Регистрация сведений о сервере

 
Чтобы указать в качестве дополнительного устройства аутентификации Active Directory/сервер LDAP/Microsoft Entra ID, необходимо зарегистрировать информацию о сервере, который используется для аутентификации. Проверьте подключение к серверу.
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Settings/Registration]. Экран Remote UI (Удаленный ИП)
3
Нажмите [User Management]  [Authentication Management].
4
Нажмите клавиши [Server Settings]  [Edit...].
5
Укажите сведения о домене и сервере аутентификации.
[Use Active Directory]
Установите этот флажок, если используется служба Active Directory.
[Set Domain List:]
Укажите, выполняется ли получение сведений Active Directory о местоположении для входа автоматически или эти сведения необходимо вводить вручную. Чтобы ввести информацию вручную, установите переключатель [Set Manually] и укажите домен местоположения для входа в поле [Active Directory Management...].
[Use access mode within sites]
Установите этот флажок, если имеется несколько серверов Active Directory и приоритетным необходимо сделать сервер Active Directory, расположенный в том же сайте, что и аппарат. Установите соответствующие переключатели для параметров [Timing of Site Information Retrieval:] и [Site Access Range:].
Даже если установлен параметр [Only site to which device belongs] в [Site Access Range:], аппарат может получать доступ к сайтам за пределами того сайта, к которому он принадлежит, при выполнении доступа к контроллеру домена в процессе запуска. Однако приоритет имеет доступ к контроллерам домена на том же сайте, к которому принадлежит аппарат. Исключением являются случаи, когда не удается получить доступ к контроллерам домена на том же сайте, но можно получить доступ к контроллерам домена за пределами сайта; в таком случае приоритет отдается доступу к контроллерам домена вне сайта.
[Number of Caches for Service Ticket:]
Укажите количество билетов службы, которое аппарат может хранить. Билет службы — это функция Active Directory, которая выступает в качестве записи предыдущего входа в систему, благодаря чему последующие входы пользователя в систему занимают значительно меньше времени.
[Use LDAP server]
Установите этот флажок, если используется сервер LDAP.
[Use Microsoft Entra ID]
Установите этот флажок, если используется Microsoft Entra ID.
[Period Before Timeout]
Укажите ограничение времени для попытки подключения к серверу аутентификации и ограничение времени ожидания ответа. Если включен параметр [Save authentication information for login users] и вы не можете войти в систему в течение указанного здесь времени, выполняется попытка входа в систему с использованием аутентификационных сведений, сохраненных в кэше.
[Default Domain of Login Destination:]
Укажите приоритетный домен для подключения.
Указание домена Active Directory вручную
Регистрация сведений о сервере LDAP
Указание информации о Microsoft Entra ID
6
Введите сведения о пользователе и укажите его полномочия.
[Save authentication information for login users]
Установите этот флажок, чтобы сохранять учетные данные пользователей, которые входят в систему с помощью панели управления. Установите флажок [Save user information when using keyboard authentication], чтобы сохранять информацию о пользователях, которые входят в систему, используя аутентификацию с помощью клавиатуры из кэша. После настройки параметров сохраненные учетные данные можно будет использовать для входа даже в том случае, если аппарату не удается подключиться к серверу. Задайте соответствующее значение в поле [Retention Period:].
[User Attribute to Browse:]
Укажите поле данных (имя атрибута) на указанном сервере, которое используется для определения полномочий пользователей (ролей). Обычно можно использовать предварительно заданное значение memberOf, которое указывает на группу, которой принадлежит пользователь.
[Retrieve role name to apply from [User Attribute to Browse]]
Установите этот флажок для строки символов, зарегистрированной в поле данных на сервере, который указан в поле [User Attribute to Browse:] для имени роли. Прежде чем приступить к настройке, проверьте имена ролей, которые доступны для выбора на аппарате, и зарегистрируйте их на сервере.
[Conditions]
Можно задать условия, определяющие полномочия пользователя. Указанные ниже условия применяются в порядке их перечисления.
[Search Criteria]
Выберите условия поиска для [Character String].
[Character String]
Введите строку символов, которая зарегистрирована для атрибута, указанного в раскрывающемся списке [User Attribute to Browse:]. Чтобы задать полномочия на основе группы, к которой принадлежит пользователь, введите имя такой группы.
[Role]
Выберите полномочия для назначения пользователям, соответствующим условиям.
Настройка параметра [Условия] в случае использования серверов Active Directory
В качестве группы администраторов заранее задается группа «Администраторы периферийных устройств Canon». Назначьте различные полномочия другим группам пользователей, созданным на сервере.
7
Выберите команду [Update].
8
Перезапустите аппарат. Перезапуск аппарата
Параметры DNS
В случае изменения номера порта, используемого для Kerberos на сайте Active Directory, требуется установить следующие параметры.
Информацию для службы Kerberos Active Directory необходимо зарегистрировать как SRV-запись следующим образом:
Служба: «_kerberos»
Протокол: «_udp»
Номер порта: Номер порта, используемый службой Kerberos домена (зоны) Active Directory
Хост, предлагающий эту службу: Имя хоста контроллера домена, который фактически предоставляет службу Kerberos домена (зоны) Active Directory

