Registrazione delle informazioni sul server di autenticazione
Quando si utilizza un Active Directory, un server LDAP o un Microsoft Entra ID come server di autenticazione esterno, registrare le informazioni sul server da utilizzare.
Registrare le informazioni sul server utilizzando la IU remota da un computer. Non è possibile utilizzare il pannello di controllo per registrare le informazioni.
Sono richiesti i privilegi di Administrator. La macchina deve essere riavviata per applicare le informazioni registrate.
Sono richiesti i privilegi di Administrator. La macchina deve essere riavviata per applicare le informazioni registrate.
Preparazioni richieste
È necessario configurare le impostazioni richieste per utilizzare un Active Directory, un server LDAP o un Microsoft Entra ID, come le impostazioni DNS e le impostazioni di data e ora.
Preparare le credenziali per l'accesso ad Active Directory, al server LDAP o al Microsoft Entra ID che si desidera utilizzare e registrare le informazioni sul.
1
Accedere alla IU remota come amministratore. Avvio della IU remota
2
Sulla pagina portale della IU remota fare clic su [Impostazioni/Registrazione]. Pagina del portale dell'interfaccia utente remota
3
Fare clic su [Gestione utenti] 
[Gestione autenticazione] [Impostazioni server] [Modifica].
[Gestione autenticazione] [Impostazioni server] [Modifica].Viene visualizzata la schermata [Modifica impostazioni server].
4
Configurare le informazioni su Active Directory, server LDAP o Microsoft Entra ID in [Server di autenticazione].
Quando si ottengono automaticamente le informazioni di Active Directory
1
Selezionare la casella di controllo [Utilizzo Active Directory].
2
In [Impostazione elenco domini], selezionare [Recupero automatico].
3
Specificare il metodo per accedere ad Active Directory e il numero di cache.
[Utilizzo modo di accesso ai siti]
Quando si utilizzano più server Active Directory, selezionare questa casella di controllo per assegnare la priorità di accesso ad Active Directory all'interno del sito a cui appartiene la macchina.
Modificare le impostazioni per [Sincronismo recupero informazioni sito] e [Intervallo accesso siti] in base alle esigenze.
Modificare le impostazioni per [Sincronismo recupero informazioni sito] e [Intervallo accesso siti] in base alle esigenze.
* Anche quando è specificato [Solo sito a cui appartiene la periferica] in [Intervallo accesso siti], la macchina può accedere a siti esterni al sito a cui appartiene quando esegue l'accesso al controller di dominio durante il processo di avvio. In questo caso, viene solitamente data priorità all'accesso ai controller di dominio all'interno dello stesso sito.
Tuttavia, se non è possibile accedere ai controller di dominio all'interno dello stesso sito ma è possibile accedere ai controller di dominio esterni al sito, verrà data priorità all'accesso ai controller di dominio esterni al sito.
[Numero di cache per ticket di servizio]
Specificare il numero delle schede di servizio che la macchina può contenere.
La scheda di servizio è una funzione della Directory Attiva che funge da record di un accesso precedente, riducendo la quantità di tempo impiegato per il successivo accesso da parte dello stesso utente.
La scheda di servizio è una funzione della Directory Attiva che funge da record di un accesso precedente, riducendo la quantità di tempo impiegato per il successivo accesso da parte dello stesso utente.
Specifica manuale delle informazioni di Active Directory
1
Selezionare la casella di controllo [Utilizzo Active Directory].
2
In [Impostazione elenco domini], selezionare [Impostazione manuale].
3
Fare clic su [Gestione Active Directory] [OK].
[OK].Viene visualizzata la schermata [Gestione Active Directory].
4
Fare clic su [Aggiunta dominio].
Viene visualizzata la schermata [Aggiunta dominio].
5
Specificare le informazioni di Active Directory.
[Nome dominio]
Inserire il nome di dominio della Active Directory che è la destinazione dell'accesso.
Esempio di inserimento:
company.domain.com
company.domain.com
[Nome NetBIOS]
Inserire il nome di dominio NetBIOS.
[Nome host primario o indirizzo IP] / [Nome host secondario o indirizzo IP]
Inserire il nome host o l'indirizzo IP del server Active Directory.
