Регистрация информации о сервере аутентификации
При использовании Active Directory, сервера LDAP или Microsoft Entra ID в качестве внешнего сервера аутентификации зарегистрируйте информацию об используемом сервере.
Используйте для регистрации информации о сервере Remote UI (Удаленный ИП) с компьютера. Зарегистрировать эту информацию с помощью панели управления невозможно.
Требуются права администратора. Чтобы применить зарегистрированную информацию, необходимо перезагрузить аппарат.
Требуются права администратора. Чтобы применить зарегистрированную информацию, необходимо перезагрузить аппарат.
Необходимая подготовка
Необходимо настроить параметры, требуемые для использования Active Directory, сервера LDAP или Microsoft Entra ID, например настроить параметры DNS, а также выбрать настройки даты и времени.
Подготовьте учетные данные для доступа к Active Directory, серверу LDAP или Microsoft Entra ID, которые вы хотите использовать.
1
Войдите в Remote UI (Удаленный ИП) с правами администратора. Запуск Remote UI (Удаленный ИП)
2
На странице портала Remote UI (Удаленный ИП) нажмите [Settings/Registration]. Страница портала Remote UI (Удаленный ИП)
3
Щелкните [User Management] 
[Authentication Management] [Server Settings] [Edit].
[Authentication Management] [Server Settings] [Edit].Отобразится диалоговое окно [Edit Server Settings].
4
Настройте информацию об Active Directory, сервере LDAP или Microsoft Entra ID в разделе [Authentication Server].
При автоматическом получении информации об Active Directory
1
Выберите флажок [Use Active Directory].
2
В [Set Domain List] выберите [Retrieve Automatically].
3
Укажите способ доступа к Active Directory и количество кэшей.
[Use access mode within sites]
При использовании нескольких серверов Active Directory установите этот флажок, чтобы назначить приоритет доступа к Active Directory на сайте, к которому принадлежит аппарат.
Измените настройки параметров [Timing of Site Information Retrieval] и [Site Access Range] по необходимости.
Измените настройки параметров [Timing of Site Information Retrieval] и [Site Access Range] по необходимости.
* Даже если установлен параметр [Only site to which device belongs] в разделе [Site Access Range], аппарат может получать доступ к сайтам за пределами того сайта, к которому он принадлежит, при осуществлении доступа к контроллеру домена во время запуска. В этом случае доступ к контроллерам домена в пределах одного сайта обычно имеет приоритет.
Однако, когда не удается получить доступ к контроллерам домена на том же сайте, но можно получить доступ к контроллерам домена за пределами сайта; в таком случае приоритет отдается доступу к контроллерам домена вне сайта.
[Number of Caches for Service Ticket]
Укажите количество билетов службы, которое аппарат может хранить.
Билет службы — это функция Active Directory, которая выступает в качестве записи предыдущего входа в систему, благодаря чему последующие входы пользователя в систему занимают значительно меньше времени.
Билет службы — это функция Active Directory, которая выступает в качестве записи предыдущего входа в систему, благодаря чему последующие входы пользователя в систему занимают значительно меньше времени.
Указание информации об Active Directory вручную
1
Выберите флажок [Use Active Directory].
2
В [Set Domain List] выберите [Set Manually].
3
Нажмите [Active Directory Management] [OK].
[OK].Отобразится диалоговое окно [Active Directory Management].
4
Выберите команду [Add Domain].
Отобразится диалоговое окно [Add Domain].
5
Укажите информацию об Active Directory.
[Domain Name]
Введите имя домена Active Directory, который является адресатом входа в систему.
Пример ввода:
company.domain.com
company.domain.com
[NetBIOS Name]
Введите доменное имя NetBIOS.
[Primary Host Name or IP Address] / [Secondary Host Name or IP Address]
Введите имя хоста или IP-адрес сервера Active Directory.
* Чтобы использовать дополнительный сервер, укажите сервер в [Secondary Host Name or IP Address].
[User Name] и [Password]
Введите имя пользователя и пароль, которые будут использоваться для доступа к серверу Active Directory и поиска сведений о пользователе.
[Position to Start Search]
Укажите местоположение (уровень) для поиска сведений о пользователе во время аутентификации с помощью сервера Active Directory. Если не указать положение начала поиска, будет производиться поиск по всем сведениям о пользователе, зарегистрированным на сервере.
6
Укажите атрибуты.
[Attribute to Set for Login Account]
Введите атрибуты имени входа, отображаемого имени и адреса электронной почты для каждой учетной записи пользователя на сервере.
