Todennuspalvelimen tietojen rekisteröinti
Kun käytät Active Directorya, LDAP-palvelinta tai Microsoft Entra ID:tä ulkoisena todennuspalvelimena, rekisteröi käytettävän palvelimen tiedot.
Rekisteröi palvelimen tiedot Remote UI (Etäkäyttöliittymä) -sovelluksen avulla tietokoneella. Näiden tietojen rekisteröinti ei ole mahdollista käyttöpaneelin avulla.
Pääkäyttäjän oikeudet edellytetään. Laite täytyy käynnistää uudelleen rekisteröinnin käyttöön ottamiseksi.
Pääkäyttäjän oikeudet edellytetään. Laite täytyy käynnistää uudelleen rekisteröinnin käyttöön ottamiseksi.
Valmistelut
Sinun on määritettävä Active Directoryn, LDAP-palvelimen tai Microsoft Entra ID:n käyttöä varten tarvittavat asetukset, kuten DNS-asetukset sekä päivämäärä- ja aika-asetukset.
Valmistele valtuustiedot, joilla voit käyttää haluamaasi Active Directorya, LDAP-palvelinta tai Microsoft Entra ID:tä.
1
Kirjaudu Remote UI (Etäkäyttöliittymä) -sovellukseen pääkäyttäjänä. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistys
2
Valitse Remote UI (Etäkäyttöliittymä) -portaalisivulla [Settings/Registration]. Remote UI (Etäkäyttöliittymä) -sovelluksen portaalisivu
3
Valitse [User Management] 
[Authentication Management] [Server Settings] [Edit].
[Authentication Management] [Server Settings] [Edit].[Edit Server Settings]-näyttö avautuu.
4
Määritä Active Directoryn, LDAP-palvelimen tai Microsoft Entra ID:n tiedot kohdassa [Authentication Server].
Active Directoryn tietojen hakeminen automaattisesti
1
Merkitse valintaruutu [Use Active Directory].
2
Valitse kohdassa [Set Domain List] vaihtoehto [Retrieve Automatically].
3
Määritä Active Directoryn käyttötapa ja välimuistien määrä.
[Use access mode within sites]
Kun käytät useita Active Directory -palvelimia, valitse tämä valintaruutu, jos haluat määrittää käyttöoikeuden prioriteetin sille Active Directorylle, joka sijaitsee alueella, johon laite kuuluu.
Muuta [Timing of Site Information Retrieval]- ja [Site Access Range] -asetukset tarpeen mukaan.
Muuta [Timing of Site Information Retrieval]- ja [Site Access Range] -asetukset tarpeen mukaan.
* Vaikka [Only site to which device belongs] -asetus kohdassa [Site Access Range] on määritetty, laite saattaa käyttää oman alueensa ulkopuolella olevia alueita, kun toimialueen valvojaa käytetään käynnistysprosessin aikana. Tässä tapauksessa pääsy saman alueen toimialueen valvojiin on yleensä etusijalla.
Poikkeuksena ovat tilanteet, joissa saman alueen toimialueen valvojia ei voi käyttää, mutta alueen ulkopuolisia toimialueen valvojia voi käyttää, jolloin etusijalle asetetaan alueen ulkopuolella olevat toimialueen valvojat.
[Number of Caches for Service Ticket]
Määritä palvelulippujen määrä, jonka laite voi käsitellä.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
Active Directoryn tietojen määrittäminen manuaalisesti
1
Merkitse valintaruutu [Use Active Directory].
2
Valitse kohdassa [Set Domain List] vaihtoehto [Set Manually].
3
Valitse [Active Directory Management] [OK].
[OK].[Active Directory Management]-näyttö avautuu.
4
Valitse [Add Domain].
[Add Domain]-näyttö avautuu.
5
Määritä Active Directoryn tiedot.
[Domain Name]
Lisää kirjautumiskohteena olevan Active Directoryn toimialueen nimi.
Esimerkkisyöte:
company.domain.com
company.domain.com
[NetBIOS Name]
Kirjoita NetBIOS-toimialueen nimi.
[Primary Host Name or IP Address] / [Secondary Host Name or IP Address]
Kirjoita Active Directory -palvelimen isäntänimi tai IP-osoite.
* Jos haluat käyttää toissijaista palvelinta, määritä palvelin kohdassa [Secondary Host Name or IP Address].
[User Name] ja [Password]
Anna käyttäjänimi ja salasana, joita käytetään Active Directory -palvelimen käyttämiseen ja käyttäjätietojen etsimiseen.
[Position to Start Search]
Määritä sijainti (taso), josta käyttäjätietoja haetaan, kun Active Directory -palvelintodennus suoritetaan. Jos et määritä haun aloituskohtaa, kaikki palvelimelle rekisteröidyt käyttäjätiedot haetaan.
6
Määritä ominaistiedot.
[Attribute to Set for Login Account]
Anna tiedot koskien jokaisen palvelimella olevan käyttäjän kirjautumisnimeä, näyttönimeä ja sähköpostiosoitetta.
7
Testaa yhteyttä napsauttamalla [Connection Test].
