Registrar información del servidor
 | Para especificar un servidor Active Directory/LDAP/Microsoft Entra ID como dispositivo de autenticación adicional, debe registrar la información del servidor empleada para autenticación. Si es preciso, lleve a cabo una prueba de conexión. |
1
Inicie la IU remota.Inicio de la IU remota
2
Haga clic en [Configuración] en la página del portal. Pantalla de la IU remota
3
Haga clic en [Gestión de usuarios] 
[Gestión de autenticación].
[Gestión de autenticación].4
Haga clic en [Opciones de servidor] [Editar...].
[Editar...].5
Establezca el servidor de autenticación y la información de dominio.
[Usar Active Directory]Seleccione la casilla de verificación al utilizar Active Directory.
[Establecer lista de dominios:]Seleccione si la información de Active Directory del destino de inicio de sesión se recupera automáticamente o se introduce manualmente. Para introducirla manualmente, seleccione [Establecer manualmente] y añada el dominio del destino de inicio de sesión en [Gestión de Active Directory...].
[Usar modo de acceso a los sitios]Seleccione la casilla de verificación si hay múltiples servidores Active Directory y desea asignar prioridad de acceso al Active Directory situado en el mismo sitio que el equipo. Cambie las opciones de [Intervalo de recuperación de información de sitios:] y [Alcance de acceso a los sitios:] según sea necesario.
Incluso cuando [Solo al sitio al que pertenece el dispositivo] en [Alcance de acceso a los sitios:] está configurado, es posible que el equipo acceda a sitios fuera del sitio al que pertenece al llevar a cabo el acceso del controlador del dominio durante el proceso de inicio. Sin embargo, tiene prioridad el acceso a los controladores de dominio en el mismo sitio que el equipo. Con carácter excepcional, si no puede accederse a los controladores del dominio del mismo sitio, pero sí a los controladores del dominio fuera del sitio, se concede prioridad al acceso a los controladores del dominio fuera del sitio.
[Número de cachés para el tique de servicio:]Especifique el número de tiques de servicio que puede contener el equipo. Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
[Uso de servidor LDAP]Seleccione la casilla de verificación al utilizar un servidor LDAP.
[Tiempo de espera]Especifique el límite de tiempo para intentar conectarse al servidor de autenticación y el tiempo límite de espera para obtener respuesta. Si está habilitado [Guardar información de autenticación para usuarios de inicio de sesión] y no puede iniciar sesión en el límite de tiempo aquí especificado, se intentará iniciar sesión utilizando la información de autenticación guardada en la caché.
[Dominio prefijado para destino de inicio de sesión:]Especifique el dominio que tiene prioridad de conexión.
Especificar manualmente el dominio de Active Directory
1 | Seleccione la casilla de verificación de [Usar Active Directory] y seleccione [Establecer manualmente] para [Establecer lista de dominios:]. |
2 | Haga clic en [Gestión de Active Directory...] [Bien]. |
3 | Haga clic en [Agregar dominio...]. |
4 | Introduzca la información necesaria.  [Nombre de dominio:]Introduzca el nombre de dominio del Active Directory que es el destino de inicio de sesión (Ejemplo: empresa.dominio.com). [Nombre de NetBIOS]Introduzca el nombre de dominio de NetBIOS (Ejemplo: empresa). [Nombre de host primario o dirección IP:] / [Nombre de host secundario o dirección IP:]Introduzca el nombre de host del servidor Active Directory o la dirección IPv4. Si utiliza un servidor secundario, especifique el nombre en [Nombre de host secundario o dirección IP:]. Ejemplo: Uso de un nombre de host: ad-server1 Uso de una dirección IPv4: 192.168.18.138 [Nombre de usuario:] / [Contraseña:]Introduzca el nombre de usuario y la contraseña para acceder al servidor Active Directory y buscar. [Punto de inicio de la búsqueda:]Especifique la ubicación (nivel) para acceder y buscar información de usuario durante la autenticación en el servidor Active Directory. [Nombre de inicio sesión:] / [Aparece como] / [Dirección de e-mail]Especifique los campos de datos (nombres de atributo) del nombre de inicio de sesión, el nombre visualizado y la dirección de correo electrónico de cada cuenta de usuario en el servidor Active Directory (Ejemplo: sAMNombreCuenta, cn, mail). |