Регистрация приложения в Microsoft Entra ID

Используйте следующую процедуру для регистрации приложения в Microsoft Entra ID.
Процесс регистрации может меняться при обновлениях службы. Более подробные сведения см. на веб-сайте Microsoft.
1
Войдите в Microsoft Entra ID.
2
В меню навигации нажмите [Microsoft Entra ID].
3
Зарегистрируйте приложение.
1
В меню навигации нажмите [Регистрация приложений] > [Новая регистрация].
2
Введите имя приложения.
Можно ввести любое имя.
Пример ввода:
Canon <printer name> Login
3
Выберите тип учетной записи и нажмите [Зарегистрировать].
Генерируется ИД приложения (клиента).
Запишите сгенерированный ИД.
4
Создайте секрет или зарегистрируйте сертификат.
Создание секрета
1
В меню навигации нажмите [Сертификаты и секреты].
2
Выберите команду [Новый секрет клиента].
3
В диалоговом окне [Добавить секрет клиента] введите описание и дату окончания срока действия и нажмите [Добавить].
Создаются ИД и значение секрета.
Запишите созданное значение секрета. Вам не требуется ИД секрета
*. Значение секрета отображается только один раз. Если не удалось записать значение, создайте новый клиентский секрет.
При регистрации сертификата
Сертификат аппарата следует экспортировать заранее. Сертификат можно экспортировать при настройке информации о Microsoft Entra ID. Указание информации о Microsoft Entra ID
1
В меню навигации нажмите [Сертификаты и секреты].
2
Выберите команду [Отправка сертификата].
3
Выберите файл и нажмите кнопку [Добавить].
После загрузки сертификата запишите значение метки.
5
В меню навигации нажмите [Разрешения API].
6
Выберите команду [Добавить разрешение].
7
В [Запрос разрешений API] выберите [Microsoft Graph].
8
В соответствии с типом разрешений выберите [Делегированные разрешения] и предоставьте разрешения.
Предоставьте следующие разрешения:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
В соответствии с типом разрешений выберите [Разрешения приложения] и предоставьте разрешения.
Предоставьте следующие разрешения:
User.Read.All
User.ReadWrite.All (при регистрации IС-карты в аппарате или ее удалении с аппарата)
Group.Read.All
GroupMember.Read.All
*Используйте разрешения при применении аутентификации с помощью IС-карты или в случае, если не удается войти в аппарат из-за ошибки многофакторной аутентификации. Делать это необязательно (зависит от используемой функции и среды).
10
Нажмите [Предоставить подтверждение согласия администратора] и [Да].
Согласие администратора предоставляется выбранным разрешениям.
AK19-0KS