В этом разделе содержится информация о настройке Microsoft AD FS для создания федерации с Lexmark Print Management. Ознакомьтесь с инструкциями по созданию токена безопасности с обязательными утверждениями для поставщика ресурсов.
В настоящем документе содержится информация о настройке языка разметки декларации безопасности (SAML) версии 2. Если в настоящем документе не рассмотрена какая-либо конкретная конфигурация, обратитесь в подразделение профессиональных услуг Lexmark.
Прежде чем начать, убедитесь в следующем.
Действия, описанные в настоящем документе, выполняются на сервере Active Directory в домене.
Сервер — Microsoft Windows Server 2016 с новейшим пакетом обновления.
У сервера есть сертификат сервера, и установлена роль AD FS.
На сервере AD FS нажмите Инструменты > Управление AD FS.
Нажмите на папку службы, а затем на панели «Действия» нажмите Изменить свойства службы федерации.
Укажите отображаемое имя службы федерации, а затем задайте для параметра «Имя службы федерации» полное имя домена вашего сервера.
В поле «Идентификатор службы федерации» укажите правильный идентификатор. Например,
.Примечания.
На сервере AD FS нажмите Инструменты > Управление AD FS.
Разверните папку Отношения доверия, а затем нажмите на папку Отношения доверия проверяющей стороны.
На панели «Действия» нажмите Добавить отношение доверия проверяющей стороны.
Нажмите Поддерживающие утверждения > Запустить > Ввод данных о проверяющей стороне вручную > Далее.
Укажите отображаемое имя, а затем нажмите Далее.
На экране «Настройка сертификата» нажмите Далее.
Выберите Включить поддержку протокола SAML 2.0 WebSSO, укажите URL-адрес службы SAML 2.0 проверяющей стороны, а затем нажмите Далее.
Ниже приведены примеры URL-адресов службы проверяющей стороны в зависимости от вашего местоположения:
https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX
Укажите идентификатор отношения доверия с проверяющей стороной, а затем нажмите Добавить > Далее.
Ниже приведены примеры идентификаторов отношений доверия с проверяющей стороной в зависимости от вашего местоположения:
https://idp.us.iss.lexmark.com
https://idp.eu.iss.lexmark.com
В окне «Выбрать политику управления доступом» выберите Разрешение для каждого или определенную политику управления доступом для вашей организации, а затем нажмите Далее.
Проверьте настройки отношения доверия с проверяющей стороной, а затем нажмите Далее.
Снимите флажок Настроить политику выдачи утверждений для этого приложения, а затем нажмите Закрыть.
В консоли управления AD FS нажмите на папку Отношения доверия проверяющей стороны, щелкните правой кнопкой мыши по созданному отношению доверия с проверяющей стороной, а затем выберите Свойства.
Нажмите на вкладку Дополнительно, а затем выберите SHA-1 в качестве алгоритма безопасного хеширования.
Нажмите на вкладку Конечные точки, а затем выберите Добавить SAML в качестве алгоритма безопасного хеширования.
Выберите Завершение сеанса SAML в качестве типа конечной точки, а затем в поле «Доверенный URL-адрес» укажите доверенный URL-адрес для выхода из системы на вашем сервере AD FS. Например,
.Нажмите OK > Применить > OK.
На сервере AD FS нажмите Инструменты > Управление AD FS.
Нажмите на папку Отношения доверия проверяющей стороны, щелкните правой кнопкой мыши по созданному идентификатору отношения доверия с проверяющей стороной, а затем нажмите Изменить политику подачи запросов.
На вкладке «Правила преобразования выдачи» нажмите Добавить правило.
В меню «Шаблон правила утверждения» выберите Отправка атрибутов LDAP как утверждений, а затем нажмите Далее.
Укажите имя правила утверждения, а затем в меню «Хранилище атрибутов» выберите Active Directory.
Задайте следующие сопоставления:
Атрибут LDAP | Тип исходящего утверждения |
---|---|
E-Mail-Addresses | E-Mail Address |
User-Principal-Name | UPN |
Given-Name | Given Name |
Surname | Surname |
Department | department |
<Attribute that maps to badge> | badge |
<Attribute that maps to pin> | pin |
<Attribute that maps to cost center> | costCenter |
Нажмите OK > Готово.
На вкладке «Правила преобразования выдачи» нажмите Добавить правило.
В меню «Шаблон правила утверждения» выберите Преобразование входящего утверждения, а затем нажмите Далее.
Укажите имя правила утверждения, а затем в меню «Тип входящего утверждения» выберите Адрес электронной почты.
В меню «Тип исходящего утверждения» выберите ИД имени.
В меню «Формат ИД исходящего имени» выберите Электронная почта.
Нажмите Готово > OK.
На веб-портале «Управление учетными записями» нажмите Организация > Провайдер аутентификации > Настроить провайдера аутентификации.
В разделе «Домены» укажите домен поставщика удостоверений, а затем нажмите Добавить.
В разделе «Параметры однократной идентификации пользователя» укажите правильные URL-адреса в следующие поля:
Целевой URL-адрес SSO
URL-адрес выхода SSO
Примечания.
В поле «Сертификат» вставьте ключ сертификата Base-64, скопированный из сертификата для подписи токена поставщика услуг удостоверений.
Нажмите Сохранить изменения.
На сервере AD FS нажмите Инструменты > Управление AD FS.
Разверните папку Служба, а затем нажмите на папку Сертификаты.
Найдите сертификат для подписи токена.
На панели «Действия» нажмите Просмотр сертификата.
На вкладке «Состав» нажмите Копировать в файл, а затем следуйте инструкциям мастера.
На экране «Формат экспортируемого файла» выберите Файлы X.509 (.CER) в кодировке Base-64.
Сохраните сертификат.
Прежде чем начать, убедитесь, что для пользователей Active Directory настроена учетная запись электронной почты.
На сервере Active Directory запустите панель «Пользователи и компьютеры Active Directory».
Найдите свойства учетной записи конкретного пользователя.
На вкладке «Общие» укажите адрес электронной почты с правильным доменом компании.
Нажмите OK.
Убедитесь, что для пользователей также настроены следующие атрибуты LDAP:
UPN
Имя
Фамилия
Отдел
Бейдж
PIN-код
Центр учета затрат
Для получения доступа к Lexmark Cloud Services используйте правильный URL-адрес, предоставленный представителем Lexmark.
В диалоговом окне поставщика удостоверений укажите имя пользователя и пароль.