Registro de la información del servidor de autenticación
Cuando utilice Active Directory, un servidor LDAP o Microsoft Entra ID como servidor de autenticación externo, registre la información del servidor que vaya a utilizar.
Registre la información del servidor desde un ordenador mediante la IU remota. No puede usar el panel de control para registrar la información.
Se necesitan privilegios de Administrador. El equipo debe reiniciarse para aplicar la información registrada.
Se necesitan privilegios de Administrador. El equipo debe reiniciarse para aplicar la información registrada.
Preparativos necesarios
Debe configurar las opciones necesarias para utilizar Active Directory, un servidor LDAP o Microsoft Entra ID, como las opciones de DNS y las opciones de fecha y hora.
Prepare las credenciales para acceder a Active Directory, el servidor LDAP o Microsoft Entra ID que desee utilizar.
1
Inicie sesión en la IU remota como administrador. Iniciar la IU remota
2
En la página del portal de la IU remota, haga clic en [Configuración]. Página del portal de la IU remota
3
Haga clic en [Gestión de usuarios] 
[Gestión de autenticación] [Opciones de servidor] [Editar].
[Gestión de autenticación] [Opciones de servidor] [Editar].Aparece la pantalla [Editar opciones de servidor].
4
Configure la información de Active Directory, el servidor LDAP o Microsoft Entra ID en [Servidor de autenticación].
Cuando se obtiene la información de Active Directory automáticamente
1
Marque la casilla [Usar Active Directory].
2
En [Establecer lista de dominios], seleccione [Recuperar automáticamente].
3
Especifique el método de acceso a Active Directory y el número de cachés.
[Usar modo de acceso a los sitios]
Cuando utilice varios servidores de Active Directory, marque esta casilla para asignar la prioridad de acceso al Active Directory dentro del sitio al que pertenece el equipo.
Cambie las opciones de [Intervalo de recuperación de información de sitios] y [Alcance de acceso a los sitios], según sea necesario.
Cambie las opciones de [Intervalo de recuperación de información de sitios] y [Alcance de acceso a los sitios], según sea necesario.
* Incluso cuando se especifica [Solo al sitio al que pertenece el dispositivo] en [Alcance de acceso a los sitios], el equipo puede acceder a sitios fuera del sitio al que pertenece cuando realiza el acceso al controlador de dominio durante el proceso de arranque. En este caso, se suele dar prioridad al acceso a los controladores de dominio dentro del mismo sitio.
Sin embargo, si no se puede acceder a los controladores de dominio dentro del mismo sitio pero sí a los de fuera, se da prioridad al acceso a los controladores de dominio de fuera del sitio.
[Número de cachés para el tique de servicio]
Especifique el número de tiques de servicio que puede contener el equipo.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Especificación manual de la información de Active Directory
1
Marque la casilla [Usar Active Directory].
2
En [Establecer lista de dominios], seleccione [Establecer manualmente].
3
Haga clic en [Gestión de Active Directory] [Aceptar].
[Aceptar].Aparece la pantalla [Gestión de Active Directory].
4
Haga clic en [Agregar dominio].
Aparece la pantalla [Agregar dominio].
5
Especifique la información de Active Directory.
[Nombre de dominio]
Introduzca el nombre de dominio de Active Directory que es el destino de inicio de sesión.
Ejemplo de :
empresa.dominio.com
empresa.dominio.com
[Nombre de NetBIOS]
Introduzca el nombre de dominio de NetBIOS.
[Nombre de host primario o dirección IP]/[Nombre de host secundario o dirección IP]
Introduzca el nombre de host o la dirección IP del servidor de Active Directory.
* Para utilizar un servidor secundario, especifique el servidor en [Nombre de host secundario o dirección IP].
[Nombre de usuario] y [Contraseña]
Introduzca el nombre de usuario y la contraseña que se utilizarán para acceder al servidor de Active Directory y buscar la información de usuario.
[Ubicación para iniciar búsqueda]
Especifique la ubicación (nivel) en el que se buscará la información de usuario cuando se realice la autenticación en el servidor de Active Directory. Si no especifica la posición de inicio de la búsqueda, se buscará toda la información de usuario registrada en el servidor.
6
Especifique los atributos.
[Atributo para establecer para la cuenta de inicio de sesión]
Introduzca los atributos para el nombre de inicio de sesión, el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor.
7
Haga clic en [Prueba de conexión] para probar la conexión.
8
Haga clic en [Agregar].
Se obtiene la información de servidor y se visualiza de nuevo la pantalla [Gestión de Active Directory].
