Palvelintietojen tallentaminen
|
Voit määrittää Active Directoryn / LDAP-palvelimen / Microsoft Entra ID -hakemiston lisäautentikointivälineeksi tallentamalla autentikoinnissa käytettävän palvelimen tiedot. Suorita yhteystesti tarvittaessa.
|
1
Käynnistä Remote UI (Etäkäyttöliittymä) -sovellus. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistäminen
2
Valitse portaalisivulla [Settings/Registration]. Remote UI (Etäkäyttöliittymä) -sovelluksen ikkuna
3
Valitse [User Management] 
[Authentication Management].
[Authentication Management].4
Valitse [Server Settings] [Edit...].
[Edit...].5
Aseta autentikointipalvelin ja toimialuetiedot.
[Use Active Directory]
Valitse valintaruutu kun käytetään Active Directorya.
[Set Domain List:]
Valitse haetaanko kirjautumiskohteen Active Directory -tiedot automaattisesti vai syötetäänkö ne manuaalisesti. Voit lisätä sen manuaalisesti valitsemalla [Set Manually] ja lisäämällä kirjautumiskohteen toimialueen kohtaan [Active Directory Management...].
[Use access mode within sites]
Valitse valintaruutu jos Active Directory -palvelimia on useita ja haluat nimetä etusijan Active Directorylle joka sijaitsee samalla sivulla kuin laite. Muuta [Timing of Site Information Retrieval:]- ja [Site Access Range:] -asetukset tarpeen mukaan.
Vaikka [Only site to which device belongs] kohdassa [Site Access Range:] on asetettu, laite saattaa käyttää oman alueensa ulkopuolella olevia alueita, kun toimialueen valvojaa käytetään käynnistysprosessin aikana. Kuitenkin laitteen kanssa samalla alueella olevien toimialueen valvojien käyttö on etusijalla. Poikkeuksena ovat tilanteet, joissa saman alueen toimialueen valvojia ei voi käyttää, mutta alueen ulkopuolisia toimialueen valvojia voi käyttää, jolloin etusijalle asetetaan alueen ulkopuolella olevat toimialueen valvojat.
[Number of Caches for Service Ticket:]
Määritä palvelulipukkeiden määrä jonka laite voi käsitellä. Palvelulipuke on Active Directoryn toiminto joka toimii tallenteena edellisestä kirjautumisesta, mikä lyhentää aikaa kun sama käyttäjä kirjautuu seuraavalla kerralla.
[Use LDAP server]
Valitse valintaruutu kun käytetään LDAP-palvelinta.
[Period Before Timeout]
Määritä aikaraja todennuspalvelimen yhdistämisyrityksille sekä vastauksen odottamiselle. Jos [Save authentication information for login users] on käytössä ja et voi kirjautua tässä määritetyssä ajassa, kirjautumista yritetään välimuistiin tallennetuilla todennustiedoilla.
[Default Domain of Login Destination:]
Määritä toimialue jolla on yhteysetusija.
Active Directory -toimialueen määrittäminen manuaalisesti
|
1
|
Valitse [Use Active Directory] -valintaruutu ja valitse [Set Manually] kohdassa [Set Domain List:].
|
|
2
|
Valitse [Active Directory Management...]
[OK]. |
|
3
|
Valitse [Add Domain...].
|
|
4
|
Syötä tarvittavat tiedot.
[Domain Name:]
Lisää kirjautumiskohteena olevan Active Directoryn toimialueen nimi (esimerkki: company.domain.com).
[NetBIOS Name]
Kirjoita NetBIOS-toimialueen nimi (esimerkki: company).
[Primary Host Name or IP Address:] / [Secondary Host Name or IP Address:]
Kirjoita Active Directory -palvelimen isäntänimi tai IPv4-osoite. Jos käytät toissijaista palvelinta, määritä nimi kohdassa [Secondary Host Name or IP Address:].
Esimerkki:
Isäntänimi: ad-server1 IPv4-osoite: 192.168.18.138 [User Name:] / [Password:]
Syötä käyttäjänimi ja salasana joita käytetään haettaessa Active Directory -palvelinta.
[Starting Point for Search:]
Määritä sijainti (taso), josta käyttäjätietoja voidaan käyttää ja etsiä Active Directory Server -autentikoinnin aikana.
