Общие сведения о настройке AD FS

В этом разделе содержится информация о настройке Microsoft AD FS для создания федерации с Lexmark Print Management. Ознакомьтесь с инструкциями по созданию токена безопасности с обязательными утверждениями для поставщика ресурсов.

В настоящем документе содержится информация о настройке языка разметки декларации безопасности (SAML) версии 2. Если в настоящем документе не рассмотрена какая-либо конкретная конфигурация, обратитесь в подразделение профессиональных услуг Lexmark.

Требования

Прежде чем начать, убедитесь в следующем.

• Действия, описанные в настоящем документе, выполняются на сервере Active Directory в домене.

• Сервер — Microsoft Windows Server 2016 с новейшим пакетом обновления.

• У сервера есть сертификат сервера, и установлена роль AD FS.

  Примечание: Выберите сертификат сервера, а затем укажите учетную запись службы при установке роли AD FS.

Настройка идентификатора федерации

1. На сервере AD FS нажмите Инструменты > Управление AD FS.

2. Нажмите на папку службы, а затем на панели «Действия» нажмите Изменить свойства службы федерации.

   

3. Укажите отображаемое имя службы федерации, а затем задайте для параметра «Имя службы федерации» полное имя домена вашего сервера.

4. В поле «Идентификатор службы федерации» укажите правильный идентификатор. Например, http://ServerFQDN/adfs/services/trust.

   Примечания.

   • Сообщите поставщику ресурсов имя службы федерации. Убедитесь, что сервер AD FS доступен через Интернет.
   • Для получения дополнительной информации об установке прокси-сервера федерации см. документацию Microsoft.
   • Для получения дополнительной информации о настройке роли прокси-сервера федерации см. документацию Microsoft.

Настройка идентификаторов отношений доверия с проверяющей стороной

1. На сервере AD FS нажмите Инструменты > Управление AD FS.

2. Разверните папку Отношения доверия, а затем нажмите на папку Отношения доверия проверяющей стороны.

3. На панели «Действия» нажмите Добавить отношение доверия проверяющей стороны.

4. Нажмите Поддерживающие утверждения > Запустить > Ввод данных о проверяющей стороне вручную > Далее.

5. Укажите отображаемое имя, а затем нажмите Далее.

6. На экране «Настройка сертификата» нажмите Далее.

7. Выберите Включить поддержку протокола SAML 2.0 WebSSO, укажите URL-адрес службы SAML 2.0 проверяющей стороны, а затем нажмите Далее.

   Примечание: Узнайте ИД организации у поставщика ресурсов.

   Ниже приведены примеры URL-адресов службы проверяющей стороны в зависимости от вашего местоположения:

   • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

   • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

8. Укажите идентификатор отношения доверия с проверяющей стороной, а затем нажмите Добавить > Далее.

   
   Примечание: Узнайте идентификатор отношения доверия с проверяющей стороной у поставщика ресурсов.

   Ниже приведены примеры идентификаторов отношений доверия с проверяющей стороной в зависимости от вашего местоположения:

   • https://idp.us.iss.lexmark.com

   • https://idp.eu.iss.lexmark.com

   

9. В окне «Выбрать политику управления доступом» выберите Разрешение для каждого или определенную политику управления доступом для вашей организации, а затем нажмите Далее.

10. Проверьте настройки отношения доверия с проверяющей стороной, а затем нажмите Далее.

11. Снимите флажок Настроить политику выдачи утверждений для этого приложения, а затем нажмите Закрыть.

12. В консоли управления AD FS нажмите на папку Отношения доверия проверяющей стороны, щелкните правой кнопкой мыши по созданному отношению доверия с проверяющей стороной, а затем выберите Свойства.

13. Нажмите на вкладку Дополнительно, а затем выберите SHA-1 в качестве алгоритма безопасного хеширования.

    

14. Нажмите на вкладку Конечные точки, а затем выберите Добавить SAML в качестве алгоритма безопасного хеширования.

    

15. Выберите Завершение сеанса SAML в качестве типа конечной точки, а затем в поле «Доверенный URL-адрес» укажите доверенный URL-адрес для выхода из системы на вашем сервере AD FS. Например, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

16. Нажмите OK > Применить > OK.

