配置 AD FS 總覽

本節提供有關配置 Microsoft AD FS 以與 Lexmark 列印管理聯合的資訊。瞭解如何使用資源提供者所需的宣告建立安全記號。

本文件提供有關配置安全性聲明標記語言 (SAML) 第 2 版的資訊。如果本文件未涵蓋特定配置，請聯絡 Lexmark 專業服務團隊。

必備條件

開始之前，請確定：

• 本文件中的步驟是在網域中的 Active Directory 伺服器上執行。

• 伺服器是 Microsoft Windows Server 2016（含最新的 service pack）

• 伺服器具有伺服器憑證並安裝了 AD FS 角色。

  請注意： 選取伺服器憑證，然後在安裝 AD FS 角色時指定服務帳戶。

配置同盟識別碼

1. 從 AD FS 伺服器，按一下工具 > AD FS 管理。

2. 按一下服務資料夾，然後從動作 畫面按一下編輯 Federation Service 內容。

   

3. 鍵入同盟服務顯示幕名稱，然後將 Federation Service 名稱設為您的伺服器的完整網域名稱。

4. 在 Federation Service 識別碼欄位，輸入正確的識別碼。例如，http://ServerFQDN/adfs/services/trust。

   請注意：

   • 為資源提供者提供 Federation Service 名稱。確保可以從網際網路存取 AD FS 伺服器。
   • 如需安裝 Federation Service Proxy 的詳細資訊，請參閱 Microsoft 文件。
   • 如需配置 Federation Service Proxy 角色的詳細資訊，請參閱 Microsoft 文件。

配置信賴憑證者信任識別碼

1. 從 AD FS 伺服器，按一下工具 > AD FS 管理。

2. 展開信任關係資料夾，然後按一下信賴憑證者信任資料夾。

3. 從動作畫面，按一下新增信賴憑證者信任。

4. 按一下宣告感知 > 啟動 > 手動輸入這個信賴憑證者的相關資料 > 下一步。

5. 輸入顯示幕名稱，然後按下一步。

6. 在配置憑證視窗中，按一下下一步。

7. 選取啟用 SAML 2.0 WebSSO 通訊協定的支援，鍵入信賴憑證者 SAML 2.0 服務 URL，然後按一下下一步。

   請注意： 從資源提供者取得組織 ID。

   根據您所在的位置，以下是信賴憑證者服務 URL 的範例：

   • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

   • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

8. 鍵入信賴憑證者信任識別碼，然後按一下新增 > 下一步。

   
   請注意： 從資源提供者取得信賴憑證者信任識別碼。

   根據您所在的位置，以下是信賴憑證者信任識別碼的範例：

   • https://idp.us.iss.lexmark.com

   • https://idp.eu.iss.lexmark.com

   

9. 從選擇存取控制原則視窗，選取允許所有人或您組織的特定存取控制原則，然後按一下下一步。

10. 審查信賴憑證者信任設定，然後按一下下一步。

11. 清除設定此應用程式的宣告發行原則，然後按一下關閉。

12. 從 AD FS 管理主控台，按一下信賴憑證者信任資料夾，右鍵按一下已建立的信賴憑證者信任，然後按一下內容。

13. 按一下進階標籤，然後選取 SHA-1 作為安全雜湊演算法。

    

14. 按一下端點標籤，然後選取新增 SAML 作為安全雜湊演算法。

    

15. 選取 SAML 登出作為端點類型，然後在信任的 URL 欄位，鍵入您的 AD FS 伺服器的信任的登出 URL 。例如，https://ServerFQDN/adfs/ls/?wa=wsignout1.0。

16. 按一下確定 > 套用 > 確定。

配置 AD FS 宣告規則

1. 從 AD FS 伺服器，按一下工具 > AD FS 管理。

2. 按一下信賴憑證者信任資料夾，右鍵按一下已建立的信賴憑證者信任識別碼，然後按一下編輯宣告發行原則。

3. 從發佈轉換規則標籤，按一下新增規則。

4. 從宣告規則範本功能表，選取以宣告方式傳送 LDAP 屬性，然後按一下下一步。

   

5. 鍵入宣告規則名稱，然後從屬性存放區功能表，選取Active Directory。

   

6. 定義下列對映：

   LDAP 屬性	傳出宣告類型
   E-Mail-Addresses	電子郵件位址
   User-Principal-Name	UPN
   Given-Name	給定名稱
   Surname	Surname
   Department	部門
   <對映至識別證的屬性>	badge
   <對映至個人識別碼的屬性>	pin
   <對映至成本中心的屬性>	costCenter

   
   
   請注意： 將<對映至的屬性>替換成您組織的正確 LDAP 屬性。

7. 按一下確定 > 完成。

8. 從發佈轉換規則標籤，按一下新增規則。

9. 從宣告規則範本功能表，選取轉換傳入宣告，然後按一下下一步。

10. 鍵入宣告規則名稱，然後從傳入宣告類型功能表，選取電子郵件位址。

11. 從傳出宣告類型功能表，選取名稱 ID。

12. 從傳出名稱 ID 格式功能表，選取電子郵件。

13. 按一下完成 > 確定。

配置資源提供者

1. 從帳戶管理 Web 入口網站按一下組織 > 鑑別提供者 > 配置鑑別提供者。

   

2. 從網域區段，輸入身分識別提供者的網域，然後按一下新增。

   

3. 從單一登入設定區段，在下列欄位輸入正確的 URL：

   • SSO 目標 URL

   • SSO 登出 URL

   

   請注意：

   • 使用正確的完整網域名稱。
   • 根據您所在的位置，實體 ID 必須是 https://idp.us.iss.lexmark.com 或 https://idp.eu.iss.lexmark.com。

4. 在憑證欄位中，複製及貼上從身分識別提供者的記號簽署憑證取得的 Base-64 憑證金鑰。

   
   請注意： 如需詳細資訊，請參閱 取得記號簽署憑證。

5. 按一下儲存變更。

取得記號簽署憑證

1. 從 AD FS 伺服器，按一下工具 > AD FS 管理。

2. 展開服務資料夾，然後按一下憑證資料夾。

3. 尋找記號簽署憑證。

4. 從動作畫面按一下檢視憑證。

5. 從詳細資料標籤，按一下複製到檔案，然後遵循此精靈指示。

6. 從匯出檔案格式區段，選取 Base-64 編碼的 X.509 (.CER)。

   

7. 儲存憑證

配置 Active Directory 中的使用者角色

在您開始之前，請確定 Active Directory 使用者已配置有電子郵件帳戶。

1. 從 Active Directory 伺服器啟動 Active Directory 使用者和電腦畫面。

2. 尋找特定的使用者帳戶內容。

3. 從一般標籤指定具有正確公司網域的電子郵件位址。

   

4. 按一下確定。

確定使用者也配置下列的 LDAP 屬性。

• UPN

• Given-Name

• Surname

• 部門

• 識別證

• 個人識別碼

• 成本中心

存取 Lexmark 雲端服務

1. 請使用您的 Lexmark 業務代表所提供的正確 URL 來存取 Lexmark 雲端服務。

   

2. 從身分識別提供者，輸入您的使用者名稱和密碼。

   
   請注意： 使用者名稱必須是您的完整電子郵件位址。如需詳細資訊，請參閱 存取「Lexmark 雲端服務」儀表板。