Todennuspalvelun tietojen rekisteröinti
Kun käytät Active Directorya, LDAP-palvelinta tai Microsoft Entra ID:tä ulkoisena todennuspalvelimena, rekisteröi käytettävän palvelimen tiedot.
Rekisteröi palvelimen tiedot Remote UI (Etäkäyttöliittymä) -sovelluksen avulla tietokoneella. Näiden tietojen rekisteröinti ei ole mahdollista käyttöpaneelin avulla.
Edellyttää järjestelmänvalvojan oikeuksia. Laite täytyy käynnistää uudelleen rekisteröinnin käyttöön ottamiseksi.
Edellyttää järjestelmänvalvojan oikeuksia. Laite täytyy käynnistää uudelleen rekisteröinnin käyttöön ottamiseksi.
Valmistelut
Sinun on määritettävä Active Directoryn, LDAP-palvelimen tai Microsoft Entra ID:n käyttöä varten tarvittavat asetukset, kuten DNS-asetukset sekä päivämäärä- ja aika-asetukset.
Valmistele valtuustiedot, joilla voit käyttää haluamaasi Active Directorya, LDAP-palvelinta tai Microsoft Entra ID:tä.
1
Kirjaudu Remote UI (Etäkäyttöliittymä) -sovellukseen järjestelmänvalvojana. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistys
2
Valitse Remote UI (Etäkäyttöliittymä) -portaalisivulla [Settings/Registration]. Remote UI (Etäkäyttöliittymä) -sovelluksen portaalisivu
3
Napsauta [User Management] 
[Authentication Management] [Server Settings] [Edit].
[Authentication Management] [Server Settings] [Edit].[Edit Server Settings] -näyttö avautuu.
4
Määritä Active Directoryn, LDAP-palvelimen tai Microsoft Entra ID:n tiedot kohdassa [Authentication Server].
Active Directoryn tietojen hakeminen automaattisesti
1
Valitse [Use Active Directory] -valintaruutu.
2
Valitse kohdassa [Set Domain List] vaihtoehto [Retrieve Automatically].
3
Määritä Active Directoryn käyttötapa ja välimuistien määrä.
[Use access mode within sites]
Kun käytät useita Active Directory -palvelimia, valitse tämä valintaruutu, jos haluat määrittää käyttöoikeuden prioriteetin sille Active Directorylle, joka sijaitsee alueella, johon laite kuuluu.
Muuta [Timing of Site Information Retrieval]- ja [Site Access Range] -asetukset tarpeen mukaan.
Muuta [Timing of Site Information Retrieval]- ja [Site Access Range] -asetukset tarpeen mukaan.
* Vaikka [Only site to which device belongs] -asetus kohdassa [Site Access Range] on määritetty, laite saattaa käyttää oman alueensa ulkopuolella olevia alueita, kun toimialueen valvojaa käytetään käynnistysprosessin aikana. Tässä tapauksessa pääsy saman alueen toimialueen valvojiin on yleensä etusijalla.
Poikkeuksena ovat tilanteet, joissa saman alueen toimialueen valvojia ei voi käyttää, mutta alueen ulkopuolisia toimialueen valvojia voi käyttää, jolloin etusijalle asetetaan alueen ulkopuolella olevat toimialueen valvojat.
[Number of Caches for Service Ticket]
Määritä palvelulippujen määrä, jonka laite voi käsitellä.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
Active Directoryn tietojen määrittäminen manuaalisesti
1
Valitse [Use Active Directory] -valintaruutu.
2
Valitse kohdassa [Set Domain List] vaihtoehto [Set Manually].
3
Valitse [Active Directory Management] [OK].
[OK].[Active Directory Management] -näyttö avautuu.
4
Valitse [Add Domain].
[Add Domain] -näyttö avautuu.
5
Määritä Active Directoryn tiedot.
[Domain Name]
Lisää kirjautumiskohteena olevan Active Directoryn toimialueen nimi.
Esimerkkisyöte:
company.domain.com
company.domain.com
[NetBIOS Name]
Kirjoita NetBIOS-toimialueen nimi.
[Primary Host Name or IP Address] / [Secondary Host Name or IP Address]
Kirjoita Active Directory -palvelimen isäntänimi tai IP-osoite.
