Registrando informações do servidor de autenticação
Quando usar o Active Directory, servidor LDAP ou Microsoft Entra ID como servidor de autenticação externo, registre as informações do servidor a serem usadas.
Registre as informações do servidor usando a UI Remota em um computador. Você não pode usar o painel de controle para registrar informações.
Requer privilégios de administrador. A máquina precisa ser reiniciada para aplicar as informações registradas.
Requer privilégios de administrador. A máquina precisa ser reiniciada para aplicar as informações registradas.
Preparativos necessários
Você deve definir as configurações necessárias para usar um Active Directory, servidor LDAP ou Microsoft Entra ID, tal como as configurações de DNS e de data e hora.
Prepare as credenciais para acessar o Active Directory, o servidor LDAP ou o Microsoft Entra ID que quiser usar.
1
Faça login na UI Remota como administrador. Iniciando a UI Remota
2
Na página do Portal da UI Remota clique em [Settings/Registration]. Página do portal da UI Remota
3
Clique em [User Management] 
[Authentication Management] [Server Settings] [Edit].
[Authentication Management] [Server Settings] [Edit].A tela [Edit Server Settings] é exibida.
4
Configure as informações do Active Directory, servidor LDAP ou Microsoft Entra ID em [Authentication Server].
Ao obter informações do Active Directory automaticamente
1
Marque a caixa de seleção [Use Active Directory].
2
Em [Set Domain List], selecione [Retrieve Automatically].
3
Especifique o método para acessar o Active Directory e o número de caches.
[Use access mode within sites]
Quando usar múltiplos servidores Active Directory, marque esta caixa de seleção para atribuir acesso prioritário ao Active Directory no local ao qual a máquina pertence.
Altere as configurações para [Timing of Site Information Retrieval] e [Site Access Range], conforme o caso.
Altere as configurações para [Timing of Site Information Retrieval] e [Site Access Range], conforme o caso.
* Mesmo quando [Only site to which device belongs] em [Site Access Range] estiver especificado, a máquina pode acessar locais fora de onde ela pertence quando realiza o acesso do controlador de domínio durante a inicialização. Nesse caso, o acesso aos controladores de domínio no mesmo local geralmente recebe prioridade.
Contudo, se os controladores de domínio dentro do mesmo local não podem ser acessados, mas os de fora do local sim, a prioridade está sendo dada ao acesso dos controladores de fora.
[Number of Caches for Service Ticket]
Especifique o número de tickets de serviço que a máquina pode comportar.
Um ticket de serviço é uma função do Active Directory que age como um registro de logins anteriores, o que reduz a quantidade de tempo que o mesmo usuário demorará para fazer login da próxima vez.
Um ticket de serviço é uma função do Active Directory que age como um registro de logins anteriores, o que reduz a quantidade de tempo que o mesmo usuário demorará para fazer login da próxima vez.
Especificando as informações do Active Directory manualmente
1
Marque a caixa de seleção [Use Active Directory].
2
Em [Set Domain List], selecione [Set Manually].
3
Clique em [Active Directory Management] [OK].
[OK].A tela [Active Directory Management] é exibida.
4
Clique em [Add Domain].
A tela [Add Domain] é exibida.
5
Especifique as informações do Active Directory.
[Domain Name]
Insira o nome do domínio do Active Directory que é o destino de login.
Exemplo:
empresa.domínio.com
empresa.domínio.com
[NetBIOS Name]
Insira o nome de domínio NetBIOS.
[Primary Host Name or IP Address] / [Secondary Host Name or IP Address]
Insira o nome do host ou endereço IP do servidor do Active Directory.
* Para usar um servidor secundário, especifique-o m [Secondary Host Name or IP Address].
[User Name] e [Password]
Insira o nome de usuário e senha para acessar o servidor do Active Directory e para pesquisar as informações de usuários.
[Position to Start Search]
Especifique o local (nível) no qual pesquisar informações de usuários quando se realiza a autenticação do servidor do Active Directory. Se não quiser especificar a posição de início da pesquisa, todas as informações registradas no servidor serão pesquisadas.
6
Especifique os atributos.
[Attribute to Set for Login Account]
Insira os atributos para o nome de login, nome de exibição e endereço de e-mail de cada conta de usuário no servidor.
7
Clique em [Connection Test] para testar a conexão.
8
Clique em [Add].
As informações do servidor são adicionadas e a tela [Active Directory Management] é exibida novamente.
9
Clique em [Back].
A tela [Edit Server Settings] é exibida novamente.
