Information om att registrera autentiseringsserver
När du använder en Active Directory-, LDAP-server eller Microsoft Entra ID som en extern autentiseringsserver behöver informationen om servern som ska användas bli registrerad.
Registrera serverinformationen med Remote UI (Fjärranvändargränssnittet) från en dator. Du kan inte använda kontrollpanelen för att registrera informationen.
Administratörsbehörighet krävs. Maskinen måste startas om för att tillämpa den registrerade informationen.
Administratörsbehörighet krävs. Maskinen måste startas om för att tillämpa den registrerade informationen.
Förberedelser som krävs
Du måste konfigurera inställningarna som krävs för att använda en Active Directory-, LDAP-server eller Microsoft Entra ID, såsom DNS-inställningar och inställningarna för datum och tid.
Förbered autentiseringsuppgifterna för åtkomst till Active Directory-, LDAP-servern eller Microsoft Entra ID som du vill använda.
1
Logga in på Remote UI (Fjärranvändargränssnittet) som administratör. Starta Remote UI (Fjärranvändargränssnittet)
2
Från Remote UI (Fjärranvändargränssnittet) portalskärm klickar du på [Settings/Registration]. Remote UI (Fjärranvändargränssnittet) portalsida
3
Klicka på [User Management] 
[Authentication Management] [Server Settings] [Edit].
[Authentication Management] [Server Settings] [Edit].Skärmen [Edit Server Settings] visas.
4
Konfigurera Active Directory-, LDAP-servern eller Microsoft Entra ID-informationen i [Authentication Server].
När Active Directory-informationen hämtas automatiskt
1
Markera kryssrutan [Use Active Directory].
2
I [Set Domain List] ska du välja [Retrieve Automatically].
3
Ange metoden för åtkomst till Active Directory och antalet cacheminnen.
[Use access mode within sites]
När du använder flera Active Directory-servrar behöver den här kryssrutan markeras för att tilldela åtkomstprioritet till Active Directory på den plats som maskinen tillhör.
Ändra inställningarna för [Timing of Site Information Retrieval] och [Site Access Range] efter behov.
Ändra inställningarna för [Timing of Site Information Retrieval] och [Site Access Range] efter behov.
* Även om [Only site to which device belongs] i [Site Access Range] är angivet kan det hända att maskinen får åtkomst till webbplatser utanför den webbplats den tillhör när den har åtkomst till domänövervakaren under startproceduren. I det här fallet prioriteras vanligtvis åtkomst till domänövervakare på samma webbplats.
Om domänövervakare däremot inte kan nås på samma webbplats men domänövervakare utanför webbplatsen kan nås prioriteras åtkomst till domänövervakare utanför webbplatsen.
[Number of Caches for Service Ticket]
Ange antalet tjänstbiljetter som maskinen kan hålla.
En tjänstbiljett är en Active Directory-funktion som fungerar som en post för en tidigare inloggning, vilket minskar den tid det tar för samma användare att logga in nästa gång.
En tjänstbiljett är en Active Directory-funktion som fungerar som en post för en tidigare inloggning, vilket minskar den tid det tar för samma användare att logga in nästa gång.
Ange Active Directory-informationen manuellt
1
Markera kryssrutan [Use Active Directory].
2
I [Set Domain List] ska du välja [Set Manually].
3
Klicka på [Active Directory Management] [OK].
[OK].Skärmen [Active Directory Management] visas.
4
Klicka på [Add Domain].
Skärmen [Add Domain] visas.
5
Ange Active Directory-informationen.
[Domain Name]
Skriv domännamnet i Active Directory som är inloggningsdestinationen.
Inmatningsexempel:
company.domain.com
company.domain.com
[NetBIOS Name]
Ange NetBIOS-domännamn.
[Primary Host Name or IP Address] / [Secondary Host Name or IP Address]
Ange värdnamnet för Active Directory-servern.
* Om du använder en sekundär server ska du ange servern i [Secondary Host Name or IP Address].
[User Name] och [Password]
Ange användarnamnet och lösenordet som ska användas för att få åtkomst till Active Directory-servern och söka efter användarinformation.
[Position to Start Search]
Ange platsen (nivån) för att söka efter användarinformation när Active Directory-serverautentisering utförs. Om startpositionen på sökningen inte anges kommer all användarinformation registrerad på servern att sökas igenom.
6
Ange attributen.
[Attribute to Set for Login Account]
Ange attributen för inloggningsnamn, visningsnamn och e-postadress för varje användarkonto på servern.
