ADFS 和 PKCE 的單一登入

Active Directory Federation Services (AD FS) 是一個軟體元件,用來為使用者提供單一登入 (SSO) 授權服務。此功能可讓使用者只要透過其中一個應用程式進行鑑別即可存取多個應用程式。

例如,已登入 Lexmark Management Console-LDD 管控平台的使用者也可以存取 Lexmark Print Management Console。

Proof Key for Code Exchange (PKCE) 是一種在要求授權碼的應用程式中實作的輕量機制。LPM 和 LDD 支持其作為 Authorization 2.0 授權碼授權的簡單擴充。整合第三方開放原始碼應用程式 Keycloak 的 PKCE,可讓使用者只要鑑別一次即可存取多個應用程式,無需重新輸入認證。

請注意:

配置 AD FS 伺服器

若為 LMC,在建立主從式應用程式時,請選取存取 Web 應用程式的網頁瀏覽器作為應用程式類型。

請務必新增下列項目:

若為 LPM,在建立主從式應用程式時,請選取原生應用程式存取 Web API 的原生應用程式作為應用程式類型。

請務必新增下列項目:

更新 Apache 配置

  1. 開啟 Windows 檔案總管。

  2. 瀏覽至 <LDD-install-path>/Apache2/conf

  3. 編輯 httpd-lpm-csp.conf

  4. 從 Location /printrelease/ 區塊,在結束雙引號之前添加下列項目(取代 <adfs-server-address> 的值):

    frame-ancestors 'self' https://<adfs-server-address>/;

  5. 在檔案結尾新增下列項目(取代 <adfs-server-address> 的值):

    <Location ~ "^/lmc/(.*)">

    Header set Content-Security-Policy "frame-ancestors 'self' https://<adfs-server-address>/;"

    </Location>

  6. 儲存該檔案。

  7. 重新啟動 Apache2.4 服務。

配置 AD FS 登入

  1. 在 Print Management Console 的右上角,按一下 設定圖示

  2. 按一下登入

  3. 從「類型」功能表中,選取 AD FS SSO

  4. 在「登入群組」文字欄位中,輸入具有 Print Management Console 管理員存取權或專用權之 Active Directory 或 LDAP 群組的名稱。

    請注意: 若登入的使用者是「登入群組」的成員之一,則使用者必須具有管理員存取權。否則,使用者會被重新導向至使用者入口網站。

  5. 按一下儲存變更

    6. 請注意: 若啟用 AD FS SSO 登入類型,使用者會在登出後重新導向至 AD FS 登出畫面。若要重新登入,使用者必須前往 Print Management Console URL。
配置 Print Management Console 設定

  1. 按一下 Print Management Console 右上角的 設定圖示

  2. 配置 AD FS 和 LDAP 伺服器設定:

    若為 AD FS 設定:

    1. 鍵入 AD FS 伺服器的位址。

    2. 匯入 LPM 的 SSL 憑證以與 AD FS 伺服器通訊。

    3. 鍵入用戶端 ID。

    4. 鍵人用戶端密碼。

      請注意: 這是必填欄位。

    5. 鍵入用戶端範圍。

      請注意: 預設值是 openid。

    6. 按一下儲存變更

    若為 LDAP 設定:

    1. 按一下新增

      請注意: 如果不存在 AD FS 指向的 Active Directory 的現有 LDAP 項目,則請配置伺服器詳細資料。

    2. 配置伺服器詳細資料。

      請注意: 在 LDAP 設定中,新增 AD FS 指向的 Active Directory。

    3. 按一下儲存變更