10
Especifique o número de caches em [Number of Caches for Service Ticket].
Especifique o número de tickets de serviço que a máquina pode comportar.
Um ticket de serviço é uma função do Active Directory que age como um registro de logins anteriores, o que reduz a quantidade de tempo que o mesmo usuário demorará para fazer login da próxima vez.
Um ticket de serviço é uma função do Active Directory que age como um registro de logins anteriores, o que reduz a quantidade de tempo que o mesmo usuário demorará para fazer login da próxima vez.
Especificando as informações do servidor LDAP
1
Marque a caixa de seleção [Use LDAP server].
2
Clique em [LDAP Server Management] [OK].
[OK].A tela [LDAP Server Management] é exibida.
3
Clique em [Add Server].
A tela [Add LDAP Server] é exibida.
4
Especifique as informações do servidor LDAP.
[Server Name]
Insira o nome usado para identificar o servidor LDAP.
* Não use o nome “localhost”. Não inclua espaços no nome do servidor.
[Primary Address] e [Secondary Address]
Insira o endereço IP ou nome do host do servidor LDAP.
Exemplo: nome de host
ldap.exemplo.com
ldap.exemplo.com
* Não use um endereço de loopback (127.0.0.1).
* Quando usar um servidor secundário, insira o endereço IP ou nome do host em [Secondary Address].
[Port]
Insira o número da porta usada para se comunicar com o servidor LDAP.
* Se for deixado em branco, a seguinte configuração é usada de acordo com [Use TLS]:
Quando a caixa de seleção estiver selecionada, “636”
Quando a caixa de seleção estiver vazia, “389”
[Comments]
Insira uma descrição e notas, se necessário.
[Use TLS]
Marque a caixa de seleção quando usar criptografia TLS em comunicações com o servidor LDAP.
[Use authentication information]
Quando usar as informações de autenticação para o servidor LDAP, marque a caixa de seleção e insira o nome de usuário e senha para a autenticação.
Limpe a caixa de seleção para permitir o acesso anônimo ao servidor LDAP sem usar as informações de autenticação.
* Apenas quando o servidor LDAP está configurado para permitir o acesso anônimo.
[Starting Point for Search]
Especifique o local (nível) da busca por informações do usuário quando a autenticação no servidor LDAP é realizada.
5
Especifique os atributos.
[Attribute to Verify at Authentication]
Insira os atributos aos quais o nome de usuário está registrado em [User Name (Keyboard Authentication)].
[Attribute to Set for Login Account]
Insira os atributos para o nome de login, nome de exibição e endereço de e-mail de cada conta de usuário no servidor.
6
Especifique o nome de domínio do destino de login em [Domain Name Setting Method].
Para especificar o atributo ao qual o nome de domínio está registrado, selecione [Specify the attribute name for domain name acquisition] e insira o atributo.
7
Clique em [Connection Test] para testar a conexão.
8
Clique em [Add].
As informações do servidor são adicionadas e a tela [LDAP Server Management] é exibida novamente.
9
Clique em [Back].
A tela [Edit Server Settings] é exibida novamente.
Especificando as informações do Microsoft Entra ID
1
Marque a caixa de seleção [Use Microsoft Entra ID].
2
Clique em [Domain Settings].
A tela [Microsoft Entra ID Domain Settings] é exibida.
3
Especifique as informações do Microsoft Entra ID.
[Login Destination Name]
Insira o nome a ser exibido no destino de login.
[Domain Name]
Insira o nome do domínio do Microsoft Entra ID que é o destino de login.
[Application ID]
Insira a ID do aplicativo (cliente).
[Secret]
Insira a chave secreta gerada pelo Microsoft Entra ID. Você não precisa inserir isso quando usa [Key and Certificate].
[Key and Certificate]
Clique em [Key and Certificate] para definir o certificado a ser registrado no Microsoft Entra ID ao usar uma chave e certificado. Selecione o certificado para o qual o algoritmo de chave seja RSA 2048 bits ou mais e o algoritmo de assinatura é SHA256, SHA384 ou SHA512.
Você pode clicar em [Export Certificate] para exportar o certificado a ser registrado no Microsoft Entra ID.
Você pode clicar em [Export Certificate] para exportar o certificado a ser registrado no Microsoft Entra ID.
[Use Microsoft Login Screen]
Marque esta caixa de seleção para exibir a tela de login da Microsoft para fazer login na autenticação multifator, quando a autenticação multifator do Microsoft Entra ID estiver habilitada.