7
Нажмите [Connection Test], чтобы проверить соединение.
8
Выберите команду [Add].
Будут добавлены сведения о сервере, и откроется экран [Active Directory Management].
9
Выберите команду [Back].
Снова отобразится экран [Edit Server Settings].
10
Укажите количество кэшей в [Number of Caches for Service Ticket].
Укажите количество билетов службы, которое аппарат может хранить.
Билет службы — это функция Active Directory, которая выступает в качестве записи предыдущего входа в систему, благодаря чему последующие входы пользователя в систему занимают значительно меньше времени.
Билет службы — это функция Active Directory, которая выступает в качестве записи предыдущего входа в систему, благодаря чему последующие входы пользователя в систему занимают значительно меньше времени.
Указание информации о сервере LDAP
1
Выберите флажок [Use LDAP server].
2
Нажмите [LDAP Server Management] [OK].
[OK].Отобразится диалоговое окно [LDAP Server Management].
3
Выберите команду [Add Server].
Отобразится диалоговое окно [Add LDAP Server].
4
Укажите сведения о сервере LDAP.
[Server Name]
Введите имя, используемое для идентификации сервера LDAP.
* Не используйте имя «localhost». Не используйте пробелы в имени сервера.
[Primary Address] и [Secondary Address]
Введите IP-адрес или имя узла сервера LDAP.
Пример ввода: Имя узла
ldap.example.com
ldap.example.com
* Не используйте петлевой адрес (127.0.0.1).
* Если используется дополнительный сервер, введите IP-адрес или имя хоста в поле [Secondary Address].
[Port]
Введите номер порта, используемого для обмена данными с сервером LDAP.
* Если поле оставить пустым, в соответствии с настройкой [Use TLS] используется следующая настройка:
Когда флажок установлен, «636»
Когда флажок снят, «389»
[Comments]
При необходимости введите описание и примечания.
[Use TLS]
Установите этот флажок, если для связи с сервером LDAP используется протокол TLS с шифрованием данных.
[Use authentication information]
При использовании данных для аутентификации при аутентификации на сервере LDAP установите флажок и введите имя пользователя и пароль для аутентификации.
Снимите флажок, чтобы разрешить анонимный доступ к серверу LDAP без использования данных аутентификации.
* Только если на сервере LDAP разрешен анонимный доступ.
[Starting Point for Search]
Укажите местоположение (уровень) для поиска сведений о пользователе во время аутентификации с помощью сервера LDAP.
5
Укажите атрибуты.
[Attribute to Verify at Authentication]
Введите атрибуты, по которым зарегистрировано имя пользователя, в поле [User Name (Keyboard Authentication)].
[Attribute to Set for Login Account]
Введите атрибуты имени входа, отображаемого имени и адреса электронной почты для каждой учетной записи пользователя на сервере.
6
Укажите доменное имя адресата входа в поле [Domain Name Setting Method].
Чтобы указать атрибут, по которому зарегистрировано доменное имя, выберите [Specify the attribute name for domain name acquisition] и введите атрибут.
7
Нажмите [Connection Test], чтобы проверить соединение.
8
Выберите команду [Add].
Будут добавлены сведения о сервере, и откроется экран [LDAP Server Management].
9
Выберите команду [Back].
Снова отобразится экран [Edit Server Settings].
Указание информации о Microsoft Entra ID
1
Выберите флажок [Use Microsoft Entra ID].
2
Выберите команду [Domain Settings].
Отобразится диалоговое окно [Microsoft Entra ID Domain Settings].
3
Укажите информацию о Microsoft Entra ID.
[Login Destination Name]
Введите имя, которое будет отображаться у адресата входа.
[Domain Name]
Введите доменное имя Microsoft Entra ID, которое является адресатом входа.
[Application ID]
Введите идентификатор приложения (клиента).
[Secret]
Введите секретный ключ, сгенерированный службой Microsoft Entra ID. При использовании параметра [Key and Certificate] вводить это не нужно.
[Key and Certificate]
Нажмите [Key and Certificate] чтобы задать сертификат для регистрации в Microsoft Entra ID при использовании ключа и сертификата. Выберите сертификат, для которого алгоритм ключа RSA составляет 2048 бит или более, а алгоритм подписи — SHA256, SHA384 или SHA512.
Вы можете нажать [Export Certificate] чтобы экспортировать сертификат для регистрации в Microsoft Entra ID.
