Настройка федерации Azure AD

Общие сведения о настройке федерации Azure Active Directory

В этом разделе приведена информация о создании федерации Lexmark Cloud Services с Microsoft Azure Active Directory. Для получения дополнительной информации обратитесь в подразделение профессиональных услуг Lexmark.

Требования

Прежде чем начать, убедитесь, что у вас есть права администратора для доступа к следующим порталам:

Основные сведения о федерации

Федерация — это процесс создания отношений доверия между поставщиком удостоверений клиента (IdP) и внешним сервисом, например Lexmark Cloud Services. Ниже приведены примеры IdP:

После установления отношений доверия пользователи смогут получать доступ к Lexmark Cloud Services, используя те же имя пользователя и пароль для других внутренних сайтов и сервисов. IdP клиента отвечает за все аспекты управления учетными данными, например проверку пароля, требования к его сложности, истечение его срока действия и потенциальное использование многофакторной проверки подлинности. Также IdP поддерживает функцию единого входа (SSO), которая позволяет сократить количество процедур проверки подлинности при переключении между сервисами.

Взаимодействие с пользователем

Среда клиента с IdP

При первом входе пользователя в Lexmark Cloud Services отображается запрос на ввод адреса электронной почты, после чего выполняется перенаправление пользователя в IdP.

Если пользователь уже выполнил вход в IdP, который поддерживает функцию единого входа, ввод пароля не требуется. Проходить многофакторную проверку подлинности не требуется. Этот процесс позволяет конечному пользователю быстро войти в систему.

Среда клиента без IdP

Если пользователь не выполнил вход в IdP, появляется запрос на ввод имени пользователя и пароля. Может потребоваться пройти многофакторную проверку подлинности. После входа в систему выполняется перенаправление пользователя в Lexmark Cloud Services.

Рабочий процесс для федеративного входа

  1. Lexmark Cloud Services запрашивает адрес электронной почты пользователя. Эта информация позволяет Lexmark Cloud Services определить организацию пользователя в Lexmark Cloud Services.

    Примечание: Настройки федерации для организации включают в себя URL-адрес поставщика удостоверений клиента.

  2. Lexmark Cloud Services перенаправляет пользователя в IdP. Lexmark Cloud Services передает данные поля ИД объекта.

  3. IdP использует ИД объекта, чтобы определить, какие настройки применяются к этой попытке входа в систему. В зависимости от настроек IdP проверяет подлинность пользователя и пароля и может выполнить многофакторную аутентификацию. Если IdP поддерживает функцию единого входа и пользователь уже выполнил вход в IdP, вход пользователя в систему выполняется автоматически.

  4. IdP перенаправляет пользователя в Lexmark Cloud Services и передает следующие предварительно заданные утверждения:

    • Имя пользователя

    • Адрес электронной почты

    • Организация

    • Дополнительная информация, например отдел пользователя и центр учета затрат

    IdP подписывает эти утверждения с помощью личного сертификата.

  5. В Lexmark Cloud Services предварительно настроен общий сертификат, который используется для проверки того, что данная информация поступила из ожидаемого источника. Благодаря этому процессу Lexmark Cloud Services может доверять информации, которую передает IdP, и завершить процесс входа в систему.

Настройка Azure Active Directory

Фактический интерфейс может отличаться от приведенных ниже изображений.

  1. На портале Azure перейдите к Azure Active Directory.

    Снимок экрана с иллюстрацией перехода к Azure Active Directory.

  2. Нажмите Корпоративные приложения > Новое приложение.

    Снимок экрана с иллюстрацией перехода к настройке корпоративных приложений.
    Снимок экрана с кнопкой «Новое приложение».

  3. Нажмите Создайте собственное приложение > Интеграция любого другого приложения, которое отсутствует в коллекции (не из коллекции).

    Снимок экрана с иллюстрацией перехода к приложениям не из коллекции.

  4. Укажите имя приложения.

  5. На экране «Обзор корпоративных приложений» нажмите Настройка единого входа, а затем выберите SAML.

    Снимок экрана с иллюстрацией настройки метода единого входа.
    Снимок экрана с SAML в качестве метода единого входа.

  6. В разделе «Базовая конфигурация SAML» настройте следующие параметры:

    Снимок экрана с конфигурацией атрибутов пользователей.
    Примечание: Узнайте необходимые настройки у поставщика услуг.

    • Идентификатор (ИД объекта)

      Примечание: ИД объекта Lexmark Cloud Services по умолчанию: https://idp.iss.lexmark.com. Убедитесь, что ИД объекта в Azure совпадает с идентификатором объекта на портале Lexmark Cloud Services.