* Jos haluat käyttää toissijaista palvelinta, määritä palvelin kohdassa [Secondary Host Name or IP Address].
[User Name] ja [Password]
Anna käyttäjänimi ja salasana, joita käytetään Active Directory -palvelimen käyttämiseen ja käyttäjätietojen etsimiseen.
[Position to Start Search]
Määritä sijainti (taso), josta käyttäjätietoja haetaan, kun Active Directory -palvelintodennus suoritetaan. Jos et määritä haun aloituskohtaa, kaikki palvelimelle rekisteröidyt käyttäjätiedot haetaan.
6
Aseta määritteet.
[Attribute to Set for Login Account]
Anna kirjautumisnimen määreet, näyttönimi ja kunkin palvelimen käyttäjätilin sähköpostiosoite.
7
Testaa yhteyttä napsauttamalla [Connection Test].
8
Valitse [Add].
Palvelintiedot lisätään ja esiin tulee jälleen näkymä [Active Directory Management].
9
Valitse [Back].
[Edit Server Settings] -näyttö avautuu uudelleen.
10
Määritä välimuistien määrä kohdassa [Number of Caches for Service Ticket].
Määritä palvelulippujen määrä, jonka laite voi käsitellä.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
LDAP-palvelimen tietojen määrittäminen
1
Valitse [Use LDAP server] -valintaruutu.
2
Valitse [LDAP Server Management] [OK].
[OK].[LDAP Server Management] -näyttö avautuu.
3
Valitse [Add Server].
[Add LDAP Server] -näyttö avautuu.
4
Syötä LDAP-palvelimen tiedot.
[Server Name]
Syötä nimi, jolla LDAP-palvelin tunnistetaan.
* Älä käytä nimeä ”localhost”. Älä lisää välilyöntejä palvelimen nimeen.
[Primary Address] ja [Secondary Address]
Lisää LDAP-palvelimen IP-osoite tai isäntänimi.
Syöttöesimerkki: Isäntänimi
ldap.esimerkki.com
ldap.esimerkki.com
* Älä käytä silmukkaosoitetta (127.0.0.1).
* Jos käytät toissijaista palvelinta, määritä IP-osoite tai isäntänimi kohdassa [Secondary Address].
[Port]
Syötä LDAP-palvelimen kanssa liikennöitäessä käytettävän portin numero.
* Jos tämä jätetään tyhjäksi, seuraavaa asetusta käytetään asetuksen [Use TLS] mukaisesti:
Kun valintaruutu on valittuna, ”636”
Kun valintaruutua ei ole valittu, ”389”
[Comments]
Anna kuvaus ja huomautuksia tarpeen mukaan.
[Use TLS]
Valitse tämä valintaruutu, kun TLS-salausta käytetään liikennöintiin LDAP-palvelimen kanssa.
[Use authentication information]
Kun käytät todennustietoja LDAP-palvelimen todentamiseen, valitse valintaruutu ja anna todennusta varten käyttäjänimi ja salasana.
Tyhjennä valintaruutu, jos haluat sallia anonyymin pääsyn LDAP-palvelimeen käyttämättä todennustietoja.
* Vain jos LDAP-palvelin on asetettu sallimaan anonyymi pääsy.
[Starting Point for Search]
Määritä sijainti (taso) kun haetaan käyttäjätietoja kun suoritetaan LDAP-palvelinautentikointi.
5
Aseta määritteet.
[Attribute to Verify at Authentication]
Anna määritteet, joihin käyttäjänimi on rekisteröity, kohdassa [User Name (Keyboard Authentication)].
[Attribute to Set for Login Account]
Anna kirjautumisnimen määreet, näyttönimi ja kunkin palvelimen käyttäjätilin sähköpostiosoite.
6
Määritä kirjautumiskohteen toimialueen nimi kohdassa [Domain Name Setting Method].
Määritä määrite, johon verkkotunnus on rekisteröity, valitsemalla [Specify the attribute name for domain name acquisition] ja kirjoittamalla määrite.
7
Testaa yhteyttä napsauttamalla [Connection Test].
8
Valitse [Add].
Palvelintiedot lisätään ja esiin tulee jälleen näkymä [LDAP Server Management].
