配置 Azure Active Directory 同盟總覽

本節提供有關聯合 Lexmark 雲端服務與 Microsoft Azure Active Directory 的資訊。如需詳細資訊，請聯絡 Lexmark 專業服務團隊。

必備條件

開始之前，請確定您具有管理員存取權，可存取下列入口網站：

• Microsoft Azure Active Directory

• Lexmark 雲端服務

瞭解同盟

同盟是在客戶的身分提供者 (IdP) 和外部服務（例如 Lexmark 雲端服務）之間建立信任關係的處理程序。以下是 IdP 的範例：

• Microsoft Azure Active Directory

• Google Identity

• 任何符合 SAML 2.0 的身分管理系統

建立信任關係後，使用者可以使用相同的使用者名和密碼存取 Lexmark 雲端服務，存取其他內部網站和服務。客戶的 IdP 管理認證管理的所有方面，例如密碼驗證、複雜性要求、到期和多因子鑑別的潛在用途。IdP 還支援單一登入 (SSO)，這減少了使用者在服務之間切換時需要進行鑑別的次數。

使用者體驗

使用 IdP 的客戶環境

使用者第一次存取 Lexmark 雲端服務時，會出現一個電子郵件位址提示，然後將使用者重新導向至 IdP。

如果使用者已經登入到 IdP 並且它支援 SSO，則使用者不需要輸入密碼。防止多因子鑑別挑戰。此處理程序為一般使用者建立快速登入體驗。

沒有 IdP 的客戶環境

如果使用者尚未登入 IdP，則會出現使用者名稱和密碼提示。遇到多因子鑑別挑戰。登入後，使用者被重新導向至 Lexmark 雲端服務。

聯合登入的工作流程

1. Lexmark 雲端服務要求使用者的電子郵件位址。此資訊讓 Lexmark 雲端服務確定使用者在 Lexmark 雲端服務中的組織。

   請注意： 組織的聯合設定包括客戶身分提供者的 URL。

2. Lexmark 雲端服務將使用者重新導向至 IdP。Lexmark 雲端服務傳遞一個實體 ID欄位。

3. IdP 使用實體 ID 來確定哪些設定適用於此登入嘗試。根據設定，IdP 對使用者名稱和密碼進行鑑別，並可能執行多因子鑑別。如果 IdP 支援 SSO，並且使用者已經登入到 IdP，則使用者會自動登入。

4. IdP 將使用者重新導向至 Lexmark 雲端服務並傳遞下列預定義的宣告：

   • 使用者名稱

   • 電子郵件位址

   • 組織

   • 選擇性資訊，例如使用者的部門和成本中心

   IdP 使用私有憑證簽署這些聲明。

5. Lexmark 雲端服務已預先配置了公有憑證，並使用它來驗證此資訊是否來自預期的來源。此處理程序讓 Lexmark 雲端服務信任 IdP 傳遞的資訊並完成登入程序。

配置 Azure Active Directory

下面的圖片在實務中可能會有所不同。

1. 從 Azure 入口網站，導覽至 Azure Active Directory。

   

2. 按一下企業應用程式 > 新應用程式。

   
   

3. 按一下建立您自己的應用程式 > 整合您在圖庫中找不到的任何其他應用程式（非圖庫）。

   

4. 輸入應用程式名稱。

5. 從企業應用程式總覽區段，按一下設定單一登入，然後選取 SAML。

   
   

6. 從基本 SAML 配置區段，配置下列設定：

   
   請注意： 從服務提供者取得設定。

   • 識別碼（實體 ID）

     請注意： 預設 Lexmark 雲端服務實體 ID 為 https://idp.iss.lexmark.com。確定 Azure 中的實體 ID 與 Lexmark 雲端服務入口網站中的實體 ID 相符。

   • 回覆 URL（判斷提示取用者服務 URL）

     根據您所在的位置，以下是完整回覆 URL 的範例：

     • https://idp.us.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     • https://idp.eu.iss.lexmark.com/users/auth/saml/callback?organization_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX

     請注意： 要確定 organization_id 參數的值，請登入到 Lexmark 雲端服務入口網站，然後按一下帳戶管理。organization_id 出現在此 URL 中。
     

7. 從使用者屬性與宣告區段，按一下編輯。

   

8. 按一下新增宣告，然後輸入每個宣告的名稱和來源。

   

   必要宣告

   屬性	來源	名稱空間
   firstname	user.givenname	讓此欄位留白。
   lastname	user.surname	讓此欄位留白。
   email	user.mail	讓此欄位留白。

   
   

   選用性宣告

   屬性	來源	名稱空間
   識別證	組織的來源屬性	讓此欄位留白。
   個人識別碼	組織的來源屬性	讓此欄位留白。
   costCenter	組織的來源屬性	讓此欄位留白。
   部門	user.department	讓此欄位留白。

   
   

9. 從 SAML 簽署憑證區段，執行以下各項：

   • 下載 Base64 憑證。

   • 複製登入和登出 URL。

   

10. 根據您的 Azure 配置，將使用者指派給建立的企業應用程式。

    

11. 儲存設定。

配置 Lexmark 雲端服務

1. 從帳戶管理 Web 入口網站按一下組織 > 鑑別提供者 > 配置鑑別提供者。

   

2. 從網域區段，輸入身分識別提供者的網域，然後按一下新增。

   

3. 從單一登入設定區段，在下列欄位輸入正確的資訊：

   • 服務提供者實體 ID

     請注意： 預設 Lexmark 雲端服務實體 ID 為 https://idp.iss.lexmark.com。確定 Azure 中的實體 ID 與 Lexmark 雲端服務入口網站中的實體 ID 相符。

   • SSO 目標 URL—您建立的 Azure 企業應用程式的登入 URL。

   • SSO 登出 URL—此 URL 決定使用者從 Lexmark 雲端服務入口網站登出時的行為。

     • 如果您希望使用者完全登出您的 Azure 租戶，請鍵入您建立的 Azure 企業應用程式的登出 URL。

     • 如果您希望使用者僅登出 Lexmark 雲端服務，請鍵入另一個 URL。URL 可以指向您維護的頁面（「您已成功登出」），或者您可以使用適合您組織的 Lexmark 雲端服務登入頁面。根據您所在的位置，URL 可以是 https://idp.us.iss.lexmark.com or https://idp.eu.iss.lexmark.com。

4. 在憑證欄位中，複製及貼上從身分識別提供者的記號簽署憑證取得的 Base-64 憑證金鑰。

   

   如果您有一個包含 URL 和憑證資料的 metadata.xml 檔，請手動新增頁首和頁尾。

   -----BEGIN CERTIFICATE---- MIIC8DCCAdigAwIBAgIQdzA… -----END CERTIFICATE-----

5. 按一下配置鑑別提供者。

   請注意： 不要跳出 Lexmark 雲端服務入口網站或容許讓它逾時。您可能無法登入以更正您在測試時發現的任何問題。

存取 Lexmark 雲端服務

透過讓任何使用者利用下列其中一種方法登入來測試聯合設定：

• 從相同工作站上的不同瀏覽器登入。

• 從相同工作站上的私密或無痕模式瀏覽器視窗登入。

• 讓另一個使用者從他們的工作站登入。

1. 請使用您的 Lexmark 業務代表所提供的正確 URL 來存取 Lexmark 雲端服務。

   

2. 從身分識別提供者，輸入您的使用者名稱和密碼。

   
   請注意： 使用者名稱必須是您的完整電子郵件位址。如需詳細資訊，請參閱 存取「Lexmark 雲端服務」儀表板。