* [Browser Engine] em [Web Access] precisa ser configurado como [WebKit2]. [Web Access]
* Quando [Auto Reset Time] está definido como [10] segundos, a função de Redefinição Automática pode ser executada antes da exibição da tela de login. Neste caso, altere o tempo da Redefinição Automática. [Auto Reset Time]
[Microsoft Entra ID Authentication URL] e [Microsoft Entra ID API URL]
Insira os URLs. Dependendo do ambiente de nuvem, talvez seja necessário alterar as configurações. Você não precisa inserir isso quando [Secret] estiver em uso.
4
Especifique os atributos.
[Attribute to Set for Login Account]
[Login Name]
No menu suspenso, selecione o atributo do nome de login de cada conta de usuário no servidor.
* Para especificar um atributo não exibido no menu suspenso, insira-o diretamente.
[WindowsLogonName]:
displayName é obtido do Microsoft Entra ID. displayName é alterado da seguinte maneira para criar o nome de login:
displayName é obtido do Microsoft Entra ID. displayName é alterado da seguinte maneira para criar o nome de login:
Espaços e os caracteres a seguir são exbluídos do displayName: * + , . / : ; < > = ? \ [ ] |.
"@" e quaisquer caracteres subsequentes são excluídos.
Sequências de caracteres que excedem 20 caracteres serão encurtadas para 20 caracteres ou menos.
Exemplo: quando displayName é usário.001@exemplo.com
user001
user001
[displayName]:
displayName obtido do Microsoft Entra ID passa a ser o nome de login.
displayName obtido do Microsoft Entra ID passa a ser o nome de login.
[userPrincipalName]:
userPrincipalName obtido do Microsoft Entra ID passa a ser o nome de login.
userPrincipalName obtido do Microsoft Entra ID passa a ser o nome de login.
[userPrincipalName-Prefix]:
A parte antes do "@" no userPrincipalName obtido do Microsoft Entra ID passa a ser o nome de login.
Exemplo: quando o userPrincipalName é "usuário.002@mail.test"
usuário.002
A parte antes do "@" no userPrincipalName obtido do Microsoft Entra ID passa a ser o nome de login.
Exemplo: quando o userPrincipalName é "usuário.002@mail.test"
usuário.002
[Display Name] e [E-Mail Address]
Insira os atributos do nome de exibição e endereço de e-mail de cada conta de usuário no servidor.
5
Especifique o nome de domínio do destino de login em [Domain Name], em [Domain Name to Set for Login Account].
6
Especifique as configurações em [Autocomplete for Entering User Name When Using Keyboard Authentication] em [Domain Name to Autocomplete].
Insira o nome do domínio para o qual realizar o preenchimento automático. Normalmente, defina o mesmo nome inserido em [Domain Name].
7
Clique em [Connection Test] para testar a conexão.
8
Clique em [Update].
A tela [Edit Server Settings] é exibida novamente.
Em [Authentication Timeout], digite o tempo desde o início da autenticação até o tempo limite.
6
Em [Default Domain], especifique o domínio prioritário com o qual se conectar.
Em [Cache for User Information], especifique se deseja reter as informações de autenticação dos usuários.
Para reter as informações de autenticação de usuários que fazem login com o painel de controle, marque a caixa de seleção [Save authentication information for login users]. Se a máquina não puder se conectar com o servidor de autenticação no tempo estipulado na etapa 5, você pode fazer login usando as informações de autenticação guardadas no cache.
Para reter as informações de autenticação dos usuários que fazem login com a autenticação por teclado, marque também a caixa [Save user information when using keyboard authentication].
Quando essa caixa de seleção está marcada, mesmo se a máquina não puder se conectar com o servidor, você pode fazer login usando as informações de autenticação guardadas.
Quando essa caixa de seleção está marcada, mesmo se a máquina não puder se conectar com o servidor, você pode fazer login usando as informações de autenticação guardadas.
8
Especifique as informações de usuários e privilégios em [Role Association].
[User Attribute to Browse]
Insira o atributo no servidor de referência usado para determinar os privilégios de usuário (função). Normalmente, você pode usar o valor predefinido "memberOf", que indica o grupo do qual o usuário faz parte.
[Retrieve role name to apply from [User Attribute to Browse]]
Marque esta caixa de seleção para usar a cadeia de caracteres registrada no atributo especificado em [User Attribute to Browse] como nome da função. Antes de prosseguir, verifique os nomes das funções que podem ser selecionadas na máquina e registre-as no servidor.
