Настройка служб федерации Active Directory Federation Services (AD FS)

Общие сведения о настройке AD FS

В этом разделе содержится информация о настройке Microsoft AD FS для создания федерации с Lexmark Print Management. Ознакомьтесь с инструкциями по созданию токена безопасности с обязательными утверждениями для поставщика ресурсов.

В настоящем документе содержится информация о настройке языка разметки декларации безопасности (SAML) версии 2. Если в настоящем документе не рассмотрена какая-либо конкретная конфигурация, обратитесь в подразделение профессиональных услуг Lexmark.

Требования

Прежде чем начать, убедитесь в следующем.

Настройка ADFS для языка разметки декларации безопасности (SAML)

Настройка идентификатора федерации

  1. На сервере AD FS нажмите Инструменты > Управление AD FS.

  2. Нажмите на папку службы, а затем на панели «Действия» нажмите Изменить свойства службы федерации.

    Снимок экрана с окном «Свойства службы федерации».
  3. Укажите отображаемое имя службы федерации, а затем задайте для параметра «Имя службы федерации» полное имя домена вашего сервера.

  4. В поле «Идентификатор службы федерации» укажите правильный идентификатор. Например, http://ServerFQDN/adfs/services/trust.

    Примечания.

    • Сообщите поставщику ресурсов имя службы федерации. Убедитесь, что сервер AD FS доступен через Интернет.
    • Для получения дополнительной информации об установке прокси-сервера федерации см. документацию Microsoft.
    • Для получения дополнительной информации о настройке роли прокси-сервера федерации см. документацию Microsoft.

Настройка идентификаторов отношений доверия с проверяющей стороной

  1. На сервере AD FS нажмите Инструменты > Управление AD FS.

  2. Разверните папку Отношения доверия, а затем нажмите на папку Отношения доверия проверяющей стороны.

  3. На панели «Действия» нажмите Добавить отношение доверия проверяющей стороны.

  4. Нажмите Поддерживающие утверждения > Запустить > Ввод данных о проверяющей стороне вручную > Далее.

  5. Укажите отображаемое имя, а затем нажмите Далее.

  6. На экране «Настройка сертификата» нажмите Далее.

  7. Выберите Включить поддержку протокола SAML 2.0 WebSSO, укажите URL-адрес службы SAML 2.0 проверяющей стороны, а затем нажмите Далее.

    Примечание: Узнайте ИД организации у поставщика ресурсов.

    Ниже приведены примеры URL-адресов службы проверяющей стороны в зависимости от вашего местоположения:

    • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

    • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

  8. Укажите идентификатор отношения доверия с проверяющей стороной, а затем нажмите Добавить > Далее.

    Снимок экрана с URL-адресом службы проверяющей стороны.
    Примечание: Узнайте идентификатор отношения доверия с проверяющей стороной у поставщика ресурсов.

    Ниже приведены примеры идентификаторов отношений доверия с проверяющей стороной в зависимости от вашего местоположения:

    • https://idp.us.iss.lexmark.com

    • https://idp.eu.iss.lexmark.com

    Снимок экрана с идентификатором отношения доверия с проверяющей стороной.
  9. В окне «Выбрать политику управления доступом» выберите Разрешение для каждого или определенную политику управления доступом для вашей организации, а затем нажмите Далее.

  10. Проверьте настройки отношения доверия с проверяющей стороной, а затем нажмите Далее.

  11. Снимите флажок Настроить политику выдачи утверждений для этого приложения, а затем нажмите Закрыть.

  12. В консоли управления AD FS нажмите на папку Отношения доверия проверяющей стороны, щелкните правой кнопкой мыши по созданному отношению доверия с проверяющей стороной, а затем выберите Свойства.

  13. Нажмите на вкладку Дополнительно, а затем выберите SHA-1 в качестве алгоритма безопасного хеширования.

    Снимок экрана с алгоритмом безопасного хеширования.
  14. Нажмите на вкладку Конечные точки, а затем выберите Добавить SAML в качестве алгоритма безопасного хеширования.

    Снимок экрана с конечной точкой.
  15. Выберите Завершение сеанса SAML в качестве типа конечной точки, а затем в поле «Доверенный URL-адрес» укажите доверенный URL-адрес для выхода из системы на вашем сервере AD FS. Например, https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

  16. Нажмите OK > Применить > OK.

Настройка правил утверждений AD FS

  1. На сервере AD FS нажмите Инструменты > Управление AD FS.

  2. Нажмите на папку Отношения доверия проверяющей стороны, щелкните правой кнопкой мыши по созданному идентификатору отношения доверия с проверяющей стороной, а затем нажмите Изменить политику подачи запросов.

