Inicio de sesión único para AD FS y PKCE

Active Directory Federation Services (AD FS) es un componente de software que proporciona servicios de autorización de inicio de sesión único (SSO) a los usuarios. Esta función permite a los usuarios acceder a varias aplicaciones del servidor autenticándose solo en una de ellas.

Por ejemplo, un usuario que haya iniciado sesión en Lexmark Management Console (LMC) ya puede acceder a Lexmark Print Management Console.

Proof Key for Code Exchange (PKCE) es un mecanismo ligero implementado en la aplicación que solicita un código de autorización. LPM y LDD son compatibles como una simple extensión de la concesión de código de autorización Authorization 2.0. Con la integración de la aplicación de código abierto de Keycloak, PKCE permite a los usuarios autenticarse una vez y acceder a múltiples aplicaciones sin tener que volver a introducir sus credenciales.

Notas:

Configuración del servidor de AD FS

Para LMC, al crear una aplicación cliente-servidor, seleccione Acceso mediante navegador web a una aplicación web como el tipo de aplicación.

Asegúrese de agregar los siguientes elementos:

Para LPM, al crear una aplicación cliente-servidor, seleccione Aplicación nativa o Aplicación nativa que accede a una API web como el tipo de aplicación.

Asegúrese de agregar los siguientes elementos:

Actualización de la configuración de Apache

  1. Abra el Explorador de Windows.

  2. Vaya a <LDD-install-path>/Apache2/conf .

  3. Edite httpd-lpm-csp.conf .

  4. En el bloque Ubicación/printrelease, anexe lo siguiente antes de las comillas dobles de cierre (sustituya el valor de <adfs-server-address> ):

    frame-ancestors 'self' https://<adfs-server-address>/;

  5. Agregue lo siguiente al final del archivo (reemplace el valor de <adfs-server-address> ):

    <Location ~ "^/lmc/(.*)">

    Conjunto de encabezado Content-Security-Policy "frame-ancestors 'self' https://<adfs-server-address>/;"

    </Location>

  6. Guarde el archivo.

  7. Reinicie el servicio Apache2.4.

Configuración del inicio de sesión de AD FS

  1. En la esquina superior derecha de Print Management Console, haga clic en el icono de configuración .

  2. Haga clic en Iniciar sesión .

  3. En el menú Tipo, seleccione SSO de AD FS .

  4. En el campo de texto Grupo de inicio de sesión, escriba el nombre del grupo de Active Directory o LDAP que se proporciona con acceso de administrador o con privilegios a Print Management Console.

    Nota:  Si el usuario que inicia la sesión es miembro del grupo de inicio de sesión, debe tener acceso de administrador. En caso contrario, se redirige al usuario al portal de usuarios.

  5. Haga clic en Guardar cambios .

    6. Nota:  Si el tipo de inicio de sesión SSO de AD FS está activado, se redirige a los usuarios a la pantalla de cierre de sesión de AD FS después de cerrar la sesión. Para volver a iniciar sesión, los usuarios deben ir a la URL de Print Management Console.
Configuración de valores de Print Management Console

  1. Haga clic en el icono de configuración en la esquina superior derecha de Print Management Console.

  2. Configure los valores de los servidores AD FS y LDAP:

    Para la configuración de AD FS:

    1. Escriba la dirección del servidor AD FS.

    2. Importe el certificado SSL para LPM para comunicarse con el servidor AD FS.

    3. Escriba el ID de cliente.

    4. Escriba el secreto de cliente.

      Nota:  Este campo no es obligatorio.

    5. Escriba el alcance del cliente.

      Nota:  El valor predeterminado es openid.

    6. Haga clic en Guardar cambios .

    Para los valores de LDAP:

    1. Haga clic en Añadir .

      Nota:  Si no existe ninguna entrada de LDAP que sea el Active Directory al que hace referencia AD FS, configure los detalles del servidor.

    2. Configure los detalles del servidor.

      Nota:  En los valores de LDAP, agregue el Active Directory indicado por AD FS.

    3. Haga clic en Guardar cambios .