Вы можете нажать [Export Certificate] чтобы экспортировать сертификат для регистрации в Microsoft Entra ID.
[Microsoft Entra ID Authentication URL] и [Microsoft Entra ID API URL]
Введите URL-адреса. В зависимости от вашей облачной среды, возможно, вам потребуется изменить настройки. При использовании параметра [Secret] вводить это не нужно.
4
Укажите атрибуты.
[Attribute to Set for Login Account]
[Login Name]
В раскрывающемся меню выберите атрибут имени для входа для каждой учетной записи пользователя на сервере.
* Чтобы указать какой-либо атрибут, не отображаемый в раскрывающемся меню, вы можете ввести его напрямую.
[WindowsLogonName]:
displayName берется из службы Microsoft Entra ID. Для создания имени для входа displayName изменяется следующим образом:
displayName берется из службы Microsoft Entra ID. Для создания имени для входа displayName изменяется следующим образом:
Из displayName удаляются пробелы и следующие символы: * + , . / : ; < > = ? \ [ ] |.
«@» и все последующие символы удаляются.
Строки символов длиной более 20 символов сокращаются до 20 символов или меньше.
Пример: Когда displayName — user.001@example.com
user001
user001
[displayName]:
displayName, полученное из Microsoft Entra ID, становится именем для входа.
displayName, полученное из Microsoft Entra ID, становится именем для входа.
[userPrincipalName]:
userPrincipalName, полученное из Microsoft Entra ID, становится именем для входа.
userPrincipalName, полученное из Microsoft Entra ID, становится именем для входа.
[userPrincipalName-Prefix]:
Часть перед знаком «@» в userPrincipalName, полученном из Microsoft Entra ID, становится именем для входа.
Пример: Когда userPrincipalName — «user.002@mail.test»
user.002
Часть перед знаком «@» в userPrincipalName, полученном из Microsoft Entra ID, становится именем для входа.
Пример: Когда userPrincipalName — «user.002@mail.test»
user.002
[Display Name] и [E-Mail Address]
Введите атрибуты отображаемого имени и адреса электронной почты для каждой учетной записи пользователя на сервере.
5
Укажите доменное имя адресата входа в поле [Domain Name] в разделе [Domain Name to Set for Login Account].
6
Укажите настройки в [Autocomplete for Entering User Name When Using Keyboard Authentication] в разделе [Domain Name to Autocomplete].
Введите имя домена, для которого требуется выполнять автозавершение. Обычно задается то же имя, которое введено в поле [Domain Name].
7
Нажмите [Connection Test], чтобы проверить соединение.
8
Выберите команду [Update].
Снова отобразится экран [Edit Server Settings].
Введите время с начала аутентификации до истечения времени ожидания в поле [Authentication Timeout].
6
Укажите приоритетный домен для подключения в поле [Default Domain].
Укажите, следует ли сохранять аутентификационную информацию пользователей, в поле [Cache for User Information].
Чтобы сохранять аутентификационную информацию пользователей, входящих в систему с помощью панели управления, установите флажок [Save authentication information for login users]. Если аппарату не удастся подключиться к серверу аутентификации в течение времени, установленного при выполнении шага 5, вы сможете войти в систему с использованием аутентификационной информации, хранящейся в кэше.
Чтобы сохранять аутентификационную информацию пользователей, входящих в систему с использованием аутентификации с помощью клавиатуры, также установите флажок [Save user information when using keyboard authentication].
Когда этот флажок установлен, даже если аппарату не удастся подключиться к серверу, вы сможете войти в систему с использованием сохраненной аутентификационной информации.
Когда этот флажок установлен, даже если аппарату не удастся подключиться к серверу, вы сможете войти в систему с использованием сохраненной аутентификационной информации.
8
Укажите информацию о пользователях и права доступа в разделе [Role Association].
[User Attribute to Browse]
Введите атрибут на указанном сервере, который используется для определения прав пользователя (ролей). Обычно можно использовать предварительно заданное значение «memberOf», которое указывает на группу, к которой относится пользователь.
[Retrieve role name to apply from [User Attribute to Browse]]
Установите этот флажок, чтобы использовать в качестве имени роли строку символов, зарегистрированную в атрибуте, указанном в [User Attribute to Browse]. Прежде чем установить флажок, проверьте имена ролей, которые доступны для выбора на аппарате, и зарегистрируйте их на сервере.
[Conditions]
Можно задать условия для определения прав пользователя. Условия применяются в порядке их перечисления.