[Login Name:] / [Displayed As] / [E-Mail Address]
Määritä kirjautumisnimen tietokentät (määreiden nimet), näyttönimi ja kunkin Active Directory -palvelimen käyttäjätilin sähköpostiosoite (esimerkki: sAMAccountName, cn, mail).
|
|
5
|
Vahvista, että yhteys on mahdollinen, valitsemalla [Connection Test]. Valitse sitten [Add].
Palvelimen tietojen muokkaaminen
Valitse muokattaville palvelintiedoille [Edit], tee tarvittavat muutokset ja valitse sitten [Update].
|
LDAP-palvelintietojen tallentaminen
|
1
|
Valitse [Use LDAP server] -valintaruutu ja valitse [LDAP Server Management...]
[OK]. |
|
2
|
Valitse [Add Server...].
|
|
3
|
Syötä LDAP-palvelimen tiedot.
[Server Name]
Syötä LDAP-palvelimen nimi. Nimeä "localhost" ei voi käyttää. Palvelimen nimessä ei saa olla välilyöntejä.
[Primary Address]
Lisää LDAP-palvelimen IP-osoite tai isäntänimi (esimerkki: ldap.example.com). Silmukkaosoitetta (127.0.0.1) ei voi käyttää.
[Port:]
Syötä LDAP-palvelimen kanssa liikennöitäessä käytettävän portin numero. Käytä samaa asetusta joka muodostettiin palvelimelle. Jos et lisää numeroa, luvuksi asetetaan automaattisesti 636, kun [Use TLS] -valintaruutu on valittu. Jos valintaruudun valinta poistetaan, luvuksi tulee 389.
[Secondary Address:] / [Port:]
Kun käytössä on toissijainen palvelin ympäristössänne, syötä IP-osoite ja porttinumero.
[Comments]
Syötä tarvittaessa kuvaus tai huomautus.
[Use TLS]
Valitse valintaruutu kun käytetään TLS-salausta liikennöintiin LDAP-palvelimen kanssa.
[Use authentication information]
Tyhjennä valintaruutu salliaksesi anonyymin pääsyn LDAP-palvelimelle vain jos LDAP-palvelin on asetettu sallimaan anonyymi pääsy. Jos käyttäjänimeä ja salasanaa käytetään todentamiseen, valitse valintaruutu ja lisää arvot kohtaan [User Name:] ja [Password:].
 [Starting Point for Search:]
Määritä sijainti (taso) kun haetaan käyttäjätietoja kun suoritetaan LDAP-palvelinautentikointi.
|
|
4
|
Määritä miten asetetaan määreiden nimet ja toimialueen nimi.
[User Name (Keyboard Authentication):]
Määritä LDAP-tietokenttä (määreen nimi) LDAP-palvelimen käyttäjänimelle (esimerkki: uid).
[Login Name:] / [Display Name] / [E-Mail Address]
Määritä kirjautumisnimen LDAP-tietokentät (määreiden nimet), näyttönimi ja kunkin LDAP-palvelimen käyttäjätilin sähköpostiosoite (esimerkki: uid, cn, mail).
[Specify the domain name] / [Specify the attribute name for domain name acquisition]
Valitse miten asetetaan kirjautumiskohteen toimialueen nimi. Määritä toimialueen nimi suoraan valitsemalla [Specify the domain name] ja kirjoita toimialueen nimi. Jos haluat määrittää LDAP-tietokentän (määreen nimen) LDAP-palvelimen toimialueen nimen hakemiseen, valitse [Specify the attribute name for domain name acquisition] ja kirjoita määreen nimi (esimerkki: dc).
|
|
5
|
Vahvista, että yhteys on mahdollinen, valitsemalla [Connection Test]. Valitse sitten [Add].
|
Palvelimen tietojen muokkaaminen
Valitse muokattaville palvelintiedoille [Edit], tee tarvittavat muutokset ja valitse sitten [Update].
Microsoft Entra ID -tietojen määrittäminen
Jos autentikointipalvelimena käytetään Microsoft Entra ID -hakemistoa, rekisteröi sovellus Microsoft Entra ID -hakemistoon.
|
1
|
Valitse [Use Microsoft Entra ID] -valintaruutu.
|
|
2
|
Valitse [Domain Settings].
[Microsoft Entra ID Domain Settings] -näyttö avautuu.
|
|
3
|
Määritä Microsoft Entra ID -tiedot.
[Login Destination Name]
Anna kirjautumiskohteessa näytettävä nimi.
* Tässä ei voi käyttää ohjausmerkkejä eikä välilyöntejä.
[Domain Name]
Anna kirjautumiskohteena olevan Microsoft Entra ID -toimialueen nimi.