8
Valitse [Add].
Palvelintiedot lisätään ja esiin tulee jälleen näkymä [Active Directory Management].
9
Valitse [Back].
[Edit Server Settings] -näyttö avautuu uudelleen.
10
Määritä välimuistien määrä kohdassa [Number of Caches for Service Ticket].
Määritä palvelulippujen määrä, jonka laite voi käsitellä.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
Palvelulippu on Active Directoryn toiminto, joka kirjaa tiedon edellisestä sisäänkirjautumisesta, jolloin sama käyttäjä kirjautuu sisään seuraavalla kerralla nopeammin.
LDAP-palvelimen tietojen määrittäminen
1
Merkitse valintaruutu [Use LDAP server].
2
Valitse [LDAP Server Management] [OK].
[OK].[LDAP Server Management]-näyttö avautuu.
3
Valitse [Add Server].
[Add LDAP Server]-näyttö avautuu.
4
Määritä LDAP-palvelimen tiedot.
[Server Name]
Syötä nimi, jolla LDAP-palvelin tunnistetaan.
* Älä käytä nimeä "localhost". Älä lisää välilyöntejä palvelimen nimeen.
[Primary Address] ja [Secondary Address]
Lisää LDAP-palvelimen IP-osoite tai isäntänimi.
Syöttöesimerkki: Isäntänimi
ldap.esimerkki.com
ldap.esimerkki.com
* Älä käytä silmukkaosoitetta (127.0.0.1).
* Jos käytät toissijaista palvelinta, määritä IP-osoite tai isäntänimi kohdassa [Secondary Address].
[Port]
Syötä LDAP-palvelimen kanssa liikennöitäessä käytettävän portin numero.
* Jos tämä jätetään tyhjäksi, seuraavaa asetusta käytetään asetuksen [Use TLS] mukaisesti:
Kun valintaruutu on valittuna, "636"
Kun valintaruutua ei ole valittu, "389"
[Comments]
Anna kuvaus ja huomautuksia tarpeen mukaan.
[Use TLS]
Valitse tämä valintaruutu, kun TLS-salausta käytetään liikennöintiin LDAP-palvelimen kanssa.
[Use authentication information]
Kun käytät todennustietoja LDAP-palvelimen todentamiseen, valitse valintaruutu ja anna todennusta varten käyttäjänimi ja salasana.
Tyhjennä valintaruutu, jos haluat sallia anonyymin pääsyn LDAP-palvelimeen käyttämättä todennustietoja.
* Vain jos LDAP-palvelin on asetettu sallimaan anonyymi pääsy.
[Starting Point for Search]
Määritä sijainti (taso) kun haetaan käyttäjätietoja kun suoritetaan LDAP-palvelinautentikointi.
5
Määritä ominaistiedot.
[Attribute to Verify at Authentication]
Anna määritteet, joihin käyttäjänimi on rekisteröity, kohdassa [User Name (Keyboard Authentication)].
[Attribute to Set for Login Account]
Anna tiedot koskien jokaisen palvelimella olevan käyttäjän kirjautumisnimeä, näyttönimeä ja sähköpostiosoitetta.
6
Määritä kirjautumiskohteen toimialueen nimi kohdassa [Domain Name Setting Method].
Määritä määrite, johon verkkotunnus on rekisteröity, valitsemalla [Specify the attribute name for domain name acquisition] ja kirjoittamalla määrite.
7
Testaa yhteyttä napsauttamalla [Connection Test].
8
Valitse [Add].
Palvelintiedot lisätään ja esiin tulee jälleen näkymä [LDAP Server Management].
9
Valitse [Back].
[Edit Server Settings] -näyttö avautuu uudelleen.
Microsoft Entra ID -tietojen määrittäminen
1
Merkitse valintaruutu [Use Microsoft Entra ID].
2
Valitse [Domain Settings].
[Microsoft Entra ID Domain Settings]-näyttö avautuu.
3
Määritä Microsoft Entra ID -tiedot.
[Login Destination Name]
Anna nimi, joka näytetään kirjautumiskohteessa.
[Domain Name]
Kirjoita kirjautumiskohteena olevan Microsoft Entra ID:n toimialueen nimi.
[Application ID]
Anna sovelluksen (asiakkaan) tunnus.
[Secret]
Anna Microsoft Entra ID:n luoma salaisuus. Sinun ei tarvitse antaa tätä, kun [Key and Certificate] on käytössä.
[Key and Certificate]
Käyttäessäsi avainta ja varmennetta, aseta Microsoft Entra ID:lle rekisteröitävä varmenne napsauttamalla [Key and Certificate]. Valitse varmenne, jolle avaimen algoritmi on vähintään RSA 2 048 bittiä ja allekirjoitusalgoritmi on SHA256, SHA384 tai SHA512.
Voit suorittaa Microsoft Entra ID:lle rekisteröitävän varmenteen viennin napsauttamalla [Export Certificate].
Voit suorittaa Microsoft Entra ID:lle rekisteröitävän varmenteen viennin napsauttamalla [Export Certificate].