    • URL-адрес ответа (URL-адрес службы обработчика утверждений)

      Ниже приведены примеры полного URL-адреса ответа в зависимости от вашего местоположения:

      • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

      Примечание: Чтобы определить значение для параметра organization_id, выполните вход в систему на портале Lexmark Cloud Services, а затем нажмите Управление учетными записями. Значение параметра organization_id отображается в URL-адресе.
      Снимок экрана с иллюстрацией расположения ИД организации.

  7. В разделе «Атрибуты и утверждения пользователя» нажмите Изменить.

    Снимок экрана с разделом «Атрибуты и утверждения пользователя».

  8. Нажмите Добавить новое утверждение, а затем укажите имя и источник для каждого утверждения.

    Снимок экрана с иллюстрацией создания новых утверждений.
    Обязательные утверждения

    Атрибут

    Источник

    Пространство имен

    firstname

    user.givenname

    Оставьте это поле пустым.

    lastname

    user.surname

    Оставьте это поле пустым.

    email

    user.mail

    Оставьте это поле пустым.


    Необязательные утверждения

    Атрибут

    Источник

    Пространство имен

    badge

    Исходный атрибут для вашей организации

    Оставьте это поле пустым.

    pin

    Исходный атрибут для вашей организации

    Оставьте это поле пустым.

    costCenter

    Исходный атрибут для вашей организации

    Оставьте это поле пустым.

    department

    user.department

    Оставьте это поле пустым.


  9. В разделе «Сертификат подписи SAML» выполните следующие действия:

    • Скачайте сертификат Base64.

    • Скопируйте URL-адреса входа и выхода.

    Снимок экрана с иллюстрацией, где можно скачать сертификат и скопировать URL-адреса входа и выхода.

  10. В зависимости от конфигурации Azure назначьте пользователей для созданного корпоративного приложения.

    Снимок экрана с иллюстрацией, где можно назначить пользователей и группы.

  11. Сохраните параметры.

Настройка Lexmark Cloud Services

  1. На веб-портале «Управление учетными записями» нажмите Организация > Провайдер аутентификации > Настроить провайдера аутентификации.

    Снимок экрана с параметром «Провайдер аутентификации».

  2. В разделе «Домены» укажите домен поставщика удостоверений, а затем нажмите Добавить.

    Снимок экрана с домашней страницей Lexmark Cloud Services.

  3. В разделе «Параметры однократной идентификации пользователя» укажите правильную информацию в следующие поля:

    • Идентификатор объекта поставщика услуг

      Примечание: ИД объекта Lexmark Cloud Services по умолчанию: https://idp.iss.lexmark.com. Убедитесь, что ИД объекта в Azure совпадает с идентификатором объекта на портале Lexmark Cloud Services.

    • Целевой URL-адрес SSO — URL-адрес для входа в систему созданного вами корпоративного приложения Azure.

    • URL-адрес выхода SSO — этот URL-адрес определяет поведение при выходе пользователя из системы портала Lexmark Cloud Services.

      • Если необходимо, чтобы пользователь полностью выходил из системы клиента Azure, укажите URL-адрес выхода из созданного вами корпоративного приложения Azure.

      • Если необходимо, чтобы пользователь выходил только из Lexmark Cloud Services, укажите другой URL-адрес. URL-адрес может перенаправлять на страницу, которую вы обслуживаете («Вы успешно вышли из системы»), или на соответствующую страницу входа в систему Lexmark Cloud Services для вашей организации. В зависимости от вашего местоположения URL-адрес может быть следующим: https://idp.us.iss.lexmark.com или https://idp.eu.iss.lexmark.com.

  4. В поле «Сертификат» вставьте ключ сертификата Base-64, скопированный из сертификата для подписи токена поставщика услуг удостоверений.

    Снимок экрана с информацией о сертификате.

    Если вместо этого у вас есть файл metadata.xml, в котором содержатся URL-адреса и данные сертификата, добавьте верхний и нижний колонтитулы вручную.

    -----BEGIN CERTIFICATE----
MIIC8DCCAdigAwIBAgIQdzA…
-----END CERTIFICATE-----

  5. Нажмите Настроить провайдера аутентификации.

    Примечание: Не закрывайте портал Lexmark Cloud Services и следите за тем, чтобы время ожидания сеанса не истекло. Возможно, вы не сможете войти в систему, чтобы устранить проблемы, обнаруженные во время тестирования.

Получение доступа к Lexmark Cloud Services

Протестируйте настройки федерации, выполнив вход в систему под любым пользователем одним из следующих способов:

  1. Для получения доступа к Lexmark Cloud Services используйте правильный URL-адрес, предоставленный представителем Lexmark.

    Снимок экрана с порталом Lexmark Cloud Services.

  2. В диалоговом окне поставщика удостоверений укажите имя пользователя и пароль.

    Снимок экрана с диалоговым окном поставщика удостоверений.
    Примечание: В качестве имени пользователя необходимо указать полный адрес электронной почты. Для получения дополнительной информации см. Получение доступа к информационной панели Lexmark Cloud Services.