9
Haga clic en [Anterior].
Aparece de nuevo la pantalla [Editar opciones de servidor].
10
Especifique el número de cachés en [Número de cachés para el tique de servicio].
Especifique el número de tiques de servicio que puede contener el equipo.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Especificación de la información del servidor LDAP
1
Marque la casilla [Uso de servidor LDAP].
2
Haga clic en [Gestión de servidores LDAP] [Aceptar].
[Aceptar].Aparece la pantalla [Gestión de servidores LDAP].
3
Haga clic en [Agregar servidor].
Aparece la pantalla [Agregar servidor LDAP].
4
Especifique la información del servidor LDAP.
[Nombre de servidor]
Introduzca el nombre utilizado para identificar el servidor LDAP.
* No utilice el nombre "localhost" No incluya espacios en el nombre del servidor.
[Dirección primaria] y [Dirección secundaria]
Introduzca la dirección IP o nombre de host del servidor LDAP.
Ejemplo de entrada: Nombre de host
Idap.ejemplo.com
Idap.ejemplo.com
* No utilice una dirección de bucle (127.0.0.1).
* Si utiliza un servidor secundario, introduzca la dirección IP o el nombre del host en [Dirección secundaria].
[Puerto]
Introduzca el número de puerto utilizado para la comunicación con el servidor LDAP.
* Si se deja en blanco, se utiliza la siguiente opción según la opción de [Usar TLS]:
Cuando la casilla está seleccionada, "636"
Cuando la casilla no está seleccionada, "389"
[Comentarios]
Introduzca una descripción y notas según sea necesario.
[Usar TLS]
Marque la casilla al utilizar cifrado TLS para la comunicación con el servidor LDAP.
[Usar información de autenticación]
Cuando utilice la información de autenticación para la autenticación del servidor LDAP, marque la casilla e introduzca el nombre de usuario y la contraseña para la autenticación.
Desmarque la casilla para permitir el acceso anónimo al servidor LDAP sin utilizar información de autenticación.
* Solo cuando el servidor LDAP está configurado para permitir el acceso anónimo.
[Punto de inicio de la búsqueda]
Especifique la ubicación (nivel) para buscar información de usuario al realizar la autenticación del servidor LDAP.
5
Especifique los atributos.
[Atributo para verificar durante autenticación]
Introduzca los atributos en los que está registrado el nombre de usuario en [Nombre de usuario (Autenticación mediante teclado)].
[Atributo para establecer para la cuenta de inicio de sesión]
Introduzca los atributos para el nombre de inicio de sesión, el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor.
6
Especifique el nombre de dominio del destino de inicio de sesión en [Método de establecimiento de nombre de dominio].
Para especificar el atributo al que se registra el nombre de dominio, seleccione [Especifique el nombre de atributo para la adquisición del nombre de dominio] e introduzca el atributo.
7
Haga clic en [Prueba de conexión] para probar la conexión.
8
Haga clic en [Agregar].
Se obtiene la información de servidor y se visualiza de nuevo la pantalla [Gestión de servidores LDAP].
9
Haga clic en [Anterior].
Aparece de nuevo la pantalla [Editar opciones de servidor].
Especificación de la información de Microsoft Entra ID
1
Marque la casilla [Usar Microsoft Entra ID].
2
Haga clic en [Configuración del dominio].
Aparece la pantalla [Configuración del dominio de Microsoft Entra ID].
3
Especifique la información de Microsoft Entra ID.
[Nombre de destinación de inicio de sesión]
Introduzca el nombre que se mostrará en el destino de inicio de sesión.
[Nombre de dominio]
Introduzca el nombre de dominio de Microsoft Entra ID que es el destino del inicio de sesión.
[ID de aplicación]
Introduzca el ID de la aplicación (cliente).
[Secreto]
Introduzca el secreto generado por Microsoft Entra ID. No es necesario introducirlo cuando se utiliza [Clave y certificado].
[Clave y certificado]
Haga clic en [Clave y certificado] para establecer el certificado a registrar en Microsoft Entra ID al utilizar una clave y un certificado. Seleccione el certificado para el que el algoritmo clave es RSA 2048 bits o más, y el algoritmo de firma es SHA256, SHA384 o SHA512.
Puede hacer clic en [Exportar certificado] para exportar el certificado a registrar en Microsoft Entra ID.
Puede hacer clic en [Exportar certificado] para exportar el certificado a registrar en Microsoft Entra ID.