5 | Haga clic en [Prueba de conexión] para confirmar que la conexión es posible, y luego haga clic en [Agregar].  Para editar la información del servidor Haga clic en [Editar] para la información de servidor que desee editar, introduzca los cambios necesarios y haga clic en [Actlzr.]. |
Registrar la información del servidor LDAP
1 | Seleccione la casilla de verificación de [Uso de servidor LDAP] y haga clic en [Gestión de servidores LDAP...] [Bien]. |
2 | Haga clic en [Agregar servidor...]. |
3 | Introduzca la información del servidor LDAP.  [Nombre de servidor]Introduzca el nombre del servidor LDAP. El nombre "localhost" no se puede utilizar. El nombre del servidor no puede incluir espacios. [Dirección primaria]Introduzca la dirección IP o el nombre de host del servidor LDAP (Ejemplo: ldap.ejemplo.com). No se puede utilizar la dirección de bucle (127.0.0.1). [Puerto:]Introduzca el número de puerto empleado para comunicar con el servidor LDAP. Utilice la misma opción que está configurada en el servidor. Si no introduce ningún número, se configura automáticamente como "636" si está seleccionada la casilla de verificación de [Usar TLS] o como "389" si no se marca la casilla de verificación. [Dirección secundaria:] / [Puerto:]Si utiliza un servidor secundario en su entorno, introduzca una dirección IP y el número de puerto. [Comentarios]Introduzca una descripción o una nota según sea necesario. [Usar TLS]Marque la casilla de verificación al utilizar cifrado TLS para las comunicaciones con el servidor LDAP. [Usar información de autenticación]Quite la marca de la casilla de verificación para permitir el acceso anónimo al servidor LDAP, solo si el servidor LDAP está configurado para permitir el acceso anónimo. Si utiliza el nombre de usuario y la contraseña para autenticación, seleccione la casilla de verificación e introduzca valores de [Nombre de usuario:] y [Contraseña:].  [Punto de inicio de la búsqueda:]Especifique la ubicación (nivel) para buscar información de usuario al realizar la autenticación del servidor LDAP. |
4 | Especifique cómo configurar los nombres de atributos y el nombre de dominio.  [Nombre de usuario (Autenticación mediante teclado):]Especifique el campo de datos LDAP (nombre de atributo) del nombre de usuario en el servidor LDAP (Ejemplo: uid). [Nombre de inicio sesión:] / [Mostrar nombre] / [Dirección de e-mail]Especifique los campos de datos (nombres de atributo) del nombre de inicio de sesión, el nombre visualizado y la dirección de correo electrónico de cada cuenta de usuario en el servidor LDAP (Ejemplo: uid, cn, mail). [Especifique el nombre de dominio] / [Especifique el nombre de atributo para la adquisición del nombre de dominio]Seleccione cómo configurar el nombre de dominio del destino de inicio de sesión. Para especificar el nombre de dominio directamente, seleccione [Especifique el nombre de dominio] e introduzca el nombre de dominio. Para especificar un campo de datos LDAP (nombre de atributos) desde el que adquirir el nombre de dominio en el servidor LDAP, seleccione [Especifique el nombre de atributo para la adquisición del nombre de dominio] e introduzca el nombre de atributo (Ejemplo: dc). |
5 | Haga clic en [Prueba de conexión] para confirmar que la conexión es posible, y luego haga clic en [Agregar]. |
Para editar la información del servidor
Haga clic en [Editar] para la información de servidor que desee editar, introduzca los cambios necesarios y haga clic en [Actlzr.].
Especificación de la información de Microsoft Entra ID
Si utiliza Microsoft Entra ID como servidor de autenticación, registre la aplicación con Microsoft Entra ID.
