AD FS 单一登录

Active Directory Federation Services (AD FS) 是一个软件组件，用于向用户提供单一登录 (SSO) 授权服务。此特性使用户可以访问服务器上的多个应用程序。如果用户已通过身份验证，则无需多次输入凭证。

例如，已登录“Lexmark LDD 管理控制台”(LMC) 的用户无需提供凭证即可登录“Lexmark 打印管理控制台”，反之亦然。

配置 AD FS 服务器

对于 LMC，在创建客户端/服务器应用程序时，请使用应用程序类型 访问 Web 应用程序的 Web 浏览器。

请务必添加以下内容：

• 重定向 URI-https://<load-balancer-hostname-or-ipaddress>/lmc/login/oauth2/code/adfs

• 注销 URI-https:/</load-balancer-hostname-or-ipaddress>/lmc/lmc-logout.do

对于 LPM，在创建客户端/服务器应用程序时，请使用应用程序类型 本机应用程序 或 访问 Web API 的本机应用程序。

请务必添加以下内容：

• 重定向 URI-https://<load-balancer-hostname-or-ipaddress>/printrelease/callback.html

• 注销 URI-https:/</load-balancer-hostname-or-ipaddress>//printrelease/logout.html

更新 Apache 配置

1. 打开 Windows 资源管理器。

2. 导航到 <LDD-install-path>/Apache2/conf。

3. 编辑 httpd-lpm-csp.conf。

4. 从 Location /printrelease/ 块中，在右双引号之前附加以下内容（替换 <adfs-server-address> 的值）：

   frame-ancestors 'self' https://<adfs-server-address>/;

5. 在文件末尾添加以下内容（替换 <adfs-server-address> 的值）：

   <Location ~ "^/lmc/(.*)">

   Header set Content-Security-Policy "frame-ancestors 'self' https://<adfs-server-address>/;"

   </Location>

6. 保存文件。

7. 重新启动 Apache2.4 服务。

配置 AD FS 登录

1. 在“打印管理控制台”的右上角，单击 。

2. 单击 登录。

3. 从 类型 菜单中，选择 AD FS SSO。

4. 在 登录组 文本字段中，键入具有“打印管理控制台”的管理员访问权限的 Active Directory 或 LDAP 组的名称

   注意： 如果登录的用户是登录组的成员，则用户将拥有管理员访问权限，否则用户将被重定向到用户门户。

5. 单击 保存更改

注意： 启用 AD FS SSO 登录类型后，用户在注销后会被重定向到“AD FS 注销”屏幕。必须导航到“打印管理控制台”URL 才能再次登录。

“打印管理控制台”设置

1. 单击 。

2. 配置 AD FS 和 LDAP 服务器设置：

   对于 AD FS 设置：

   1. 键入 AD FS 服务器的地址。

   2. 导入 SSL 证书以供 LPM 用于与 AD FS 服务器进行通信。

   3. 键入客户端 ID。

   4. 键入客户端密钥。

      注意： 这不是必填字段。

   5. 键入客户端的范围。

      注意： 默认值是 openid。

   6. 单击 保存更改。

   对于 LDAP 设置：

   1. 单击 添加。

      注意： 如果不存在现有 LDAP 条目（即 AD FS 指向的 Active Directory），请配置服务器详细信息。

   2. 配置服务器详细信息。

      注意： 在 LDAP 设置中，添加 AD FS 指向的 Active Directory。

   3. 单击 保存更改。