[URL de autenticación de Microsoft Entra ID] y [URL API de Microsoft Entra ID]
Introduzca las URL. En función de su entorno de red, es posible que tenga que cambiar la configuración. No tendrá que introducir nada si se utiliza [Secreto].
4
Especifique los atributos.
[Atributo para establecer para la cuenta de inicio de sesión]
[Nombre de inicio sesión]
En el menú desplegables, seleccione el atributo para el nombre de inicio de sesión de cada cuenta de usuario en el servidor.
* Para especificar un atributo que no aparece en el menú desplegable, puede introducirlo directamente.
[WindowsLogonName]:
displayName se obtiene de Microsoft Entra ID. displayName se cambia del modo siguiente para crear el nombre de inicio sesión:
displayName se obtiene de Microsoft Entra ID. displayName se cambia del modo siguiente para crear el nombre de inicio sesión:
Los espacios y los caracteres siguientes se eliminan de displayName: * + , . / : ; < > = ? \ [ ] |.
"@" y los caracteres siguientes se eliminan.
Las cadenas de más de 20 caracteres se recortan a 20 caracteres o menos.
Ejemplo: Si displayName es user.001@ejemplo.com
user001
user001
[displayName]:
displayName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
displayName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
[userPrincipalName]:
userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
[userPrincipalName-Prefix]:
La parte antes de "@" en userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
Ejemplo: Si userPrincipalName es "user.002@mail.test"
user.002
La parte antes de "@" en userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
Ejemplo: Si userPrincipalName es "user.002@mail.test"
user.002
[Mostrar nombre] y [Dirección de e-mail]
Introduzca los atributos para el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor.
5
Especifique el nombre de dominio del destino de inicio de sesión en [Nombre de dominio] en [Nombre de dominio a establecer para la cuenta de inicio de sesión].
6
Especifique las opciones en [Autocompletar para introducir el nombre de usuario cuando se utiliza la autenticación por teclado] en [Nombre de dominio a autocompletar].
Introduzca el nombre del dominio para el que desea que se lleve a cabo autocompletar. Normalmente, se establece el mismo nombre que se introdujo en [Nombre de dominio].
7
Haga clic en [Prueba de conexión] para probar la conexión.
8
Haga clic en [Actualizar].
Aparece de nuevo la pantalla [Editar opciones de servidor].
Introduzca el tiempo de espera desde que comienza la autenticación en Tiempo para autenticación.
6
Especifique el dominio prioritario al que conectarse en [Dominio prefijado].
Especifique si desea conservar la información de autenticación de los usuarios en [Caché para información de usuario].
Para conservar la información de autenticación de los usuarios que han iniciado sesión con el panel de control, seleccione la casilla [Guardar información de autenticación para usuarios de inicio de sesión]. Si el equipo no puede conectarse al servidor de autenticación en el tiempo establecido en el paso 5, puede iniciar la sesión utilizando la información de autenticación guardada en la caché.
Para conservar la información de autenticación de los usuarios que han iniciado sesión con la autenticación mediante teclado, seleccione también la casilla [Guardar información de usuario al usar la autenticación mediante teclado].
Cuando esta casilla esté seleccionada, aunque el equipo no pueda conectarse al servidor, podrá iniciar sesión utilizando la información de autenticación conservada.
Cuando esta casilla esté seleccionada, aunque el equipo no pueda conectarse al servidor, podrá iniciar sesión utilizando la información de autenticación conservada.
8
Especifique la información y los privilegios de usuario en [Asociación de roles].
[Atributo de usuario a examinar]
Introduzca el atributo en el servidor referenciado que se utiliza para determinar los privilegios de usuario (roles). Normalmente, puede utilizar el valor predeterminado de "memberOf", que indica el grupo al que pertenece el usuario.
[Recuperar el nombre de rol a aplicar de [Atributo de usuario a examinar]]
Marque la casilla para utilizar la cadena de caracteres registrada en el atributo especificado en [Atributo de usuario a examinar] para el nombre de rol. Antes de marcar la casilla, compruebe los nombres de rol que se pueden seleccionar en el equipo, y regístrelos en el servidor.
[Condiciones]
Puede establecer las condiciones que determinan los privilegios de usuario. Las condiciones se aplican en el orden en que aparecen en la lista.
En [Criterio de búsqueda], seleccione los criterios de búsqueda para [Cadena de caracteres].
En [Cadena de caracteres], introduzca la cadena de caracteres registrada en el atributo especificado en [Atributo de usuario a examinar]. Para especificar los privilegios sobre la base del grupo al que pertenece el usuario, introduzca el nombre del grupo.