В [Search Criteria] выберите условия поиска для [Character String].
В [Character String] введите строку символов, зарегистрированную для атрибута, указанного в [User Attribute to Browse]. Чтобы задать права на основе группы, к которой относится пользователь, введите имя такой группы.
В [Role] выберите права для назначения пользователям, соответствующим условиям.
* При использовании сервера Active Directory пользователям, которые относятся к группе «Администраторы периферийных устройств Canon», заранее присваивается значение [Administrator].
9
Выберите команду [Update].
10
Перезапустите аппарат. Перезапуск аппарата
Информация зарегистрирована.
ПРИМЕЧАНИЕ
Запрет на хранение в кэше данных для аутентификации
Можно запретить кэширование паролей, которые пользователи вводят при входе на внешний сервер аутентификации. [Запретить кэширование аутентификационн. пароля]
Если хранение кэша запрещено, параметр [Save authentication information for login users] на шаге 7 отключается автоматически. Чтобы разрешить этот параметр на шаге 7, установите флажок [Save authentication information for login users] и обновите информацию о сервере аутентификации.
Если номер порта для Kerberos в Active Directory изменен
Зарегистрируйте следующую информацию на сервере DNS как запись SRV:
Служба: «_kerberos»
Протокол: «_udp»
Номер порта: Номер порта, фактически используемый службой Kerberos домена (зоны) Active Directory
Хост, предлагающий эту службу: Имя хоста контроллера домена, который фактически предоставляет службу Kerberos домена (зоны) Active Directory
Регистрация приложения в Microsoft Entra ID
Используйте приведенную ниже процедуру, чтобы зарегистрировать приложение в Microsoft Entra ID.
Процесс регистрации может измениться с появлением обновлений для службы. Более подробные сведения см. на веб-сайте Microsoft.
Процесс регистрации может измениться с появлением обновлений для службы. Более подробные сведения см. на веб-сайте Microsoft.
1
Войдите в Microsoft Entra ID.
2
В меню навигации нажмите [Microsoft Entra ID].
3
Зарегистрируйте приложение.
1
В меню навигации нажмите [Регистрация приложений] [Новая регистрация].
[Новая регистрация].2
Введите имя приложения.
Можно ввести любое имя.
Пример ввода:
Canon <имя принтера> Login
Пример ввода:
Canon <имя принтера> Login
3
Выберите тип учетной записи и нажмите [Зарегистрировать].
Сгенерируется идентификатор приложения (клиента).
Запишите сгенерированный идентификатор.
Запишите сгенерированный идентификатор.
4
Создайте секретный ключ или зарегистрируйте сертификат.
При создании секретного ключа
1
В меню навигации нажмите [Сертификаты и секреты].
2
Выберите команду [Новый секрет клиента].
3
В диалоговом окне [Добавить секрет клиента] введите описание и дату окончания срока действия и нажмите [Добавить].
Создаются секретный идентификатор и значение.
Запишите созданное секретное значение. Вам не нужен секретный идентификатор.
* Секретное значение отображается только один раз. Если вы не можете записать значение, создайте новый секретный ключ клиента.
Запишите созданное секретное значение. Вам не нужен секретный идентификатор.
* Секретное значение отображается только один раз. Если вы не можете записать значение, создайте новый секретный ключ клиента.
При регистрации сертификата
Сертификат аппарата необходимо экспортировать заранее. Вы можете экспортировать сертификат при настройке данных Microsoft Entra ID. Регистрация информации о сервере аутентификации
1
В меню навигации нажмите [Сертификаты и секреты].
2
Выберите команду [Отправка сертификата].
3
Выберите файл и нажмите [Добавить].
После загрузки сертификата запишите значение [Отпечаток].
5
В меню навигации нажмите [Разрешения API].
6
Выберите команду [Добавить разрешение].
7
Под [Запрос разрешений API] выберите [Microsoft Graph].
8
В разделе типа разрешений выберите [Делегированные разрешения] и предоставьте разрешения.
Предоставьте следующие разрешения:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
В разделе типа разрешений выберите [Разрешения приложения] и предоставьте разрешения.
Предоставьте следующие разрешения:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Используйте разрешения, если вы не можете войти в систему аппарата из-за ошибки многофакторной аутентификации. Это не обязательно в зависимости от функции и используемой среды.
10
Щелкните [Предоставить подтверждение согласия администратора], затем нажмите [Да].
Согласие администратора предоставляется выбранным разрешениям.