1 | Marque la casilla [Usar Microsoft Entra ID]. |
2 | Haga clic en [Configuración del dominio]. Aparece la pantalla [Configuración del dominio de Microsoft Entra ID]. |
3 | Especifique la información de Microsoft Entra ID.  [Nombre de destinación de inicio de sesión]Introduzca el nombre que se mostrará en el destino de inicio de sesión. * No se pueden utilizar caracteres de control ni espacios. [Nombre de dominio]Introduzca el nombre de dominio de Microsoft Entra ID que es el destino del inicio de sesión. [ID de aplicación]Introduzca el ID de la aplicación (cliente). [Secreto] Introduzca el secreto generado por Microsoft Entra ID. No es necesario introducirlo cuando se utiliza [Clave y certificado]. [Clave y certificado]Pulse [Clave y certificado] cuando utilice una clave y un certificado. Puede pulsar [Exportar certificado] para exportar el certificado que se va a registrar en Microsoft Entra ID. [URL de autenticación de Microsoft Entra ID] y [URL API de Microsoft Entra ID]Introduzca las URL. Dependiendo de su entorno de nube, puede que tenga que cambiar las opciones. |
4 | Especifique los atributos.  [Atributo para establecer para la cuenta de inicio de sesión] Introduzca los atributos para el nombre de inicio de sesión, el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor. [Nombre de inicio sesión] En el menú desplegable, seleccione el atributo para el nombre de inicio de sesión de cada cuenta de usuario del servidor. * Para especificar un atributo que no aparezca en el menú desplegable, puede introducirlo directamente. [WindowsLogonName]: displayName se obtiene de Microsoft Entra ID. displayName se modifica de la siguiente manera para crear el nombre de inicio de sesión: Los espacios y los siguientes caracteres se eliminan de displayName: * + , . / : ; < > = ? \ [ ] |. "@" y los caracteres subsiguientes se eliminan. Las cadenas de caracteres que superen los 20 caracteres se acortan a 20 caracteres o menos. Ejemplo: Cuando displayName es "user.001@example.com", el nombre de inicio de sesión se convierte en "user001". [displayName]: displayName obtenido de Microsoft Entra ID se convierte en el nombre de inicio de sesión. [userPrincipalName]: userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio de sesión. [userPrincipalName-Prefix]: La parte que precede a "@" en userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio de sesión. Ejemplo: Cuando userPrincipalName es "user.002@mail.test", el nombre de inicio de sesión se convierte en "user.002" [Mostrar nombre] y [Dirección de e-mail] Introduzca los atributos para el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor. |
5 | Especifique el nombre de dominio del destino de inicio de sesión en [Nombre de dominio] en [Nombre de dominio a establecer para la cuenta de inicio de sesión]. |
6 | Especifique las opciones en [Autocompletar para introducir el nombre de usuario cuando se utiliza la autenticación por teclado] en [Nombre de dominio a autocompletar]. Introduzca el nombre del dominio para el que desea realizar autocompletar. Lo normal es establecer el mismo nombre que se introdujo en [Nombre de dominio]. |
7 | Haga clic en [Prueba de conexión] para probar la conexión. |
8 | Haga clic en [Actualizar]. La pantalla vuelve a la pantalla [Editar opciones de servidor]. |
6
Introduzca la información de usuario y configure los privilegios.
[Guardar información de autenticación para usuarios de inicio de sesión]Seleccione la casilla de verificación para guardar la información de autenticación de los usuarios que inician una sesión a través del panel de control. Seleccione la casilla de verificación [Guardar información de usuario al usar la autenticación mediante teclado] para guardar la información de los usuarios que inician una sesión utilizando la autenticación mediante teclado en la caché. Una vez se hayan configurado las opciones, se puede utilizar la información de autenticación guardada para iniciar sesión, incluso si el equipo no puede conectarse al servidor. Cambie la configuración de [Período de retención:] según sea necesario.
[Atributo de usuario a examinar:]Introduzca el campo de datos (nombre de atributo) en el servidor referenciado que se utiliza para determinar los privilegios de usuario (roles). Normalmente, puede utilizar el valor predeterminado de "memberOf", que indica el grupo al que pertenece el usuario.
[Recuperar el nombre de rol a aplicar de [Atributo de usuario a examinar]]Marque la casilla de verificación para utilizar la cadena de caracteres registrada en el campo de datos en el servidor especificado en [Atributo de usuario a examinar:]. Antes de configurar, compruebe los nombres de rol que se pueden seleccionar en el equipo, y regístrelos en el servidor.
[Condiciones]Puede configurar las condiciones que determinan los privilegios de usuario. Las condiciones siguientes se aplican en el orden en que aparecen en la lista.