[Application ID]
Anna sovellustunnus (asiakassovelluksen).
[Secret]
Anna Microsoft Entra ID -hakemiston tuottama salaisuus. Tätä ei tarvitse antaa, kun käytössä on [Key and Certificate].
[Key and Certificate]
Paina [Key and Certificate], kun käytät avainta ja varmennetta.
Voit viedä Microsoft Entra ID -hakemistoon rekisteröitävän varmenteen painamalla [Export Certificate]. [Microsoft Entra ID Authentication URL] ja [Microsoft Entra ID API URL]
Anna URL-osoitteet. Joissakin pilvipalveluympäristöissä asetusta voi joutua muuttamaan.
|
|
4
|
Määritä määreet.
[Attribute to Set for Login Account]
Määritä kirjautumisnimen määreet, näyttönimi ja kunkin palvelimen käyttäjätilin sähköpostiosoite.
[Kirjautumisnimi]
Valitse avattavasta valikosta kunkin palvelimen käyttäjätilin kirjautumisnimen määrite.
* Kun määritettä ei näy avattavassa valikossa, voit kirjoittaa sen suoraan.
[WindowsLogonName]:
DisplayName-tieto haetaan Microsoft Entra ID -hakemistosta. Kirjautumisnimi luodaan muuttamalla displayName-tietoa seuraavasti:
Välilyönnit ja seuraavat merkit poistetaan displayName-tiedosta: * + , . / : ; < > = ? \ [ ] |.
"@" ja sitä seuraavat merkit poistetaan.
Yli 20 merkin mittaiset merkkijonot lyhennetään enintään 20 merkin mittaisiksi.
Esimerkki:
Kun displayName on "kayttaja.001@esimerkki.fi", kirjautumisnimeksi tulee "kayttaja001". [Näytä nimi]:
Microsoft Entra ID -hakemistosta haetusta displayName-tiedosta tulee kirjautumisnimi.
[userPrincipalName]:
Microsoft Entra ID -hakemistosta haetusta userPrincipalName-tiedosta tulee kirjautumisnimi.
[userPrincipalName-Prefix]:
Microsoft Entra ID -hakemistosta haetun userPrincipalName-tiedon "@"-merkkiä edeltävästä osasta tulee kirjautumisnimi.
Esimerkki:
Kun userPrincipalName on "kayttaja.002@posti.testi", kirjautumisnimeksi tulee "kayttaja002".
[Näytä nimi] ja [E-Mail Address]
Määritä näyttönimen määreet ja kunkin palvelimen käyttäjätilin sähköpostiosoite.
|
|
5
|
Määritä kirjautumiskohteen toimialueen nimi kohtaan [Domain Name] kohdassa [Domain Name to Set for Login Account].
|
|
6
|
Määritä [Autocomplete for Entering User Name When Using Keyboard Authentication] -asetukset kohdassa
[Domain Name to Autocomplete]. Anna toimialueen nimi, jolle automaattinen täydennys tehdään. Normaalisti määritetään sama nimi kuin kohdassa [Domain Name].
|
|
7
|
Testaa yhteyttä valitsemalla [Connection Test].
|
|
8
|
Valitse [Update].
Näyttö palautuu [Edit Server Settings] -näyttöön.
|
6
Syötä käyttäjätiedot ja aseta valtuudet.
[Save authentication information for login users]
Valitse valintaruutu tallentaaksesi käyttöpaneelin kautta kirjautuvien käyttäjien tiedot. Tallenna välimuistiin näppäimistötodennuksella kirjautuvien käyttäjien tiedot valitsemalla [Save user information when using keyboard authentication]. Kun asetukset on muodostettu, tallennettuja autentikointitietoja voi käyttää kirjautumiseen, vaikka laite ei pysty yhdistämään palvelimeen. Muuta [Retention Period:]-asetus tarpeen mukaan.
[User Attribute to Browse:]
Syötä tietokenttä (määreen nimi) viitatulla palvelimella jota käytetään käyttäjien valtuuksien (roolien) määrittämiseen. Normaalisti voit käyttää esiasetettua arvoa "memberOf", joka ilmaisee ryhmän, johon käyttäjä kuuluu.
[Retrieve role name to apply from [User Attribute to Browse]]
Valitse valintaruutu, jota käytetään palvelimen tietokenttään tallennettuun roolinimen merkkijonoon, joka on määritetty kohdassa [User Attribute to Browse:]. Ennen koostamista, tarkista roolinimet jotka voidaan valita laitteessa, ja rekisteröi ne palvelimelle.