* Per utilizzare un server secondario, specificare il server in [Nome host secondario o indirizzo IP].
[Nome utente] e [Password]
Inserire nome utente e password da utilizzare per accedere al server Active Directory e cercare le informazioni utente.
[Posizione inizio ricerca]
Specificare la posizione (livello) in cui ricercare le informazioni utente quando viene eseguita l'autenticazione del server Active Directory. Se non si specifica la posizione di inizio della ricerca, verranno ricercate tutte le informazioni utente registrate sul server.
6
Specificare gli attributi.
[Attributo da impostare per account di accesso]
Inserire gli attributi per il nome di accesso, il nome visualizzato e l'indirizzo e-mail di ciascun account utente sul server.
7
Fare clic su [Test di connessione] per testare la connessione.
8
Fare clic su [Aggiungi].
Vengono aggiunte le informazioni sul server e la schermata [Gestione Active Directory] viene nuovamente visualizzata.
9
Fare clic su [Indietro].
La schermata [Modifica impostazioni server] viene nuovamente visualizzata.
10
Specificare il numero di cache in [Numero di cache per ticket di servizio].
Specificare il numero delle schede di servizio che la macchina può contenere.
La scheda di servizio è una funzione della Directory Attiva che funge da record di un accesso precedente, riducendo la quantità di tempo impiegato per il successivo accesso da parte dello stesso utente.
La scheda di servizio è una funzione della Directory Attiva che funge da record di un accesso precedente, riducendo la quantità di tempo impiegato per il successivo accesso da parte dello stesso utente.
Specificare le informazioni sul server LDAP
1
Selezionare la casella di controllo [Utilizzo server LDAP].
2
Fare clic su [Gestione server LDAP] [OK].
[OK].Viene visualizzata la schermata [Gestione server LDAP].
3
Fare clic su [Aggiunta server].
Viene visualizzata la schermata [Aggiunta server LDAP].
4
Specificare le informazioni sul server LDAP.
[Nome server]
Inserire il nome utilizzato per identificare il server LDAP.
* Non utilizzare il nome "localhost". Non inserire spazi nel nome del server.
[Indirizzo primario] e [Indirizzo secondario]
Inserire l’indirizzo IP o il nome host del server LDAP.
Esempio di inserimento: Nome host
ldap.example.com
ldap.example.com
* Non utilizzare un indirizzo di loopback (127.0.0.1).
* Quando si utilizza un server secondario, inserire l'indirizzo IP o il nome host in [Indirizzo secondario].
[Porta]
Inserire il numero di porta utilizzato per le comunicazioni con il server LDAP.
* Se lasciato vuoto, viene utilizzata la seguente impostazione in base alla impostazione [Utilizzo TLS]:
Quando la casella di controllo è selezionata, "636"
Quando la casella di controllo è deselezionata, "389"
[Commenti]
Inserire una descrizione e delle note in base alle esigenze.
[Utilizzo TLS]
Selezionare questa casella di controllo quando si utilizza la crittografia TLS per la comunicazione con il server LDAP.
[Utilizzo informazioni utente]
Quando si utilizzano le informazioni di autenticazione per l'autenticazione del server LDAP, selezionare la casella di controllo e inserire nome utente e password per l'autenticazione.
Deselezionare la casella di controllo per consentire l'accesso anonimo al server LDAP senza utilizzare le informazioni di autenticazione.
* Solo quando il server LDAP è impostato per consentire l'accesso anonimo.
[Punto di inizio ricerca]
Specificare la posizione (livello) in cui cercare le informazioni utente quando viene eseguita l'autenticazione del server LDAP.
5
Specificare gli attributi.
[Attributo da verificare all'autenticazione]
Inserire gli attributi con cui è registrato il nome utente in [Nome utente (Autenticazione da tastiera)].
[Attributo da impostare per account di accesso]
Inserire gli attributi per il nome di accesso, il nome visualizzato e l'indirizzo e-mail di ciascun account utente sul server.
6
Specificare il nome di dominio della destinazione accesso in [Metodo di impostazione nome dominio].