9
Valitse [Back].
[Edit Server Settings] -näyttö avautuu uudelleen.
Microsoft Entra ID ‑tietojen määrittäminen
1
Valitse [Use Microsoft Entra ID] -valintaruutu.
2
Valitse [Domain Settings].
[Microsoft Entra ID Domain Settings] -näyttö avautuu.
3
Määritä Microsoft Entra ID -tiedot.
[Login Destination Name]
Anna kirjautumiskohteessa näytettävä nimi.
[Domain Name]
Anna kirjautumiskohteena olevan Microsoft Entra ID -toimialueen nimi.
[Application ID]
Anna sovellustunnus (asiakassovelluksen).
[Secret]
Anna Microsoft Entra ID -hakemiston tuottama salaisuus. Tätä ei tarvitse antaa, kun käytössä on [Key and Certificate].
[Key and Certificate]
Käyttäessäsi avainta ja varmennetta, aseta Microsoft Entra ID:lle rekisteröitävä varmenne napsauttamalla [Key and Certificate]. Valitse varmenne, jolle avaimen algoritmi on vähintään RSA 2 048 bittiä ja allekirjoitusalgoritmi on SHA256, SHA384 tai SHA512.
Voit suorittaa Microsoft Entra ID:lle rekisteröitävän varmenteen viennin napsauttamalla [Export Certificate].
Voit suorittaa Microsoft Entra ID:lle rekisteröitävän varmenteen viennin napsauttamalla [Export Certificate].
[Use Microsoft Login Screen]
Valitsemalla tämän valintaruudun saat näkyviin Microsoft-kirjautumisnäytön kirjautumiseen monimenetelmäisellä todennuksella, kun Microsoft Entra ID ‑palvelun monimenetelmäinen todennus on otettu käyttöön.
* [Browser Engine]-asetuksen kohdassa [Internet] on oltava [WebKit2]. [Internet]
* Kun [Auto Reset Time] ‑arvo on [10] sekuntia, automaattinen palautustoiminto voidaan tehdä ennen kuin kirjautumisnäyttö tulee näkyviin. Muuta tässä tapauksessa automaattisen nollauksen aikaa. [Autom. palautusaika]
[Microsoft Entra ID Authentication URL] ja [Microsoft Entra ID API URL]
Anna URL-osoitteet. Joissakin pilvipalveluympäristöissä asetusta voi joutua muuttamaan. Tätä ei tarvitse antaa, kun käytössä on [Secret].
4
Aseta määritteet.
[Attribute to Set for Login Account]
[Login Name]
Valitse avattavasta valikosta kunkin palvelimen käyttäjätilin kirjautumisnimen määre.
* Kun määritettä ei näy avattavassa valikossa, voit kirjoittaa sen suoraan.
[WindowsLogonName]:
displayName on saatu Microsoft Entra ID:stä. displayName muutetaan seuraavalla tavalla kirjautumisnimen luomiseksi:
displayName on saatu Microsoft Entra ID:stä. displayName muutetaan seuraavalla tavalla kirjautumisnimen luomiseksi:
Välilyönnit ja seuraavat merkit poistetaan displayNamesta: * + , . / : ; < > = ? \ [ ] |.
”@” ja sen jälkeen olevat merkit poistetaan.
Yli 20 merkin mittaiset merkkijonot lyhennetään enintään 20 merkin mittaisiksi.
Esimerkki: Kun displayName on user.001@example.com
user001
user001
[displayName]:
displayNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
displayNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
[userPrincipalName]:
userPrincipalNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
userPrincipalNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
[userPrincipalName-Prefix]:
Microsoft Entra ID:stä saadun userPrincipalNamen @-merkkiä edeltävästä osasta tulee kirjautumisnimi.
Esimerkki: Kun userPrincipalName on user.002@mail.test
user.002
Microsoft Entra ID:stä saadun userPrincipalNamen @-merkkiä edeltävästä osasta tulee kirjautumisnimi.
Esimerkki: Kun userPrincipalName on user.002@mail.test
user.002
[Display Name] ja [E-Mail Address]
Kirjoita määritteet palvelimen kunkin käyttäjätilin näyttönimelle ja sähköpostiosoitteelle.
