AD FS 및 PKCE를 위한 통합 인증(SSO)

AD FS(Active Directory Federation Services)는 사용자에게 통합 인증(SSO) 서비스를 제공하는 소프트웨어 구성 요소입니다. 사용자는 이 기능을 통해 응용 프로그램 중 한 군데에서만 인증해도 서버상의 여러 응용 프로그램에 액세스할 수 있습니다.

예를 들어 LMC(Lexmark Management Console)에 로그인한 사용자는 Lexmark 인쇄 관리 Console에도 액세스할 수 있습니다.

PKCE(Proof Key for Code Exchange)는 인증 코드를 요청하는 응용 프로그램에 구현된 경량 메커니즘입니다. LPM 및 LDD는 OAuth 2.0 인증 코드 부여를 위한 간단한 확장 형태로 PKCE를 지원합니다. 타사 오픈 소스 응용 프로그램인 Keycloak와 통합된 PKCE를 통해 사용자는 자격 증명을 다시 입력할 필요 없이 한 번의 인증만으로 여러 응용 프로그램에 액세스할 수 있습니다.

참고:

• ADFS 서버 2019 및 2022는 LPM 또는 LDD 응용 프로그램에서 지원됩니다.
• AD FS SSO 로그인 유형이 활성화되면 사용자는 로그아웃한 후 AD FS 로그아웃 화면으로 리디렉션됩니다. 다시 로그인하려면 사용자는 Print Management Console URL로 이동해야 합니다.

AD FS 서버 구성

LMC의 경우 클라이언트-서버 응용 프로그램을 만들 때 응용 프로그램 유형으로 웹 응용 프로그램에 액세스하는 웹 브라우저를 선택합니다.

다음 사항을 추가하십시오.

• 리디렉션 URI - https://<load-balancer-hostname-or-ipaddress>/lmc/login/oauth2/code/adfs

• 로그아웃 URI - https:/</load-balancer-hostname-or-ipaddress>/lmc/lmc-logout.do

LPM의 경우 클라이언트 서버 응용 프로그램을 만들 때 Native 응용 프로그램 또는 웹 API에 액세스하는 Native 응용 프로그램을 선택합니다.

다음 사항을 추가하십시오.

• 리디렉션 URI - https://<load-balancer-hostname-or-ipaddress>/printrelease/callback.html

• 로그아웃 URI - https:/</load-balancer-hostname-or-ipaddress>//printrelease/logout.html

Apache 구성 업데이트

1. Windows Explorer를 엽니다.

2. <LDD-install-path>/Apache2/conf로 이동합니다.

3. Httpd-lpm-csp.conf를 편집합니다.

4. Location /printrelease/ 블록에서 큰따옴표를 닫기 전에 다음을 추가합니다(<adfs-server-address> 값 대체):

   frame-ancestors 'self' https://<adfs-server-address>/;

5. 파일의 끝에 다음을 추가합니다(<adfs-server-address> 값 대체):

   <Location ~ "^/lmc/(.*)">

   Header set Content-Security-Policy "frame-ancestors 'self' https://<adfs-server-address>/;"

   </Location>

6. 파일을 저장합니다.

7. Apache2.4 서비스를 다시 시작합니다.

AD FS 로그인 구성

1. Print Management Console의 오른쪽 상단에서 아이콘을 클릭합니다.

2. 로그인을 클릭합니다.

3. 유형 메뉴에서 AD FS SSO를 선택합니다.

4. 로그인 그룹 텍스트 필드에 Print Management Console에 대한 관리자 액세스 또는 권한이 제공된 Active Directory 또는 LDAP 그룹의 이름을 입력합니다.

   참고: 로그인하는 사용자가 로그인 그룹의 구성원인 경우 해당 사용자에게 관리자 액세스 권한이 있어야 합니다. 액세스 권한이 없는 사용자는 사용자 포털로 리디렉션됩니다.

5. 변경 사항 저장을 클릭합니다.

참고: AD FS SSO 로그인 유형이 활성화되면 사용자는 로그아웃한 후 AD FS 로그아웃 화면으로 리디렉션됩니다. 다시 로그인하려면 사용자는 Print Management Console URL로 이동해야 합니다.

Print Management Console 설정 구성

1. Print Management Console의 오른쪽 상단에서 아이콘을 클릭합니다.

2. AD FS 및 LDAP 서버 설정을 다음과 같이 구성합니다.

   AD FS 설정의 경우:

   1. AD FS 서버의 주소를 입력합니다.

   2. AD FS 서버와 통신하기 위해 LPM용 SSL 인증서를 가져옵니다.

   3. 클라이언트 ID를 입력합니다.

   4. 클라이언트 암호를 입력합니다.

      참고: 이 필드는 필수 항목이 아닙니다.

   5. 클라이언트의 범위를 입력합니다.

      참고: 기본값은 openid입니다.

   6. 변경 사항 저장을 클릭합니다.

   LDAP 설정의 경우:

   1. 추가를 클릭합니다.

      참고: AD FS에 의해 지정된 Active Directory인 기존 LDAP 항목이 없는 경우 서버 세부 정보를 구성합니다.

   2. 서버 세부 정보를 구성합니다.

      참고: LDAP 설정에서 AD FS에 의해 지정된 Active Directory를 추가합니다.

   3. 변경 사항 저장을 클릭합니다.