Per specificare l'attributo su cui è registrato il nome di dominio, selezionare [Specifica nome di attributo per acquisizione nome dominio] e inserire l'attributo.
7
Fare clic su [Test di connessione] per testare la connessione.
8
Fare clic su [Aggiungi].
Vengono aggiunte le informazioni sul server e la schermata [Gestione server LDAP] viene nuovamente visualizzata.
9
Fare clic su [Indietro].
La schermata [Modifica impostazioni server] viene nuovamente visualizzata.
Specifica delle informazioni su Microsoft Entra ID
1
Selezionare la casella di controllo [Usare Microsoft Entra ID].
2
Fare clic su [Impostazioni dominio].
Viene visualizzata la schermata [Impostazioni dominio Microsoft Entra ID].
3
Specificare le informazioni su Microsoft Entra ID.
[Nome destinazione accesso]
Inserire il nome da visualizzare nella destinazione accesso.
[Nome dominio]
Inserire il nome di dominio del Microsoft Entra ID che è la destinazione accesso.
[ID applicazione]
Inserire l'ID dell'applicazione (client).
[Segreto]
Inserire il segreto generato da Microsoft Entra ID. Non è necessario inserirlo quando è utilizzato [Chiave e certificato].
[Chiave e certificato]
Fare clic su [Chiave e certificato] per impostare il certificato da registrare su Microsoft Entra ID quando si utilizzano una chiave e un certificato. Selezionare il certificato per il quale l’algoritmo della chiave è RSA a 2048 bit o superiore e l’algoritmo firma è SHA256, SHA384 o SHA512.
È possibile fare clic su [Esporta certificato] per esportare il certificato da registrare su Microsoft Entra ID.
È possibile fare clic su [Esporta certificato] per esportare il certificato da registrare su Microsoft Entra ID.
[Usa la schermata di accesso Microsoft]
Selezionare questa casella di controllo per visualizzare la schermata di accesso Microsoft per l'accesso con autenticazione a più fattori, quando è abilitata l'autenticazione a più fattori Microsoft Entra ID.
* [Motore del browser] in [Accesso Web] è necessario impostare su [WebKit2]. [Accesso Web]
* Quando [Intervallo ripristino automatico] è impostato su [10] secondi, la funzione di ripristino automatico può essere eseguita prima che venga visualizzata la schermata di accesso. In questo caso modificare il tempo di ripristino automatico. [Intervallo ripristino automatico]
[URL di autenticazione Microsoft Entra ID] e [URL API Microsoft Entra ID]
Inserire gli URL. A seconda dell'ambiente cloud, potrebbe essere necessario modificare le impostazioni. Non è necessario inserirli quando viene utilizzato [Segreto].
4
Specificare gli attributi.
[Attributo da impostare per account di accesso]
[Nome di accesso]
Dal menu a tendina, selezionare l'attributo per il nome di accesso di ciascun account utente sul server.
* Per specificare un attributo non visualizzato nel menu a tendina, è possibile inserirlo direttamente.
[WindowsLogonName]:
displayName viene ottenuto da Microsoft Entra ID. displayName viene modificato come segue per creare il nome di accesso:
displayName viene ottenuto da Microsoft Entra ID. displayName viene modificato come segue per creare il nome di accesso:
Gli spazi e i seguenti caratteri vengono eliminati da displayName: * + , . / : ; < > = ? \ [ ] |.
"@" e tutti i caratteri successivi vengono eliminati.
Le stringhe di caratteri superiori a 20 caratteri vengono accorciate a 20 caratteri o meno.
Esempio: quando displayName è utente.001@esempio.com
user001
user001
[displayName]:
displayName ottenuto da Microsoft Entra ID diventa il nome di accesso.
displayName ottenuto da Microsoft Entra ID diventa il nome di accesso.
[userPrincipalName]:
userPrincipalName ottenuto da Microsoft Entra ID diventa il nome di accesso.
userPrincipalName ottenuto da Microsoft Entra ID diventa il nome di accesso.
[userPrincipalName-Prefix]:
la porzione prima di "@" in userPrincipalName ottenuto da Microsoft Entra ID diventa il nome di accesso.
