Översikt över konfiguration av AD FS

Det här avsnittet innehåller information om hur du konfigurerar Microsoft AD FS för samordning med Lexmark Print Management. Läs om hur du skapar en säkerhetstoken med de krav som krävs för en resursleverantör.

Det här dokumentet innehåller information om hur du konfigurerar SAML (Security Assertion Markup Language) version 2. Om en viss konfiguration inte omfattas av det här dokumentet kontaktar du Lexmark-teamet för professionella tjänster.

Krav

Innan du börjar ser du till att:

• Stegen i detta dokument utförs på en Active Directory-server i en domän.

• Servern är Microsoft Windows Server 2016 med det senaste servicepaketet.

• Servern har ett servercertifikat och AD FS-rollen är installerad.

  Obs! Välj servercertifikatet och ange sedan ett tjänstekonto när du installerar AD FS-rollen.

Konfigurera samordnings-id

1. Från AD FS-servern klickar du på Verktyg > AD FS-hantering.

2. Klicka på tjänstmappen och sedan på Redigera egenskaper för samordningstjänst på panelen Åtgärder.

   

3. Ange ett visningsnamn för samordningstjänsten och ange sedan Samordningstjänstens namn enligt serverns fullständiga domännamn.

4. I fältet ID för samordningstjänst anger du rätt identifierare. Till exempel http://ServerFQDN/adfs/services/trust.

   Anmärkningar:

   • Ange resursleverantören med samordningstjänstnamnet. Se till att AD FS-servern är tillgänglig via internet.
   • Mer information om hur du installerar en serverproxy för samordning finns i Microsofts dokumentation.
   • Mer information om hur du konfigurerar serverproxyrollen för samordning finns i Microsofts dokumentation.

Konfigurera identifierare från en betrodd part

1. Från AD FS-servern klickar du på Verktyg > AD FS-hantering.

2. Expandera mappen Betrodda relationer och klicka sedan på mappen Betrodda parter.

3. På panelen Åtgärder klickar du på Lägg till betrodd part.

4. Klicka på Kända anspråk > Start > Ange information om den betrodda parten manuellt > Nästa.

5. Ange ett visningsnamn och klicka sedan på Nästa.

6. I fönstret Konfigurera certifikat klickar du på Nästa.

7. Välj Aktivera stöd för SAML 2.0 WebSSO-protokollet, ange URL-adress för SAML 2.0-tjänsten för den betrodda parten och klicka sedan på Nästa.

   Obs! Hämta organisations-ID från resursleverantören.

   Beroende på var du befinner dig är följande exempel på URL-adresser till betrodda parters tjänster:

   • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

   • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

8. Ange ID för den betrodda parten och klicka sedan på Lägg till > Nästa.

   
   Obs! Hämta ID för betrodda parter från resursleverantören.

   Beroende på var du befinner dig är följande exempel på ID för betrodda parter:

   • https://idp.us.iss.lexmark.com

   • https://idp.eu.iss.lexmark.com

   

9. I fönstret Välj policy för åtkomstkontroll väljer du Tillåt alla eller den specifika åtkomstkontrollspolicyn för din organisation och klickar sedan på Nästa.

10. Granska inställningarna för den betrodda parten och klicka sedan på Nästa.

11. Avmarkera Konfigurera policy för utfärdande av anspråk för detta program och klicka sedan på Stäng.

12. Från hanteringskonsolen för AD FS klickar du på mappen Betrodda parter, högerklickar på den skapade betrodda parten och klickar sedan på Egenskaper.

13. Klicka på fliken Avancerat och välj sedan SHA-1 som säker hashalgoritm.

    

14. Klicka på fliken Slutpunkter och välj sedan Lägg till SAML som säker hashalgoritm.

    

15. Välj SAML-utloggning som slutpunktstyp och ange sedan den betrodda URL-adressen för utloggning för AD FS-servern i fältet Betrodd URL-adress. Till exempel https://ServerFQDN/adfs/ls/?wa=wsignout1.0.