5
Määritä kirjautumiskohteen toimialueen nimi kohdassa [Domain Name] kohdan [Domain Name to Set for Login Account] alla.
6
Määritä asetukset kohdassa [Autocomplete for Entering User Name When Using Keyboard Authentication] kohdan [Domain Name to Autocomplete] alla.
Anna toimialueen nimi, jolle automaattinen täydennys tehdään. Normaalisti määritetään sama nimi kuin kohdassa [Domain Name].
7
Testaa yhteyttä napsauttamalla [Connection Test].
8
Valitse [Update].
[Edit Server Settings] -näyttö avautuu uudelleen.
Syötä aika tiedonsiirron alusta aikakatkaisuun kohdassa [Authentication Timeout].
6
Määritä ensisijainen verkkotunnus, johon muodostetaan yhteys, kohdassa [Default Domain].
Määritä, säilytetäänkö käyttäjien todennustiedot kohdassa [Cache for User Information].
Jos haluat säilyttää ohjauspaneelilla sisäänkirjautuneiden käyttäjien todennustiedot, valitse [Save authentication information for login users] -valintaruutu. Jos laite ei pysty muodostamaan yhteyttä todennuspalvelimeen siinä ajassa, joka asetettiin vaiheessa 5, voit kirjautua sisään käyttämällä välimuistissa olevia todennustietoja.
Jos haluat säilyttää näppäimistötodennuksen avulla kirjautuneiden käyttäjien todennustiedot, valitse myös [Save user information when using keyboard authentication] -valintaruutu.
Kun tämä valintaruutu on valittuna, voit kirjautua sisään käyttämällä säilytettyjä todennustietoja, vaikka laite ei pystyisikään muodostamaan yhteyttä palvelimeen.
Kun tämä valintaruutu on valittuna, voit kirjautua sisään käyttämällä säilytettyjä todennustietoja, vaikka laite ei pystyisikään muodostamaan yhteyttä palvelimeen.
8
Määritä käyttäjätiedot ja oikeudet kohdassa [Role Association].
[User Attribute to Browse]
Syötä viitatulla palvelimella oleva määrite, jota käytetään käyttäjien oikeuksien (roolien) määrittämiseen. Yleensä voit käyttää esiasetettua arvoa memberOf, joka ilmaisee ryhmän, johon käyttäjä kuuluu.
[Retrieve role name to apply from [User Attribute to Browse]]
Valitse tämä valintaruutu, jos haluat käyttää roolinimenä merkkijonoa, joka rekisteröitiin kohdassa [User Attribute to Browse] määritettyyn määritteeseen. Ennen valintaruudun valitsemista, tarkista roolinimet, jotka voidaan valita laitteessa, ja rekisteröi ne palvelimelle.
[Conditions]
Voit asettaa ehdot, jotka määrittävät oikeudet. Ehtoja sovelletaan siinä järjestyksessä, jossa ne on lueteltu.
Valitse hakuehto kohteelle [Search Criteria] kohdassa [Character String].
Anna kohdassa [Character String] merkkijono, joka rekisteröitiin kohdassa [User Attribute to Browse] määritettyyn määritteeseen. Määrittääksesi oikeudet sen perusteella, mihin ryhmään käyttäjä kuuluu, syötä ryhmän nimi.
Valitse oikeudet, jotka soveltuvat ehdot täyttäviin käyttäjiin, kohdassa [Role].
* Active Directory -palvelinta käytettäessä Canonin oheislaitteiden järjestelmänvalvojat -ryhmään kuuluville käyttäjille on asetettu etukäteen rooli [Administrator].
9
Valitse [Update].
10
Käynnistä laite uudelleen. Laitteen uudelleenkäynnistys
Tiedot on rekisteröity.
HUOMAUTUS
Todennustietojen tallentamisen välimuistiin estäminen
Voit estää salasanojen, jotka käyttäjät antavat kirjautuessaan ulkoiseen todennuspalvelimeen, tallentamisen välimuistiin. [Kiellä autentikointisalasanan tallennus välimuistiin]
Kun välimuistiin tallentaminen on kielletty, [Save authentication information for login users] -asetus vaiheessa 7 poistetaan automaattisesti käytöstä. Voit ottaa asetuksen käyttöön vaiheessa 7 valitsemalla [Save authentication information for login users] -valintaruudun ja päivittämällä todennuspalvelimen tiedot.
