esse processo cria uma experiência de login rápido para o usuário final.

Ambiente do cliente sem IdP

Se o usuário não tiver feito login no IdP, os prompts de nome de usuário e senha serão exibidos. Desafios de autenticação de vários fatores são encontrados. Depois de fazer login, o usuário é redirecionado para o Lexmark Cloud Services.

Fluxo de trabalho para login federado

O Lexmark Cloud Services solicita o endereço de e-mail do usuário. Essas informações permitem que o Lexmark Cloud Services determine a organização do usuário dentro do Lexmark Cloud Services.
Nota: As configurações de federação para a organização incluem o URL do provedor de identidade do cliente.
O Lexmark Cloud Services redireciona o usuário para o IdP. O Lexmark Cloud Services passa um campo ID da entidade.
O IdP usa o ID da entidade para determinar quais configurações se aplicam a essa tentativa de login. Dependendo das configurações, o IdP autentica o nome de usuário e a senha e pode executar a autenticação multifatorial. Se o IdP suportar SSO e o usuário já estiver conectado ao IdP, o usuário será conectado automaticamente.
O IdP redireciona o usuário para o Lexmark Cloud Services e passa as seguintes reivindicações predefinidas:
- Nome de usuário
- Endereço de e-mail
- Organização
- Informações opcionais, como o departamento do usuário e o centro de custo
O IdP assina essas reivindicações usando um certificado privado.
O Lexmark Cloud Services foi pré-configurado com o certificado público e o usa para verificar se essas informações vieram da fonte esperada. Esse processo permite que o Lexmark Cloud Services confie nas informações que o IdP passa e conclui o processo de login.

Configurar o Azure Active Directory

As imagens abaixo podem variar na prática.

No portal Azure, navegue até Azure Active Directory.
Clique em Aplicativos corporativos > Novo aplicativo.
Clique em Criar seu próprio aplicativo > Integrar qualquer outro aplicativo que você não encontrar na galeria (fora da galeria).
Digite um nome de aplicativo.
Na tela Visão geral dos aplicativos corporativos, clique em Configurar login único e selecione SAML.
Na seção Configuração básica do SAML, configure da seguinte forma:
Nota: Obtenha as configurações do provedor de serviços.
- Identificador (ID da entidade)
  Nota: O ID de entidade padrão do Lexmark Cloud Services é https://idp.iss.lexmark.com. Certifique-se de que o ID da entidade no Azure corresponda ao ID da entidade no portal do Lexmark Cloud Services.
- URL de resposta (URL do Serviço de apoio ao consumidor)
  Dependendo da sua localização, veja a seguir exemplos de um URL de resposta completa:
  - https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  - https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
  Nota: Para determinar o valor do parâmetro organization_id, faça login no portal do Lexmark Cloud Services e clique em Gestão de contas. O organization_id aparece no URL.
Na seção Atributos e reivindicações do usuário, clique em Editar.

Clique em Adicionar nova reivindicação e, em seguida, digite o nome e a origem de cada reivindicação.

Uma captura de tela mostrando a criação de novas reivindicações.

Reivindicações necessárias
Atributo	Fonte	Namespace
firstname	user.givenname	Deixe este campo em branco.
lastname	user.surname	Deixe este campo em branco.
email	user.mail	Deixe este campo em branco.

Reivindicações opcionais
Atributo	Fonte	Namespace
badge	Atributo de origem para sua organização	Deixe este campo em branco.
pin	Atributo de origem para sua organização	Deixe este campo em branco.
costCenter	Atributo de origem para sua organização	Deixe este campo em branco.
department	user.department	Deixe este campo em branco.

Na seção Certificado de assinatura do SAML, faça o seguinte:
- Faça download do certificado Base64.
- Copie os URLs de login e logout.
Dependendo da configuração do Azure, atribua usuários ao aplicativo corporativo criado.
Salve as configurações.

Configurar os Serviços na nuvem da Lexmark

Na página Web de Gestão de Contas, clique em Organização > Provedor de autenticação > Configurar um provedor de autenticação.
Na seção Domínios, digite o domínio do provedor de identidade e clique em Adicionar.
Na seção Configurações de login único, digite as informações corretas nos seguintes campos:
- ID de entidade do provedor de serviços
  Nota: O ID de entidade padrão do Lexmark Cloud Services é https://idp.iss.lexmark.com. Certifique-se de que o ID da entidade no Azure corresponda ao ID da entidade no portal do Lexmark Cloud Services.
- URL de destino de SSO — O URL de login do aplicativo corporativo Azure que você criou.
- URL de logout de SSO — Este URL determina o comportamento quando um usuário faz logout do portal do Lexmark Cloud Services.
  - Se você quiser que o usuário faça logout do seu locatário do Azure completamente, digite o URL de logout do aplicativo corporativo Azure que você criou.
  - Se você quiser que o usuário seja desconectado apenas do Lexmark Cloud Services, digite outro URL. O URL pode apontar para uma página que você mantém ("Você fez logout com sucesso") ou você pode usar a página de login apropriada do Lexmark Cloud Services para sua organização. Dependendo da sua localização, o URL pode ser https://idp.us.iss.lexmark.com ou https://idp.eu.iss.lexmark.com.
No campo Certificado, copie e cole a chave de certificado base 64 do certificado de assinatura de token do provedor de identidade.
Se, em vez disso, você tiver um arquivo metadata.xml contendo os URLs e os dados do certificado, adicione o cabeçalho e o rodapé manualmente.
```
-----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----
```
Clique em Configurar provedor de autenticação.
Nota: Não saia do portal do Lexmark Cloud Services ou aguarde o tempo limite. Você pode não conseguir fazer login para corrigir quaisquer problemas que descobrir durante o teste.

Acessar o Lexmark Cloud Services

Teste as configurações de federação fazendo com que qualquer usuário faça login usando um dos seguintes métodos:

Login em um navegador diferente na mesma estação de trabalho.
Login em uma janela de navegador privada ou anônima na mesma estação de trabalho.
Solicitar que outro usuário faça login em sua estação de trabalho.

Acesse o Lexmark Cloud Services usando o URL correto fornecido pelo seu representante da Lexmark.
No provedor de identidade, digite seu nome de usuário e senha.
Nota: O nome de usuário deve ser seu endereço de e-mail completo. Para obter mais informações, consulte Como acessar o painel do Lexmark Cloud Services.