16. Klicka på OK > Tillämpa > OK.

Konfigurera AD FS-anspråksregler

1. Från AD FS-servern klickar du på Verktyg > AD FS-hantering.

2. Klicka på mappen Betrodd part, högerklicka på den skapade identifieraren för betrodd part och klicka sedan på Redigera policy för utfärdande av anspråk.

3. På fliken Omvandlingsregler för utfärdande klickar du på Lägg till regel.

4. På menyn Mall för anspråksregler väljer du Skicka LDAP-attribut som anspråk och klickar sedan på Nästa.

   

5. Ange ett namn på anspråksregeln och välj sedan Active Directory på menyn Sparade attribut.

   

6. Definiera följande mappningar:

   LDAP-attribut	Typ av utgående anspråk
   E-Mail-Addresses	E-Mail Address
   User-Principal-Name	UPN
   Given-Name	Given Name
   Surname	Surname
   Department	department
   <Attribute that maps to badge>	badge
   <Attribute that maps to pin>	pin
   <Attribute that maps to cost center>	costCenter

   
   
   Obs! Ersätt <Attribut som mappar till> med rätt LDAP-attribut för din organisation.

7. Klicka på OK > Slutför.

8. På fliken Omvandlingsregler för utfärdande klickar du på Lägg till regel.

9. På menyn Mall för anspråksregler väljer du Omvandla ett inkommande anspråk och klickar sedan på Nästa.

10. Ange ett namn på anspråksregeln och välj sedan E-postadress på menyn Typ av inkommande anspråk.

11. På menyn Typ av utgående anspråk väljer du Namn-ID.

12. På menyn Format för utgående namn-ID väljer du E-post.

13. Klicka på Slutför > OK.

Konfigurera resursleverantör

1. I webbportalen Account Management klickar du på Organisation > Autentiseringsleverantör > Konfigurera en autentiseringsleverantör.

   

2. I avsnittet Domäner anger du domänen för identitetsleverantören och klickar sedan på Lägg till.

   

3. I avsnittet SSO-inställningar (enkel inloggning) anger du rätt URL-adresser i följande fält:

   • Mål-URL för SSO

   • URL-adress för SSO-utloggning

   

   Anmärkningar:

   • Använd det rätta, fullständigt kvalificerade domännamnet.
   • Beroende på var du befinner dig måste enhets-ID vara https://idp.us.iss.lexmark.com eller https://idp.eu.iss.lexmark.com.

4. I fältet Certifikat kopierar och klistrar du in certifikatsnyckeln Bas-64 från identitetsleverantörens tokensigneringscertifikat.

   
   Obs! Mer information finns i Hämta tokensigneringscertifikatet.

5. Klicka på Spara ändringar.

Hämta tokensigneringscertifikatet

1. Från AD FS-servern klickar du på Verktyg > AD FS-hantering.

2. Expandera mappen Tjänst och klicka sedan på mappen Certifikat.

3. Leta upp tokensigneringscertifikatet.

4. På panelen Åtgärder klickar du på Visa certifikat.

5. På fliken Detaljer klickar du på Kopiera till fil och följer sedan guiden.

6. På skärmen Filformat för export väljer du Bas-64-kodad X.509 (.CER).

   

7. Spara certifikatet.

Konfigurera användarroller i Active Directory

Innan du börjar kontrollerar du att Active Directory-användare har konfigurerats med ett e-postkonto.

1. Från Active Directory-servern öppnar du panelen Användare och datorer i Active Directory.

2. Leta reda på den specifika användarens kontoegenskaper.

3. På fliken Allmänt anger du e-postadressen med rätt företagsdomän.

   

4. Klicka på OK.

Se till att användarna även är konfigurerade med följande LDAP-attribut:

• UPN

• Förnamn

• Efternamn

• Avdelning

• Bricka

• PIN-kod

• Kostnadsställe

Få åtkomst till Lexmark Cloud Services

1. Få åtkomst till Lexmark Cloud Services med hjälp av rätt URL-adress som tillhandahålls av din Lexmark-representant.

   

2. Ange ditt användarnamn och lösenord från identitetsleverantören.

   
   Obs! Användarnamnet måste vara din fullständiga e-postadress. Mer information finns i Öppna informationspanelen för Lexmark Cloud Services.