[Criterio de búsqueda] | Seleccione los criterios de búsqueda para [Cadena de caracteres]. |
[Cadena de caracteres] | Introduzca la cadena de caracteres registrada en el atributo especificado en [Atributo de usuario a examinar:]. Para configurar los privilegios sobre la base del grupo al que pertenece el usuario, introduzca el nombre del grupo. |
[Rol] | Seleccione los privilegios aplicables a los usuarios que cumplan los criterios. |
Configuración de [Condiciones] cuando se usan servidores Active Directory
"Canon Peripheral Admins" está configurado de antemano como el grupo de usuarios del Administrador. Asigne distintos privilegios a los demás grupos creados en el servidor.
7
Haga clic en [Actlzr.].
8
Reinicie el equipo. Reiniciar el equipo
 |
Configuración DNSLa siguiente configuración es necesaria si se cambia el número de puerto utilizado para Kerberos en la parte de Active Directory. Debe registrarse la información del servicio Kerberos de Active Directory como un registro SRV de la siguiente manera: Servicio: "_kerberos" Protocolo: "_udp" Número de puerto: el número de puerto utilizado por el servicio Kerberos del dominio (zona) de Active Directory Host que ofrece este servicio: nombre del host del controlador del dominio que realmente proporciona el servicio Kerberos del dominio (zona) de Active Directory |
Registro de una aplicación en Microsoft Entra ID
Utilice el siguiente procedimiento para registrar una aplicación en Microsoft Entra ID.
El proceso de registro puede cambiar con las actualizaciones del servicio. Para obtener más información, consulte el sitio web de Microsoft.
El proceso de registro puede cambiar con las actualizaciones del servicio. Para obtener más información, consulte el sitio web de Microsoft.
1
Inicie sesión en Microsoft Entra ID.
2
En el menú de navegación, haga clic en [Microsoft Entra ID].
3
Registre la aplicación.
1 | En el menú de navegación, haga clic en [Registros de aplicaciones] [Guardar nuevo flujo]. |
2 | Introduzca el nombre de la aplicación. Puede introducir cualquier nombre. Ejemplo de entrada: Inicio de sesión de <printer name> de Canon |
3 | Seleccione el tipo de cuenta y haga clic en [Guardar]. Se genera el ID de la aplicación (cliente). Anote el ID generado. |
4
Cree un secreto o registre un certificado.
Cuando se crea un secreto
1 | En el menú de navegación, haga clic en [Certificados y secretos]. |
2 | Haga clic en [Nuevo secreto de cliente]. |
3 | En el cuadro de diálogo [Agregar un secreto de cliente], introduzca la descripción y la fecha de caducidad, y haga clic en [Agregar]. Se crean un ID y un valor secretos. Anote el valor secreto creado. No necesita el ID secreto. * El valor secreto solo se muestra una vez. Si no puede tomar nota del valor, cree un nuevo secreto de cliente. |
Cuando se registre un certificado
Es necesario exportar previamente el certificado del equipo. Puede exportar el certificado al configurar la información de Microsoft Entra ID. Especificación de la información de Microsoft Entra ID
1 | En el menú de navegación, haga clic en [Certificados y secretos]. |
2 | Haga clic en [Cargar certificado]. |
3 | Seleccione el archivo y haga clic en [Agregar]. Una vez cargado el certificado, anote el valor de la [Huella digital]. |
5
En el menú de navegación, haga clic en [Permisos de API].
6
Haga clic en [Agregar un permiso].
7
En [Solicitud de permisos de API], seleccione [Microsoft Graph].
8
En el tipo de permisos, seleccione [Permisos delegados] y conceda los permisos.
Conceda los siguientes permisos:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
En el tipo de permisos, seleccione [Permisos de la aplicación] y conceda los permisos.
Conceda los siguientes permisos:
User.Read.All
User.ReadWrite.All (al registrar o eliminar una tarjeta IC en el equipo o desde él)
Group.Read.All
GroupMember.Read.All
* Utilice los permisos cuando use la autenticación de tarjeta IC o cuando no pueda acceder al equipo debido a un error de autenticación multifactor. Esto no es necesario dependiendo de la función y el entorno utilizados.
10
Haga clic en [Conceder confirmación de consentimiento del administrador.] y haga clic en [Sí].
Se concede el consentimiento de administrador a los permisos seleccionados.