Esempio: Quando userPrincipalName è "utente.002@mail.test"
utente.002
la porzione prima di "@" in userPrincipalName ottenuto da Microsoft Entra ID diventa il nome di accesso.
Esempio: Quando userPrincipalName è "utente.002@mail.test"
utente.002
[Nome da visualizzare] e [Indirizzo e-mail]
Inserire gli attributi per il nome di visualizzazione e l'indirizzo e-mail di ciascun account sul server.
5
Specificare il nome di dominio della destinazione accesso in [Nome dominio] sotto [Nome dominio da impostare per l'account di accesso].
6
Specificare le impostazioni in [Completamento automatico per l'immissione del nome utente quando si usa l'autenticazione tastiera] sotto [Nome dominio per il completamento automatico].
Inserire il nome del dominio per il quale eseguire il completamento automatico. Normalmente, impostare lo stesso inserito in [Nome dominio].
7
Fare clic su [Test di connessione] per testare la connessione.
8
Fare clic su [Aggiornamento].
La schermata [Modifica impostazioni server] viene nuovamente visualizzata.
Inserire il tempo dall'inizio dell'autenticazione al timeout in [Timeout autenticazione].
6
Specificare il dominio prioritario a cui connettersi in [Dominio predefinito].
Specificare se conservare le informazioni di autenticazione degli utenti in [Cache per informazioni utente].
Per conservare le informazioni di autenticazione degli utenti che hanno effettuato l'accesso tramite il pannello di controllo, selezionare la casella di controllo [Salvataggio informazioni di autenticazione per utenti di accesso]. Se la macchina non riesce a connettersi al server di autenticazione entro il tempo impostato al passaggio 5, è possibile accedere utilizzando le informazioni di autenticazione memorizzate nella cache.
Per conservare le informazioni di autenticazione degli utenti che hanno effettuato l'accesso con l'autenticazione da tastiera, selezionare anche la casella di controllo [Salvataggio informazioni utente quando si utilizza autenticazione da tastiera].
Quando questa casella di controllo è selezionata, anche se la macchina non è in grado di connettersi al server, è possibile accedere utilizzando le informazioni di autenticazione trattenute.
Quando questa casella di controllo è selezionata, anche se la macchina non è in grado di connettersi al server, è possibile accedere utilizzando le informazioni di autenticazione trattenute.
8
Specificare le informazioni e i privilegi dell'utente in [Associazione al ruolo].
[Attributo utente da cercare]
Inserire l'attributo sul server di riferimento utilizzato per determinare i privilegi utente (ruoli). Normalmente è possibile utilizzare il valore preimpostato "memberOf", che indica il gruppo a cui appartiene l'utente.
[Recuperare nome ruolo da applicare da [Attributo utente da cercare]]
Selezionare questa casella di controllo per utilizzare la stringa di caratteri registrata nell'attributo specificato in [Attributo utente da cercare] per il nome ruolo. Prima di selezionare la casella di controllo, verificare i nomi ruolo che possono essere selezionati sulla macchina e registrarli sul server.
[Condizioni]
È possibile impostare le condizioni per determinare i privilegi utente. Le condizioni si applicano nell'ordine in cui sono elencate.
In [Criteri di ricerca], selezionare i criteri di ricerca per [Stringa di caratteri].
In [Stringa di caratteri], inserire la stringa di caratteri registrata nell'attributo specificato in [Attributo utente da cercare]. Per specificare i privilegi in base al gruppo a cui appartiene l'utente, inserire il nome del gruppo.
In [Ruolo], selezionare i privilegi che si applicano agli utenti che corrispondono ai criteri.
* Quando si utilizza un server Active Directory, gli utenti che appartengono al gruppo "Canon Peripheral Admins" sono impostati in anticipo su [Administrator].
9
Fare clic su [Aggior].
10
Riavviare la macchina. Riavvio della macchina
Le informazioni vengono registrate.