7
Klicka på [Connection Test] för att testa anslutningen.
8
Klicka på [Add].
Serverinformationen läggs till och skärmen [Active Directory Management] visas igen.
9
Klicka på [Back].
Skärmen [Edit Server Settings] visas på nytt.
10
Ange antalet cacheminnen i [Number of Caches for Service Ticket].
Ange antalet tjänstbiljetter som maskinen kan hålla.
En tjänstbiljett är en Active Directory-funktion som fungerar som en post för en tidigare inloggning, vilket minskar den tid det tar för samma användare att logga in nästa gång.
En tjänstbiljett är en Active Directory-funktion som fungerar som en post för en tidigare inloggning, vilket minskar den tid det tar för samma användare att logga in nästa gång.
Ange LDAP-serverinformationen
1
Markera kryssrutan [Use LDAP server].
2
Klicka på [LDAP Server Management] [OK].
[OK].Skärmen [LDAP Server Management] visas.
3
Klicka på [Add Server].
Skärmen [Add LDAP Server] visas.
4
Ange LDAP-serverinformationen.
[Server Name]
Ange namnet som används för att identifiera LDAP-servern.
* Använd inte namnet "localhost." Inkludera inte mellanslag i servernamnet.
[Primary Address] och [Secondary Address]
Ange IP-adressen eller värdnamnet för LDAP-servern.
Inmatningsexempel: Värdnamn
ldap.example.com
ldap.example.com
* Använd inte en loopback-adress (127.0.0.1).
* Om du använder en sekundär server ska du ange IP-adressen eller värdnamnet i [Secondary Address].
[Port]
Ange det portnummer som används för kommunikation med LDAP-servern.
* Om det lämnas tomt ska följande inställning enligt [Use TLS] användas:
När kryssrutan är markerad, "636"
När kryssrutan är avmarkerad, "389"
[Comments]
Ange en beskrivning eller kommentarer efter behov.
[Use TLS]
Markera den här kryssrutan när du använder TLS-kryptering för kommunikation med LDAP-servern.
[Use authentication information]
När du använder autentiseringsinformation för autentisering av LDAP-servern markerar du kryssrutan och anger användarnamn och lösenord för autentisering.
Avmarkera kryssrutan för att anonym åtkomst till LDAP-servern ska tillåtas utan att autentiseringsinformationen används.
* Endast när LDAP-servern är inställd på att anonym åtkomst tillåts.
[Starting Point for Search]
Ange platsen (nivån) för att söka efter användarinformation när LDAP-serverautentisering utförs.
5
Ange attributen.
[Attribute to Verify at Authentication]
Ange de attribut som användarnamnet är registrerat på i [User Name (Keyboard Authentication)].
[Attribute to Set for Login Account]
Ange attributen för inloggningsnamn, visningsnamn och e-postadress för varje användarkonto på servern.
6
Ange domännamnet för inloggningsmålet i [Domain Name Setting Method].
För att ange attributet som domännamnet är registrerat för väljer du [Specify the attribute name for domain name acquisition] och anger attributet.
7
Klicka på [Connection Test] för att testa anslutningen.
8
Klicka på [Add].
Serverinformationen läggs till och skärmen [LDAP Server Management] visas igen.
9
Klicka på [Back].
Skärmen [Edit Server Settings] visas på nytt.
Anger Microsoft Entra ID-informationen
1
Markera kryssrutan [Use Microsoft Entra ID].
2
Klicka på [Domain Settings].
Skärmen [Microsoft Entra ID Domain Settings] visas.
3
Ange Microsoft Entra ID-informationen.
[Login Destination Name]
Ange namnet som ska visas vid inloggningsmålet.
[Domain Name]
Ange domännamnet för det Microsoft Entra ID som är inloggningsdestinationen.
[Application ID]
Ange applikationens (klient) ID.
[Secret]
Ange hemligheten som genereras av Microsoft Entra ID. Du behöver inte ange detta när [Key and Certificate] används.
[Key and Certificate]
Klicka på [Key and Certificate] för att konfigurera att certifikatet ska registreras till Microsoft Entra ID när en nyckel och ett certifikat används. Välj certifikatet där den associerade nyckelalgoritmen är RSA 2048 bitar eller mer och signeringsalgoritmen är SHA256, SHA384 eller SHA512.
Du kan klicka på [Export Certificate] för att exportera certifikatet som ska registreras på Microsoft Entra ID.
Du kan klicka på [Export Certificate] för att exportera certifikatet som ska registreras på Microsoft Entra ID.