[Conditions]
Você pode configurar as condições para determinar os privilégios do usuário. As condições abaixo são aplicadas na ordem em que são listadas.
Em [Search Criteria], selecione os critérios de busca para [Character String].
Em [Character String], insira a cadeia de caracteres registrada ao atributo especificado em [User Attribute to Browse]. Para configurar os privilégios com base no grupo do qual o usuário faz parte, insira o nome do grupo.
Em [Role], selecione os privilégios que se aplicam a usuários que atendem aos critérios.
* Quando usam um servidor de Active Directory, os usuários que fazem parte do grupo “Canon Peripheral Admins” são predefinidos como [Administrator].
9
Clique em [Update].
10
Reinicie a máquina. Reiniciando a máquina
As informações são registradas.
NOTA
Proibindo armazenar as informações de autenticação no cache
Você pode proibir que as senhas que os usuários inserem no login do servidor de autenticação externo sejam armazenadas no cache. [Prohibit Caching of Authentication Password]
Quando o armazenamento de cache é proibido, o ajuste [Save authentication information for login users] na etapa 7 é desabilitado automaticamente. Para habilitar o ajuste na etapa 7, marque a caixa [Save authentication information for login users] e atualize as informações do servidor de autenticação.
Se o número da porta para Kerberos no Active Directory é alterada
Registre as seguintes informações no servidor de DNS como registro de SRV:
Serviço: "_kerberos"
Protocolo: "_udp"
Número da porta: o número da porta usada atualmente pelo serviço Kerberos do domínio do Active Directory (zona)
Host oferecendo o serviço: o nome do host do controlador de domínio que realmente fornece o serviço Kerberos do domínio do Active Directory (zona)
Registrando um aplicativo no Microsoft Entra ID
Use o procedimento a seguir para registrar um aplicativo no Microsoft Entra ID.
O processo de registro pode ser alterado com as atualizações do serviço. Para obter mais informações, veja o site da Microsoft.
O processo de registro pode ser alterado com as atualizações do serviço. Para obter mais informações, veja o site da Microsoft.
1
Faça login no Microsoft Entra ID.
2
No menu de navegação, clique em [Microsoft Entra ID].
3
Registre o aplicativo.
1
No menu de navegação, clique em [Registros de aplicativo] [Novo registro].
[Novo registro].2
Insira o nome do aplicativo.
Você pode inserir qualquer nome.
Exemplo de entrada:
Canon <nome da impressora> Login
Exemplo de entrada:
Canon <nome da impressora> Login
3
Selecione o tipo de conta e clique em [Registrar].
A ID do aplicativo (cliente) é gerada.
Anote a ID gerada.
Anote a ID gerada.
4
Crie um segredo ou registre um certificado.
Ao criar um segredo
1
No menu de navegação, clique em [Certificados e segredos].
2
Clique em [Novo segredo do cliente].
3
Na caixa de diálogo [Adicionar um segredo de cliente], insira a descrição e a data de expiração, e clique em [Adicionar].
Uma ID secreta e um valor são criados.
Anote o valor secreto criado. Você não precisa da ID secreta.
* O valor secreto é exibido apenas uma vez. Se não puder anotar o valor, crie um novo segredo de cliente.
Anote o valor secreto criado. Você não precisa da ID secreta.
* O valor secreto é exibido apenas uma vez. Se não puder anotar o valor, crie um novo segredo de cliente.
Ao registrar um certificado
O certificado da máquina precisa ser exportado com antecedência. Você pode exportar o certificado ao configurar as informações do Microsoft Entra ID. Registrando informações do servidor de autenticação
1
No menu de navegação, clique em [Certificados e segredos].
2
Clique em [Carregar certificado].
3
Selecione o arquivo e clique em [Adicionar].
Após o certificado ser carregado, anote o valor da [Impressão Digital].
5
No menu de navegação, clique em [Permissões de APIs].
6
Clique em [Adicionar uma permissão].
7
Em [Solicitar permissões de API], selecione [Microsoft Graph].
8
No tipo de permissões, selecione [Permissões delegadas] e conceda as permissões.
Conceda as seguintes permissões:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
No tipo de permissões, selecione [Permissões de aplicativo] e conceda as permissões.
Conceda as seguintes permissões:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Use permissões quando não puder fazer login na máquina devido a um erro de autenticação multifator. Isso não é necessário dependendo da função e do ambiente usado.
10
Clique em [Conceda a confirmação de consentimento do administrador.] e depois em [Sim].
O consentimento de administrador é concedido às permissões selecionadas.