  3. На вкладке «Правила преобразования выдачи» нажмите Добавить правило.

  4. В меню «Шаблон правила утверждения» выберите Отправка атрибутов LDAP как утверждений, а затем нажмите Далее.

    Снимок экрана с иллюстрацией выбора шаблона правила утверждения.
  5. Укажите имя правила утверждения, а затем в меню «Хранилище атрибутов» выберите Active Directory.

    Снимок экрана с конфигурацией правил.
  6. Задайте следующие сопоставления:

    Атрибут LDAP

    Тип исходящего утверждения

    E-Mail-Addresses

    E-Mail Address

    User-Principal-Name

    UPN

    Given-Name

    Given Name

    Surname

    Surname

    Department

    department

    <Attribute that maps to badge>

    badge

    <Attribute that maps to pin>

    pin

    <Attribute that maps to cost center>

    costCenter


    Примечание: Замените значение <Атрибут, сопоставляемый с> правильным атрибутом LDAP для вашей организации.
  7. Нажмите OK > Готово.

  8. На вкладке «Правила преобразования выдачи» нажмите Добавить правило.

  9. В меню «Шаблон правила утверждения» выберите Преобразование входящего утверждения, а затем нажмите Далее.

  10. Укажите имя правила утверждения, а затем в меню «Тип входящего утверждения» выберите Адрес электронной почты.

  11. В меню «Тип исходящего утверждения» выберите ИД имени.

  12. В меню «Формат ИД исходящего имени» выберите Электронная почта.

  13. Нажмите Готово > OK.

Снимок экрана с конфигурацией правил утверждений.

Предоставление метаданных поставщикам ресурсов

Настройка поставщика ресурсов

  1. На веб-портале «Управление учетными записями» нажмите Организация > Провайдер аутентификации > Настроить провайдера аутентификации.

    Снимок экрана с параметром «Провайдер аутентификации».
  2. В разделе «Домены» укажите домен поставщика удостоверений, а затем нажмите Добавить.

    Снимок экрана с иллюстрацией процесса создания доменов.
  3. В разделе «Параметры однократной идентификации пользователя» укажите правильные URL-адреса в следующие поля:

    • Целевой URL-адрес SSO

    • URL-адрес выхода SSO

    Снимок экрана с параметрами единого входа.

    Примечания.

    • Используйте правильное полное имя домена.
    • В зависимости от вашего местоположения ИД объекта должен быть следующим: https://idp.us.iss.lexmark.com или https://idp.eu.iss.lexmark.com.
  4. В поле «Сертификат» вставьте ключ сертификата Base-64, скопированный из сертификата для подписи токена поставщика услуг удостоверений.

    Снимок экрана с информацией о сертификате.
    Примечание: Для получения дополнительной информации см. Получение сертификата для подписи токена.
  5. Нажмите Сохранить изменения.

Получение сертификата для подписи токена

  1. На сервере AD FS нажмите Инструменты > Управление AD FS.

  2. Разверните папку Служба, а затем нажмите на папку Сертификаты.

  3. Найдите сертификат для подписи токена.

  4. На панели «Действия» нажмите Просмотр сертификата.

  5. На вкладке «Состав» нажмите Копировать в файл, а затем следуйте инструкциям мастера.

  6. На экране «Формат экспортируемого файла» выберите Файлы X.509 (.CER) в кодировке Base-64.

    Снимок экрана с окном «Мастер экспорта сертификатов».
  7. Сохраните сертификат.

Проверка конфигурации

Настройка ролей пользователей в Active Directory

Прежде чем начать, убедитесь, что для пользователей Active Directory настроена учетная запись электронной почты.

  1. На сервере Active Directory запустите панель «Пользователи и компьютеры Active Directory».

  2. Найдите свойства учетной записи конкретного пользователя.

  3. На вкладке «Общие» укажите адрес электронной почты с правильным доменом компании.

    Снимок экрана с окном «Свойства user_account».
  4. Нажмите OK.

Убедитесь, что для пользователей также настроены следующие атрибуты LDAP:

Получение доступа к Lexmark Cloud Services

  1. Для получения доступа к Lexmark Cloud Services используйте правильный URL-адрес, предоставленный представителем Lexmark.

    Снимок экрана с порталом Lexmark Cloud Services.
  2. В диалоговом окне поставщика удостоверений укажите имя пользователя и пароль.

    Снимок экрана с диалоговым окном поставщика удостоверений.
    Примечание: В качестве имени пользователя необходимо указать полный адрес электронной почты. Для получения дополнительной информации см. Получение доступа к информационной панели Lexmark Cloud Services.