Регистрация сведений о сервере

Чтобы указать в качестве дополнительного устройства аутентификации Active Directory/сервер LDAP/Microsoft Entra ID, необходимо зарегистрировать информацию о сервере, который используется для аутентификации. Проверьте подключение к серверу.
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Settings/Registration]. Экран Remote UI (Удаленный ИП)
3
Нажмите [User Management]  [Authentication Management].
4
Нажмите кнопку [Server Settings]  [Edit...].
5
Укажите сведения о домене и сервере аутентификации.
[Use Active Directory]
Установите этот флажок, если используется служба Active Directory.
[Set Domain List:]
Укажите, выполняется ли получение сведений Active Directory о местоположении для входа автоматически или эти сведения необходимо вводить вручную. Чтобы ввести информацию вручную, установите переключатель [Set Manually] и укажите домен местоположения для входа в поле [Active Directory Management...].
[Use access mode within sites]
Установите этот флажок, если имеется несколько серверов Active Directory и приоритетным необходимо сделать сервер Active Directory, расположенный в том же сайте, что и аппарат. Установите соответствующие переключатели для параметров [Timing of Site Information Retrieval:] и [Site Access Range:].
Даже если установлен параметр [Only site to which device belongs] в [Site Access Range:], аппарат может получать доступ к сайтам за пределами того сайта, к которому он принадлежит, при выполнении доступа к контроллеру домена в процессе запуска. Однако приоритет имеет доступ к контроллерам домена на том же сайте, к которому принадлежит аппарат. Исключением являются случаи, когда не удается получить доступ к контроллерам домена на том же сайте, но можно получить доступ к контроллерам домена за пределами сайта; в таком случае приоритет отдается доступу к контроллерам домена вне сайта.
[Number of Caches for Service Ticket:]
Укажите количество билетов службы, которое аппарат может хранить. Билет службы — это функция Active Directory, которая выступает в качестве записи предыдущего входа в систему, благодаря чему последующие входы пользователя в систему занимают значительно меньше времени.
[Use LDAP server]
Установите этот флажок, если используется сервер LDAP.
[Period Before Timeout]
Укажите ограничение времени для попытки подключения к серверу аутентификации и ограничение времени ожидания ответа. Если включен параметр [Save authentication information for login users] и вы не можете войти в систему в течение указанного здесь времени, выполняется попытка входа в систему с использованием аутентификационных сведений, сохраненных в кэше.
[Default Domain of Login Destination:]
Укажите приоритетный домен для подключения.
Указание домена Active Directory вручную
Регистрация сведений о сервере LDAP
Указание информации Microsoft Entra ID
6
Введите сведения о пользователе и укажите его полномочия.
[Save authentication information for login users]
Установите этот флажок, чтобы сохранять учетные данные пользователей, которые входят в систему с помощью панели управления. Установите флажок [Save user information when using keyboard authentication], чтобы сохранять информацию о пользователях, которые входят в систему, используя аутентификацию с помощью клавиатуры из кэша. После настройки параметров сохраненные учетные данные можно будет использовать для входа даже в том случае, если аппарату не удается подключиться к серверу. Задайте соответствующее значение в поле [Retention Period:].
[User Attribute to Browse:]
Укажите поле данных (имя атрибута) на указанном сервере, которое используется для определения полномочий пользователей (ролей). Обычно можно использовать предварительно заданное значение memberOf, которое указывает на группу, которой принадлежит пользователь.
[Retrieve role name to apply from [User Attribute to Browse]]
Установите этот флажок для строки символов, зарегистрированной в поле данных на сервере, который указан в поле [User Attribute to Browse:] для имени роли. Прежде чем приступить к настройке, проверьте имена ролей, которые доступны для выбора на аппарате, и зарегистрируйте их на сервере.
[Conditions]
Можно задать условия, определяющие полномочия пользователя. Указанные ниже условия применяются в порядке их перечисления.
[Search Criteria]
Выберите условия поиска для [Character String].
[Character String]
Введите строку символов, которая зарегистрирована для атрибута, указанного в раскрывающемся списке [User Attribute to Browse:]. Чтобы задать полномочия на основе группы, к которой принадлежит пользователь, введите имя такой группы.
[Role]
Выберите полномочия для назначения пользователям, соответствующим условиям.
Настройка параметра [Условия] в случае использования серверов Active Directory
В качестве группы администраторов заранее задается группа «Администраторы периферийных устройств Canon». Назначьте различные полномочия другим группам пользователей, созданным на сервере.
7
Выберите команду [Update].
8
Перезапустите аппарат. Перезапуск аппарата
Параметры DNS
В случае изменения номера порта, используемого для Kerberos на сайте Active Directory, требуется установить следующие параметры.
Информацию для службы Kerberos Active Directory необходимо зарегистрировать как SRV-запись следующим образом:
Служба: «_kerberos»
Протокол: «_udp»
Номер порта: Номер порта, используемый службой Kerberos домена (зоны) Active Directory
Хост, предлагающий эту службу: Имя хоста контроллера домена, который фактически предоставляет службу Kerberos домена (зоны) Active Directory

Регистрация приложения в Microsoft Entra ID

Выполните следующую процедуру для регистрации приложения в Microsoft Entra ID.
Процесс регистрации может измениться с появлением обновлений службы. Более подробные сведения см. на веб-сайте Microsoft.
1
Войдите в Microsoft Entra ID.
2
В меню навигации нажмите [Microsoft Entra ID].
3
Зарегистрируйте приложение.
1
В меню навигации нажмите [App registrations]  [Зарег.нов. процесс].
2
Введите имя приложения.
Можно ввести любое имя.
Пример.
Вход <printer name> Canon
3
Выберите тип учетной записи и нажмите [Register].
ИД приложения (клиента) генерируется.
Запишите сгенерированный ИД.
4
Создайте секретный ключ или зарегистрируйте сертификат.
При создании секретного ключа
1
В меню навигации нажмите [Certificates & secrets].
2
Выберите команду [New client secret].
3
В диалоговом окне [Add a client secret] введите описание и дату истечения срока действия и нажмите [Добавить].
Создается секретный ИД и значение.
Запишите созданное секретное значение. Вам не нужен секретный ИД.
* Секретное значение отображается только один раз. Если вы не можете записать значение, создайте новый секретный ключ клиента.
При регистрации сертификата
Сертификат аппарата необходимо экспортировать заранее. Можно экспортировать сертификат при настройке информации Microsoft Entra ID. Указание информации Microsoft Entra ID
1
В меню навигации нажмите [Certificates & secrets].
2
Выберите команду [Upload certificate].
3
Выберите файл и нажмите кнопку [Добавить].
После загрузки сертификата запишите значение [Thumbprint].
5
В меню навигации нажмите [API permissions].
6
Выберите команду [Add a permissions].
7
В разделе [Request API permissions] выберите [Microsoft Graph].
8
В разделе типа разрешений выберите [Delegated permissions] и предоставьте разрешения.
Предоставьте следующие разрешения:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
В разделе типа разрешений выберите [Application permissions] и предоставьте разрешения.
Предоставьте следующие разрешения:
User.Read.All
User.ReadWrite.All (при регистрации или удалении IC-карты на аппарате или с него)
Group.Read.All
GroupMember.Read.All
* Используйте разрешения при использовании аутентификации с использованием IC-карты или в случае, когда невозможно войти в аппарат из-за ошибки многофакторной аутентификации. Это не требуется в зависимости от используемой функции и среды.
10
Нажмите [Grant admin consent confirmation], затем нажмите [Да].
Согласие администратора предоставляется выбранным разрешениям.
AKA2-0F8