En [Rol], seleccione los privilegios aplicables a los usuarios que cumplan los criterios.
* Cuando se utiliza un servidor de Active Directory, los usuarios que pertenecen al grupo "Administradores periféricos de Canon" se establecen de antemano en [Administrator].
9
Haga clic en [Actlzr.].
10
Reinicie el equipo. Reiniciar el equipo
La información queda registrada.
NOTA
Prohibición del almacenamiento en caché de la información de autenticación
Puede prohibir el almacenamiento en caché de las contraseñas que los usuarios introducen al iniciar sesión en el servidor de autenticación externo. [Prohibir almacenam. de contraseña de autenticación]
Cuando el almacenamiento en caché está prohibido, la opción [Guardar información de autenticación para usuarios de inicio de sesión] del paso 7 se desactiva automáticamente. Para activar la opción en el paso 7seleccione la casilla [Guardar información de autenticación para usuarios de inicio de sesión] y actualice la información del servidor de autenticación.
Si se cambia el número de puerto para Kerberos en Active Directory
Registre la siguiente información en el servidor DNS como un registro SRV:
Servicio: "_kerberos"
Protocolo: "_udp"
Número de puerto: el número de puerto utilizado por el servicio Kerberos del dominio (zona) de Active Directory
Host que ofrece este servicio: nombre del host del controlador del dominio que realmente proporciona el servicio Kerberos del dominio (zona) de Active Directory
Registrar una aplicación en Microsoft Entra ID
Utilice el procedimiento siguiente para registrar una aplicación en Microsoft Entra ID.
El proceso de registro puede cambiar con actualizaciones de servicio. Para obtener más información, consulte el sitio web de Microsoft.
El proceso de registro puede cambiar con actualizaciones de servicio. Para obtener más información, consulte el sitio web de Microsoft.
1
Inicie sesión en Microsoft Entra ID.
2
En el menú de navegación, haga clic en [Microsoft Entra ID].
3
Registre la aplicación.
1
En el menú de navegación, haga clic en [Registros de aplicaciones] [Nuevo registro].
[Nuevo registro].2
Introduzca el nombre de la aplicación.
Puede introducir cualquier nombre.
Ejemplo de entrada:
Inició de sesión <nombre de impresora> Canon
Ejemplo de entrada:
Inició de sesión <nombre de impresora> Canon
3
Seleccione el tipo de cuenta y haga clic en [Registrar].
Se genera el ID de la aplicación (cliente).
Tome nota del ID generado.
Tome nota del ID generado.
4
Cree un secreto o registre un certificado.
Al crear un secreto
1
En el menú de navegación, haga clic en [Certificados y secretos].
2
Haga clic en [Nuevo secreto de cliente].
3
En el cuadro de diálogo [Agregar un secreto de cliente], introduzca la descripción y la fecha de caducidad, y haga clic en [Agregar].
Se crea un ID y un valor del secreto.
Tome nota del valor secreto creado. No necesita el ID del secreto.
* El valor del secreto solo se visualiza una vez. Si no puede tomar nota del valor, cree un nuevo secreto del cliente.
Tome nota del valor secreto creado. No necesita el ID del secreto.
* El valor del secreto solo se visualiza una vez. Si no puede tomar nota del valor, cree un nuevo secreto del cliente.
Al registrar un certificado
El certificado del equipo tiene que exportarse de antemano. Puede exportar el certificado al configurar la información de Microsoft Entra ID. Registro de la información del servidor de autenticación
1
En el menú de navegación, haga clic en [Certificados y secretos].
2
Haga clic en [Cargar certificado].
3
Seleccione el archivo y haga clic en [Agregar].
Después de cargar el certificado, tome nota del valor [Huella digital].
5
En el menú de navegación, haga clic en [Permisos de API].
6
Haga clic en [Agregar un permiso].
7
En [Solicitud de permisos de API], seleccione [Microsoft Graph].
8
Dentro del tipo de permisos, seleccione [Permisos delegados] y otorgue permisos.
Otorgue los permisos siguientes:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Dentro del tipo de permisos, seleccione [Permisos de la aplicación] y otorgue permisos.
Otorgue los permisos siguientes:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Utilice permisos si no puede iniciar sesión en el equipo por un error de la autenticación multifactor. Esto no será necesario en función de la función y el entorno utilizados.
10
Haga clic en [Conceder confirmación de consentimiento del administrador.] y en [Sí].
Se otorga el consentimiento del Administrador para los permisos seleccionados.