[Microsoft Entra ID Authentication URL] och [Microsoft Entra ID API URL]
Ange webbadresserna. Beroende på molnmiljön kan du behöva ändra inställningarna. Du behöver inte ange detta när [Secret] används.
4
Ange attributen.
[Attribute to Set for Login Account]
[Login Name]
Öppna listmenyn och välj attributet för inloggningsnamnet för varje användarkonto på servern.
* För att ange ett attribut som inte visas i listmenyn kan du istället ange det direkt.
displayName för [WindowsLogonName]:
hämtas från Microsoft Entra ID. displayName ändras enligt följande för att skapa inloggningsnamnet:
hämtas från Microsoft Entra ID. displayName ändras enligt följande för att skapa inloggningsnamnet:
Mellanslag och följande tecken raderas från displayName: * + , . / : ; < > = ? \ [ ] |.
”@” och eventuella efterföljande tecken raderas.
Teckensträngar som överstiger 20 tecken förkortas till 20 tecken eller mindre.
Exempel: När displayName är user.001@example.com
user001
user001
displayName [displayName]:
som erhålls från Microsoft Entra ID blir inloggningsnamnet.
som erhålls från Microsoft Entra ID blir inloggningsnamnet.
userPrincipalName [userPrincipalName]:
som erhålls från Microsoft Entra ID blir inloggningsnamnet.
som erhålls från Microsoft Entra ID blir inloggningsnamnet.
[userPrincipalName-Prefix]:
Delen före ”@” i userPrincipalName, som erhålls från Microsoft Entra ID, blir inloggningsnamnet.
Exempel: När userPrincipalName är ”user.002@mail.test ”
user.002
Delen före ”@” i userPrincipalName, som erhålls från Microsoft Entra ID, blir inloggningsnamnet.
Exempel: När userPrincipalName är ”user.002@mail.test ”
user.002
[Display Name] och [E-Mail Address]
Ange attributen för visningsnamnet och e-postadressen för varje användarkonto på servern.
5
Ange domännamnet för inloggningsdestinationen i [Domain Name] under [Domain Name to Set for Login Account].
6
Ange inställningarna i [Autocomplete for Entering User Name When Using Keyboard Authentication] under [Domain Name to Autocomplete].
Ange namnet på domänen för vilken automatisk komplettering ska utföras. Vanligtvis ställs det namn in som har angetts i [Domain Name].
7
Klicka på [Connection Test] för att testa anslutningen.
8
Klicka på [Update].
Skärmen [Edit Server Settings] visas på nytt.
Ange tiden från start av autentiseringen till tidsgränsen i [Authentication Timeout].
6
Ange den prioriterade domänen som du vill ansluta till i [Default Domain].
Ange om användares autentiseringsinformation ska bibehållas i [Cache for User Information].
För att bibehålla autentiseringsinformationen för användare som har loggat in via kontrollpanelen ska du markera kryssrutan [Save authentication information for login users]. Om maskinen inte kan ansluta till autentiseringsservern inom det tidsintervall som anges i steg 5 kan du logga in med autentiseringsinformationen som finns i cache-minnet.
För att bibehålla autentiseringsinformationen för användare som har loggat in via tangentbordsautentisering ska du även markera kryssrutan [Save user information when using keyboard authentication].
När den här kryssrutan är markerad kan du logga in med den lagrade autentiseringsinformationen, även om maskinen inte kan ansluta till servern.
När den här kryssrutan är markerad kan du logga in med den lagrade autentiseringsinformationen, även om maskinen inte kan ansluta till servern.
8
Ange användarinformationen och privilegier i [Role Association].
[User Attribute to Browse]
Ange attributet på den refererade servern som används för att fastställa användarbehörigheter (roller). Vanligtvis kan du använda det förinställda värdet för ”memberOf”, som indikerar den grupp användaren tillhör.
[Retrieve role name to apply from [User Attribute to Browse]]
Markera den här kryssrutan för att använda teckensträngen som är registrerad för det attribut som anges i [User Attribute to Browse] för rollnamnet. Innan du markerar kryssrutan ska du kontrollera vilka rollnamn som kan väljas på maskinen och registrera dem på servern.
[Conditions]
Du kan ställa in villkoren som fastställer användarbehörigheter. Villkoren tillämpas i den ordning de visas.
Öppna [Search Criteria] och välj sökkriterierna för [Character String].
Öppna [Character String] och ange teckensträngen som är registrerad för det attribut som anges i [User Attribute to Browse]. Ange gruppnamnet för att ange privilegier baserat på gruppen som användaren tillhör.