Настройка правил утверждений AD FS

1. На сервере AD FS нажмите Инструменты > Управление AD FS.

2. Нажмите на папку Отношения доверия проверяющей стороны, щелкните правой кнопкой мыши по созданному идентификатору отношения доверия с проверяющей стороной, а затем нажмите Изменить политику подачи запросов.

3. На вкладке «Правила преобразования выдачи» нажмите Добавить правило.

4. В меню «Шаблон правила утверждения» выберите Отправка атрибутов LDAP как утверждений, а затем нажмите Далее.

   

5. Укажите имя правила утверждения, а затем в меню «Хранилище атрибутов» выберите Active Directory.

   

6. Задайте следующие сопоставления:

   Атрибут LDAP	Тип исходящего утверждения
   E-Mail-Addresses	E-Mail Address
   User-Principal-Name	UPN
   Given-Name	Given Name
   Surname	Surname
   Department	department
   <Attribute that maps to badge>	badge
   <Attribute that maps to pin>	pin
   <Attribute that maps to cost center>	costCenter

   
   
   Примечание: Замените значение <Атрибут, сопоставляемый с> правильным атрибутом LDAP для вашей организации.

7. Нажмите OK > Готово.

8. На вкладке «Правила преобразования выдачи» нажмите Добавить правило.

9. В меню «Шаблон правила утверждения» выберите Преобразование входящего утверждения, а затем нажмите Далее.

10. Укажите имя правила утверждения, а затем в меню «Тип входящего утверждения» выберите Адрес электронной почты.

11. В меню «Тип исходящего утверждения» выберите ИД имени.

12. В меню «Формат ИД исходящего имени» выберите Электронная почта.

13. Нажмите Готово > OK.

Настройка поставщика ресурсов

1. На веб-портале «Управление учетными записями» нажмите Организация > Провайдер аутентификации > Настроить провайдера аутентификации.

   

2. В разделе «Домены» укажите домен поставщика удостоверений, а затем нажмите Добавить.

   

3. В разделе «Параметры однократной идентификации пользователя» укажите правильные URL-адреса в следующие поля:

   • Целевой URL-адрес SSO

   • URL-адрес выхода SSO

   

   Примечания.

   • Используйте правильное полное имя домена.
   • В зависимости от вашего местоположения ИД объекта должен быть следующим: https://idp.us.iss.lexmark.com или https://idp.eu.iss.lexmark.com.

4. В поле «Сертификат» вставьте ключ сертификата Base-64, скопированный из сертификата для подписи токена поставщика услуг удостоверений.

   
   Примечание: Для получения дополнительной информации см. Получение сертификата для подписи токена.

5. Нажмите Сохранить изменения.

Получение сертификата для подписи токена

1. На сервере AD FS нажмите Инструменты > Управление AD FS.

2. Разверните папку Служба, а затем нажмите на папку Сертификаты.

3. Найдите сертификат для подписи токена.

4. На панели «Действия» нажмите Просмотр сертификата.

5. На вкладке «Состав» нажмите Копировать в файл, а затем следуйте инструкциям мастера.

6. На экране «Формат экспортируемого файла» выберите Файлы X.509 (.CER) в кодировке Base-64.

   

7. Сохраните сертификат.

Настройка ролей пользователей в Active Directory

Прежде чем начать, убедитесь, что для пользователей Active Directory настроена учетная запись электронной почты.

1. На сервере Active Directory запустите панель «Пользователи и компьютеры Active Directory».

2. Найдите свойства учетной записи конкретного пользователя.

3. На вкладке «Общие» укажите адрес электронной почты с правильным доменом компании.

   

4. Нажмите OK.

Убедитесь, что для пользователей также настроены следующие атрибуты LDAP:

• UPN

• Имя

• Фамилия

• Отдел

• Бейдж

• PIN-код

• Центр учета затрат

Получение доступа к Lexmark Cloud Services

1. Для получения доступа к Lexmark Cloud Services используйте правильный URL-адрес, предоставленный представителем Lexmark.

   

2. В диалоговом окне поставщика удостоверений укажите имя пользователя и пароль.

   
   Примечание: В качестве имени пользователя необходимо указать полный адрес электронной почты. Для получения дополнительной информации см. Получение доступа к информационной панели Lexmark Cloud Services.