Méthodes d'authentification unique pour ADFS et PKCE
Active Directory Federation Services (AD FS) est un composant logiciel qui fournit des services d'autorisation d'authentification unique (SSO) aux utilisateurs. Cette fonction permet aux utilisateurs d'accéder à plusieurs applications sur le serveur en s'identifiant seulement sur l'une des applications.
Par exemple, un utilisateur connecté sur Lexmark Management Console (LMC) peut également accéder à Lexmark Print Management Console.
Proof Key for Code Exchange (PKCE) est un mécanisme léger intégré à l'application qui demande un code d'autorisation. LPM et LDD le prennent en charge comme une simple extension du code d'autorisation Authorization 2.0. Avec l'intégration de l'application tierce à code source ouvert Keycloak, PKCE permet aux utilisateurs de s'identifier une seule fois et d'accéder à plusieurs applications sans devoir saisir à nouveau leurs identifiants.
Remarques :
- Les serveurs ADFS 2019 et 2022 sont pris en charge par les applications LPM et LDD.
- Si la connexion SSO AD FS est activée, les utilisateurs sont redirigés vers l'écran de déconnexion AD FS après la déconnexion. Pour se connecter à nouveau, les utilisateurs doivent suivre l'URL Print Management Console.
Configuration du serveur AD FS
Pour LMC, lors de la création d'une application client-serveur, sélectionnez Navigateur Web accédant à une application Web comme type d'application.
Assurez-vous d'ajouter les éléments suivants :
Pour LPM, lors de la création d'une application client-serveur, sélectionnez Application native ou Application native accédant à une API Web comme type d'application.
Assurez-vous d'ajouter les éléments suivants :
Mise à jour de la configuration Apache
Ouvrez l'Explorateur Windows.
Accédez à <LDD-install-path>/Apache2/conf.
Modifiez httpd-lpm-csp.conf.
Dans le bloc Emplacement /printrelease/, ajoutez les éléments suivants avant les guillemets doubles de fermeture (remplacez la valeur de <adfs-server-address>) :
frame-ancestors 'self' https://<adfs-server-address>/;
Ajoutez les éléments suivants à la fin du fichier (remplacez la valeur de <adfs-server-address>) :
<Location ~ "^/lmc/(.*)">
Header set Content-Security-Policy "frame-ancestors 'self' https://<adfs-server-address>/;"
</Location>
Enregistrez le fichier.
Redémarrez le service Apache2.4.
Configuration de la connexion AD FS
Cliquez sur 
dans le coin supérieur droit de la Console de gestion de l'impression.
Cliquez sur Connexion.
Dans le menu Type, sélectionnez SSO AD FS.
Dans le champ de texte Groupe de connexion, saisissez le nom du groupe Active Directory ou LDAP qui dispose d'un accès ou d'un privilège administrateur pour la Console de gestion de l'impression.
Remarque : Si l'utilisateur connecté fait partie du Login Group, il doit disposer d'un accès administrateur. Sinon, il sera redirigé vers le portail utilisateur.
Cliquez sur Enregistrer les modifications.
Remarque : Si la connexion SSO AD FS est activée, les utilisateurs sont redirigés vers l'écran de déconnexion AD FS après la déconnexion. Pour se connecter à nouveau, les utilisateurs doivent suivre l'URL Print Management Console.
Configuration des paramètres de Print Management Console
Cliquez sur dans le coin supérieur droit de Print Management Console.
Configurez les paramètres du serveur AD FS et LDAP :
Pour les paramètres AD FS :
Saisissez l'adresse du serveur AD FS.
Importez le certificat SSL pour que LPM puisse communiquer avec le serveur AD FS.
Saisissez l'ID du client.
Saisissez le secret du client.
Remarque : Ce champ n'est pas requis.
Saisissez le type de client.
Remarque : La valeur par défaut est openid.
Cliquez sur Enregistrer les modifications.
Pour les paramètres LDAP :
Cliquez sur Ajouter.
Remarque : S'il n'existe aucune entrée LDAP, à savoir Active Directory, pointée par le système de fichiers AD FS, configurez les détails du serveur.
Configurez les détails du serveur.
Remarque : Dans les paramètres LDAP, ajoutez l'instance Active Directory pointée par FS.
Cliquez sur Enregistrer les modifications.