Öppna [Role] och välj de privilegier som gäller för användare som uppfyller kriterierna.
* När du använder en Active Directory-server är användare som tillhör gruppen ”Canon Peripheral Admins” i förväg konfigurerade som [Administrator].
9
Klicka på [Update].
10
Starta om maskinen. Starta om maskinen
Informationen har registrerats.
OBS!
Förbud mot cache-lagring av autentiseringsinformation
Du kan förbjuda cache-lagring av lösenord som användare anger vid inloggning på den externa autentiseringsservern. [Förhindra cachning av autentiseringslösenord]
När cache-lagring är förbjuden inaktiveras inställningen [Save authentication information for login users] i steg 7 automatiskt. För att aktivera inställningen i steg 7 ska du markera kryssrutan [Save authentication information for login users] och uppdatera autentiseringsserverns information.
Om portnumret för Kerberos på Active Directory ändras
Registrera följande information för DNS-servern som ett SRV-register:
Tjänst: "_kerberos"
Protokoll: "_udp"
Portnummer: Portnumret som faktiskt används av Kerberos-tjänsten för Active Directory-domänen (zon)
Värd som erbjuder tjänsten: Värdnamn för domänövervakaren som erbjuder Kerberos-tjänsten för Active Directory-domänen (zon)
Registrera en applikation i Microsoft Entra ID
Använd följande procedur för att registrera ett program i Microsoft Entra ID.
Registreringsprocessen kan ändras med tjänstuppdateringar. Mer information finns på Microsofts webbplats.
Registreringsprocessen kan ändras med tjänstuppdateringar. Mer information finns på Microsofts webbplats.
1
Logga in på Microsoft Entra ID.
2
Klicka på [Microsoft Entra ID] i navigeringsmenyn.
3
Registrera applikationen.
1
Klicka på [Appregistreringar] [Ny registrering] i navigeringsmenyn.
[Ny registrering] i navigeringsmenyn.2
Ange namnet på applikationen.
Du kan ange vilket namn som helst.
Inmatningsexempel:
Canon <skrivarnamn> Logga in
Inmatningsexempel:
Canon <skrivarnamn> Logga in
3
Välj typ av konto och tryck på [Registrera].
Applikationens (klient) ID genereras.
Anteckna det genererade ID-numret.
Anteckna det genererade ID-numret.
4
Skapa en hemlighet eller registrera ett certifikat.
När du skapar en hemlighet
1
Klicka på [Certifikat och hemligheter] i navigeringsmenyn.
2
Klicka på [Ny klienthemlighet].
3
I dialogrutan [Lägg till en klienthemlighet] anger du beskrivning och utgångsdatum och klickar på [Lägg till].
Ett hemligt ID och värde skapas.
Anteckna det hemliga värdet som skapades. Du behöver inte det hemliga ID:et.
* Det hemliga värdet visas bara en gång. Om du inte har möjlighet att anteckna värdet kan du skapa en ny klienthemlighet.
Anteckna det hemliga värdet som skapades. Du behöver inte det hemliga ID:et.
* Det hemliga värdet visas bara en gång. Om du inte har möjlighet att anteckna värdet kan du skapa en ny klienthemlighet.
När ett certifikat registreras
Maskinens certifikat måste exporteras i förväg. Du kan exportera certifikatet när Microsoft Entra ID-informationen konfigureras. Information om att registrera autentiseringsserver
1
Klicka på [Certifikat och hemligheter] i navigeringsmenyn.
2
Klicka på [Överför certifikat].
3
Markera filen och klicka på [Lägg till].
När certifikatet har laddats upp ska du notera värdet [Tumavtryck].
5
Klicka på [API-behörigheter] i navigeringsmenyn.
6
Klicka på [Lägg till en behörighet].
7
Under [Begär API-behörigheter] ska du välja [Microsoft Graph].
8
Under typen av behörigheter ska du välja [Delegerade behörigheter] och bevilja behörigheter.
Ge följande behörigheter:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Under typen av behörigheter ska du välja [Programbehörigheter] och bevilja behörigheter.
Ge följande behörigheter:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Använd behörigheter när du inte kan logga in på maskinen på grund av ett multifaktorautentiseringsfel. Det här är inte obligatorisk beroende på vilken funktion och miljö som används.
10
Klicka på [Bekräfta administratörens samtycke] och sedan [Ja].
Administratörssamtycke beviljas för de markerade behörigheterna.