NOTA
Blocco dell'archiviazione nella cache delle informazioni di autenticazione
È possibile proibire la memorizzazione nella cache delle password che gli utenti inseriscono al momento dell'accesso al server di autenticazione esterno. [Proibire memorizzazione password di autenticazione]
Quando l'archiviazione della cache è proibita, l'impostazione [Salvataggio informazioni di autenticazione per utenti di accesso] al passaggio 7 viene disattivata automaticamente. Per abilitare l'impostazione al passaggio 7, selezionare la casella di controllo [Salvataggio informazioni di autenticazione per utenti di accesso] e aggiornare le informazioni sul server di autenticazione.
Se il numero di porta per Kerberos su Active Directory viene modificato
Registrare le seguenti informazioni sul server DNS come record SRV:
Servizio: "_kerberos"
Protocollo: "_udp"
Numero di porta: numero di porta effettivamente utilizzato dal servizio Kerberos del dominio Active Directory (zona)
Host che offre il servizio: nome host del controller di dominio che fornisce effettivamente il servizio Kerberos del dominio Active Directory (zona)
Registrazione di un'applicazione in Microsoft Entra ID
Per registrare un'applicazione in Microsoft Entra ID, utilizzare la seguente procedura.
Il processo di registrazione potrebbe cambiare con gli aggiornamenti del servizio. Per ulteriori informazioni, consultare il sito web di Microsoft.
Il processo di registrazione potrebbe cambiare con gli aggiornamenti del servizio. Per ulteriori informazioni, consultare il sito web di Microsoft.
1
Accedere a Microsoft Entra ID.
2
Nel menu di navigazione, fare clic su [Microsoft Entra ID].
3
Registrare l'applicazione.
1
Nel menu di navigazione, [Registrazioni app] [Nuova registrazione].
[Nuova registrazione].2
Inserire il nome dell’applicazione.
È possibile inserire qualsiasi nome.
Esempio di inserimento:
Canon <nome stampante> Login
Esempio di inserimento:
Canon <nome stampante> Login
3
Selezionare il tipo di account e fare clic su [Registra].
Viene generato l'ID applicazione (client).
Prendere nota dell'ID generato.
Prendere nota dell'ID generato.
4
Creare un segreto o registrare un certificato.
Quando si crea un segreto
1
Nel menu di navigazione, fare clic su [Certificati e segreti].
2
Fare clic su [Nuovo segreto client].
3
Nella finestra di dialogo [Aggiungi un segreto client], inserire la descrizione e la data di scadenza e fare clic su [Aggiungi].
Vengono creati un ID e un valore segreto.
Prendere nota del valore segreto creato. L'ID segreto non è necessario.
* Il valore del segreto viene visualizzato una sola volta. Se non si riesce a prendere nota del valore, creare un nuovo segreto client.
Prendere nota del valore segreto creato. L'ID segreto non è necessario.
* Il valore del segreto viene visualizzato una sola volta. Se non si riesce a prendere nota del valore, creare un nuovo segreto client.
Quando si registra un certificato
Il certificato della macchina deve essere esportato in anticipo. È possibile esportare il certificato quando si configurano le informazioni di Microsoft Entra ID. Registrazione delle informazioni sul server di autenticazione
1
Nel menu di navigazione, fare clic su [Certificati e segreti].
2
Fare clic su [Carica certificato].
3
Selezionare il file e fare clic su [Aggiungi].
Dopo che il certificato è stato caricato, prendere nota del valore [Identificazione personale].
5
Nel menu di navigazione, fare clic su [Autorizzazioni API].
6
Fare clic su [Aggiungi un'autorizzazione].
7
In [Richiedi le autorizzazioni dell'API], selezionare [Microsoft Graph].
8
Nel tipo di autorizzazioni, selezionare [Autorizzazioni delegate] e concedere le autorizzazioni.
Concedere le seguenti autorizzazioni:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Nel tipo di autorizzazioni, selezionare [Autorizzazioni applicazione] e concedere le autorizzazioni.
Concedere le seguenti autorizzazioni:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Utilizzare le autorizzazioni quando non è possibile accedere alla macchina a causa di un errore di autenticazione a più fattori. Questa operazione non è necessaria a seconda della funzione e dell'ambiente utilizzato.
10
Fare clic su [Concedere conferma consenso amministratore.], quindi fare clic su [Sì].
Il consenso dell'amministratore viene concesso per le autorizzazioni selezionate.