Jos Kerberosin porttinumero Active Directoryssa muutetaan
Rekisteröi seuraavat tiedot DNS-palvelimelle SRV-tietueena:
Palvelu: ”_kerberos”
Protokolla: ”_udp”
Porttinumero: Active Directoryn toimialueen (vyöhykkeen) Kerberos-palvelun käyttämä porttinumero
Tämän palvelun tarjoava isäntä: Sen toimialueen valvojan isäntänimi, joka tarjoaa Active Directoryn toimialueen (vyöhykkeen) Kerberos-palvelun.
Sovelluksen rekisteröiminen Microsoft Entra ID -hakemistoon
Rekisteröi sovellus Microsoft Entra ID -hakemistoon käyttämällä seuraavaa menettelyä.
Rekisteröintiprosessi saattaa muuttua, kun palvelua päivitetään. Lisätietoja on Microsoft-sivustossa.
Rekisteröintiprosessi saattaa muuttua, kun palvelua päivitetään. Lisätietoja on Microsoft-sivustossa.
1
Kirjaudu Microsoft Entra ID -hakemistoon.
2
Napsauta siirtymisvalikossa [Microsoft Entra ID].
3
Rekisteröi sovellus.
1
Valitse siirtymisvalikossa [App registrations] [New registration].
[New registration].2
Anna sovelluksen nimi.
Voit antaa minkä tahansa nimen.
Syöte-esimerkki:
Canon <tulostimen nimi> Kirjautuminen
Syöte-esimerkki:
Canon <tulostimen nimi> Kirjautuminen
3
Valitse tilityyppi ja valitse [Register].
Sovellustunnus (asiakassovelluksen) tuotetaan.
Kirjoita tuotettu tunnus muistiin.
Kirjoita tuotettu tunnus muistiin.
4
Luo salaisuus tai rekisteröi varmenne.
Salaisuuden luominen
1
Napsauta siirtymisvalikossa [Certificates & secrets].
2
Valitse [New client secret].
3
Kirjoita [Add a client secret]-valintaikkunaan kuvaus ja viimeinen voimassaolopäivä ja valitse [Lisää].
Salatunnus ja arvo luodaan.
Kirjoita luotu sala-arvo muistiin. Salatunnusta ei tarvita.
* Sala-arvo näytetään vain kerran. Jos et pysty kirjoittamaan arvoa muistiin, luo uusi asiakassovelluksen salaisuus.
Kirjoita luotu sala-arvo muistiin. Salatunnusta ei tarvita.
* Sala-arvo näytetään vain kerran. Jos et pysty kirjoittamaan arvoa muistiin, luo uusi asiakassovelluksen salaisuus.
Varmenteen rekisteröiminen
Laitteen varmenne pitää viedä etukäteen. Voit viedä varmenteen määrittäessäsi Microsoft Entra ID -tietoja. Todennuspalvelun tietojen rekisteröinti
1
Napsauta siirtymisvalikossa [Certificates & secrets].
2
Valitse [Upload certificate].
3
Valitse tiedostomuoto ja valitse [Lisää].
Kun varmenne on ladattu, kirjoita arvo [Thumbprint] muistiin.
5
Napsauta siirtymisvalikossa [API permissions].
6
Valitse [Add a permissions].
7
Valitse [Request API permissions] -kohdasta [Microsoft Graph].
8
Valitse oikeuksien tyypiksi [Delegated permissions] ja myönnä oikeudet.
Myönnä seuraavat oikeudet:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Valitse oikeuksien tyypiksi [Application permissions] ja myönnä oikeudet.
Myönnä seuraavat oikeudet:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Käytä käyttöoikeuksia, kun et voi kirjautua sisään laitteelle, koska monimenetelmäisessä todentamisessa tapahtui virhe. Tätä ei vaadita käytetystä toiminnosta ja ympäristöstä riippuen.
10
Napsauta [Grant admin consent confirmation] ja sitten [Yes].
Pääkäyttäjän suostumus annetaan valituille oikeuksille.