[Conditions]
Voit asettaa ehdot jotka päättävät käyttäjän oikeudet. Alla olevia ehtoja sovelletaan siinä järjestyksessä jossa ne on lueteltu.
|
[Search Criteria]
|
Valitse hakuehto kohdassa [Character String].
|
|
[Character String]
|
Kirjoita merkkijono, joka tallennetaan kohdassa [User Attribute to Browse:] määritetylle määreelle. Asettaaksesi oikeudet sen perusteella mihin ryhmään käyttäjä kuuluu, syötä ryhmän nimi.
|
|
[Role]
|
Valitse oikeudet jotka soveltuvat käyttäjiin, jotka täyttävät ehdon.
|
[Conditions]-asetukset Active Directory -palvelimia käytettäessä
"Canon Peripheral Admins" on asetettu edeltäkäsin Pääkäyttäjä-ryhmälle. Nimeä erilaisia oikeuksia muille ryhmille jotka on luotu palvelimella.
7
Valitse [Update].
8
Käynnistä laite uudelleen. Laitteen uudelleenkäynnistys
Sovelluksen rekisteröiminen Microsoft Entra ID -hakemistoon
Rekisteröi sovellus Microsoft Entra ID -hakemistoon käyttämällä seuraavaa menettelyä.
Rekisteröintiprosessi saattaa muuttua, kun palvelua päivitetään. Lisätietoja on Microsoft-sivustossa.
Rekisteröintiprosessi saattaa muuttua, kun palvelua päivitetään. Lisätietoja on Microsoft-sivustossa.
1
Kirjaudu Microsoft Entra ID -hakemistoon.
2
Valitse navigointivalikosta [Microsoft Entra ID].
3
Rekisteröi sovellus.
|
1
|
Valitse navigointivalikosta [App registrations]
[Tallenna uusi työnk.]. |
|
2
|
Anna sovelluksen nimi.
Voit antaa millaisen nimen tahansa.
Syöttöesimerkki:
Canon <tulostimen nimi> -kirjautuminen |
|
3
|
Valitse tilin tyyppi ja valitse [Register].
Sovellustunnus (asiakassovelluksen) tuotetaan.
Kirjoita tuotettu tunnus muistiin. |
4
Luo salaisuus tai rekisteröi varmenne.
Salaisuuden luominen
|
1
|
Valitse navigointivalikosta [Certificates & secrets].
|
|
2
|
Valitse [New client secret].
|
|
3
|
Anna [Add a client secret] -valintaruutuun kuvaus ja vanhenemispäivä ja valitse [Lisää].
Salatunnus ja arvo luodaan.
Kirjoita luotu sala-arvo muistiin. Salatunnusta ei tarvita. * Sala-arvo näytetään vain kerran. Jos et pysty kirjoittamaan arvoa muistiin, luo uusi asiakassovelluksen salaisuus. |
Varmenteen rekisteröinti
Laitteen varmenne pitää viedä etukäteen. Voit viedä varmenteen määrittäessäsi Microsoft Entra ID -tietoja. Microsoft Entra ID -tietojen määrittäminen
|
1
|
Valitse navigointivalikosta [Certificates & secrets].
|
|
2
|
Valitse [Upload certificate].
|
|
3
|
Valitse tiedosto ja valitse [Lisää].
Kun varmenne on ladattu, kirjoita [Thumbprint]-arvo muistiin.
|
5
Valitse navigointivalikosta [API permissions].
6
Valitse [Add a permissions].
7
Valitse [Request API permissions] -kohdasta [Microsoft Graph].
8
Valitse oikeuksien tyypiksi [Delegated permissions] ja myönnä oikeudet.
Myönnä seuraavat oikeudet:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Valitse oikeuksien tyypiksi [Application permissions] ja myönnä oikeudet.
Myönnä seuraavat oikeudet:
User.Read.All
User.ReadWrite.All (rekisteröitäessä IC-korttia laitteeseen tai poistettaessa sitä laitteesta)
Group.Read.All
GroupMember.Read.All
* Käytä oikeuksia käytettäessä IC-korttiautentikointia tai kun laitteeseen ei voi kirjautua monivaiheisen autentikoinnin virheen takia. Tämä ei ole pakollista kaikissa toiminnoissa ja ympäristöissä.
10
Valitse ensin [Grant admin consent confirmation] ja sitten [Kyllä].
Pääkäyttäjän suostumus annetaan valituille oikeuksille.