Single Sign-On für ADFS und PKCE

Active Directory Federation Services (ADFS) ist eine Softwarekomponente, die Benutzern SSO-Autorisierungsdienste (Single Sign-On) bereitstellt. Mit dieser Funktion können Benutzer auf mehrere Anwendungen auf dem Server zugreifen, indem sie sich nur in einer davon authentifizieren.

Zum Beispiel kann ein Benutzer, der bei der Lexmark Management Console (LMC) angemeldet ist, ohne zusätzliche Anmeldung auf die Lexmark Print Management Console zugreifen.

Bei Proof Key for Code Exchange (PKCE) handelt es sich um einen ressourcenschonenden, in der Anwendung implementierten Mechanismus, der einen Autorisierungscode anfordert. LPM und LDD unterstützen ihn als einfache Erweiterung des Autorisierungscodes von Authorization 2.0. Dank der Integration der Open-Source-Drittanbieteranwendung Keycloak ermöglicht PKCE es den Benutzern, sich einmal zu authentifizieren und auf mehrere Anwendungen zuzugreifen, ohne ihre Anmeldeinformationen erneut eingeben zu müssen.

Hinweise:

Konfigurieren des ADFS-Servers

Verwenden Sie in der LMC beim Erstellen einer Client-Server-Anwendung Webbrowser, der auf eine Webanwendung zugreift als Anwendungstyp.

Fügen Sie unbedingt Folgendes hinzu:

Verwenden Sie in LPM beim Erstellen einer Client-Server-Anwendung Native Anwendung oder Native Anwendung, die auf eine Web-API zugreift als Anwendungstyp.

Fügen Sie unbedingt Folgendes hinzu:

Aktualisieren der Apache-Konfiguration

  1. Öffnen Sie Windows Explorer.

  2. Navigieren Sie zu <LDD-install-path>/Apache2/conf.

  3. Bearbeiten Sie httpd-lpm-csp.conf.

  4. Fügen Sie im Block Standort /Druckfreigabe/ folgende Zeichenfolge vor dem schließenden Anführungszeichen an (ersetzen Sie den Wert <adfs-server-address>):

    frame-ancestors 'self' https://<adfs-server-address>/;

  5. Fügen Sie Folgendes am Ende der Datei hinzu (ersetzen Sie den Wert <adfs-server-address>):

    <Location ~ "^/lmc/(.*)">

    Header set Content-Security-Policy "frame-ancestors 'self' https://<adfs-server-address>/;"

    </Location>

  6. Speichern Sie die Datei.

  7. Starten Sie den Dienst Apache2.4 neu.

Konfigurieren der ADFS-Anmeldung

  1. Klicken Sie in oben rechts in der Print Management Console auf Symbol für Einstellungen.

  2. Klicken Sie auf Anmelden.

  3. Wählen Sie im Menü Typ die Option ADFS SSO aus.

  4. Geben Sie im Textfeld Anmeldegruppe den Namen der Active Directory- oder LDAP-Gruppe ein, die über Administratorzugriff oder -berechtigung für die Print Management Console verfügt.

    Hinweis: Wenn der Benutzer, der sich anmeldet, zur Anmeldegruppe gehört, muss er über Administratorzugriff verfügen. Andernfalls wird der Benutzer zum Benutzerportal umgeleitet.

  5. Klicken Sie auf Änderungen speichern.

    6. Hinweis: Wenn der Anmeldetyp ADFS SSO aktiviert ist, werden Benutzer nach der Abmeldung zum ADFS-Abmeldebildschirm umgeleitet. Um sich erneut anzumelden, müssen Benutzer die URL der Print Management Console aufrufen.
Konfigurieren der Einstellungen für die Print Management Console

  1. Klicken Sie oben rechts in der Print Management Console auf Symbol für Einstellungen.

  2. Konfigurieren der Einstellungen für ADFS- und LDAP-Server:

    Für ADFS-Einstellungen:

    1. Geben Sie die Adresse des ADFS-Servers ein.

    2. Importieren Sie das SSL-Zertifikat für LPM, um mit dem ADFS-Server zu kommunizieren.

    3. Geben Sie die Client-ID ein.

    4. Geben Sie das Client-Secret ein.

      Hinweis: In dieses Feld muss kein Wert eingegeben werden.

    5. Geben Sie den Geltungsbereich des Clients ein.

      Hinweis: Der Standardwert lautet „openid“.

    6. Klicken Sie auf Änderungen speichern.

    Für LDAP-Einstellungen:

    1. Klicken Sie auf Hinzufügen.

      Hinweis: Wenn kein LDAP-Eintrag (das Active Directory, auf das ADFS verweist) vorhanden ist, müssen Sie die Serverdetails konfigurieren.

    2. Konfigurieren Sie die Serverdetails.

      Hinweis: Fügen Sie in den LDAP-Einstellungen das Active Directory hinzu, auf das ADFS verweist.

    3. Klicken Sie auf Änderungen speichern.