[Microsoft Entra ID Authentication URL] ja [Microsoft Entra ID API URL]
Anna URL-osoitteet. Joissakin pilvipalveluympäristöissä asetusta voi joutua muuttamaan. Tätä ei tarvitse antaa, kun käytössä on [Secret].
4
Määritä ominaistiedot.
[Attribute to Set for Login Account]
[Login Name]
Valitse avattavasta valikosta määrite kunkin palvelimen käyttäjätilin kirjautumisnimelle.
* Voit määrittää määritteen, jota ei löydy avattavasta valikosta, syöttämällä sen suoraan.
[WindowsLogonName]:
displayName on saatu Microsoft Entra ID:stä. displayName muutetaan seuraavalla tavalla kirjautumisnimen luomiseksi:
displayName on saatu Microsoft Entra ID:stä. displayName muutetaan seuraavalla tavalla kirjautumisnimen luomiseksi:
Välilyönnit ja seuraavat merkit poistetaan displayNamesta: * + , . / : ; < > = ? \ [ ] |.
@ ja kaikki sitä seuraavat merkit poistetaan.
Yli 20 merkin pituiset merkkijonot lyhennetään enintään 20 merkkiin.
Esimerkki: Kun displayName on user.001@example.com
user001
user001
[displayName]:
displayNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
displayNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
[userPrincipalName]:
userPrincipalNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
userPrincipalNamesta, joka on saatu Microsoft Entra ID:stä, tulee kirjautumisnimi.
[userPrincipalName-Prefix]:
Microsoft Entra ID:stä saadun userPrincipalNamen @-merkkiä edeltävästä osasta tulee kirjautumisnimi.
Esimerkki: Kun userPrincipalName on user.002@mail.test
user.002
Microsoft Entra ID:stä saadun userPrincipalNamen @-merkkiä edeltävästä osasta tulee kirjautumisnimi.
Esimerkki: Kun userPrincipalName on user.002@mail.test
user.002
[Display Name] ja [E-Mail Address]
Anna määritteet jokaiselle palvelimella olevan käyttäjän näyttönimelle ja sähköpostiosoitteelle.
5
Määritä kirjautumiskohteen toimialueen nimi kohdassa [Domain Name] kohdan [Domain Name to Set for Login Account] alla.
6
Määritä asetukset kohdassa [Autocomplete for Entering User Name When Using Keyboard Authentication] kohdan [Domain Name to Autocomplete] alla.
Syötä sen toimialueen nimi, johon ennakoivaa syöttöä käytetään. Yleensä annetaan sama nimi, joka annettiin kohdassa [Domain Name].
7
Testaa yhteyttä napsauttamalla [Connection Test].
8
Valitse [Update].
[Edit Server Settings] -näyttö avautuu uudelleen.
Syötä aika tiedonsiirron alusta aikakatkaisuun kohdassa [Authentication Timeout].
6
Määritä ensisijainen verkkotunnus, johon muodostetaan yhteys, kohdassa [Default Domain].
Määritä, säilytetäänkö käyttäjien todennustiedot kohdassa [Cache for User Information].
Jos haluat säilyttää ohjauspaneelilla sisäänkirjautuneiden käyttäjien todennustiedot, valitse [Save authentication information for login users] -valintaruutu. Jos laite ei pysty muodostamaan yhteyttä todennuspalvelimeen siinä ajassa, joka asetettiin vaiheessa 5, voit kirjautua sisään käyttämällä välimuistissa olevia todennustietoja.
Jos haluat säilyttää näppäimistötodennuksen avulla kirjautuneiden käyttäjien todennustiedot, valitse myös [Save user information when using keyboard authentication] -valintaruutu.
Kun tämä valintaruutu on valittuna, voit kirjautua sisään käyttämällä säilytettyjä todennustietoja, vaikka laite ei pystyisikään muodostamaan yhteyttä palvelimeen.
Kun tämä valintaruutu on valittuna, voit kirjautua sisään käyttämällä säilytettyjä todennustietoja, vaikka laite ei pystyisikään muodostamaan yhteyttä palvelimeen.
8
Määritä käyttäjätiedot ja oikeudet kohdassa [Role Association].
[User Attribute to Browse]
Syötä viitatulla palvelimella oleva määrite, jota käytetään käyttäjien oikeuksien (roolien) määrittämiseen. Yleensä voit käyttää esiasetettua arvoa memberOf, joka ilmaisee ryhmän, johon käyttäjä kuuluu.
[Retrieve role name to apply from [User Attribute to Browse]]
Valitse tämä valintaruutu, jos haluat käyttää roolinimenä merkkijonoa, joka rekisteröitiin kohdassa [User Attribute to Browse] määritettyyn määritteeseen. Ennen valintaruudun valitsemista, tarkista roolinimet, jotka voidaan valita laitteessa, ja rekisteröi ne palvelimelle.
[Conditions]
Voit asettaa ehdot, jotka määrittävät oikeudet. Ehtoja sovelletaan siinä järjestyksessä, jossa ne on lueteltu.
Valitse hakuehto kohteelle [Search Criteria] kohdassa [Character String].
Anna kohdassa [Character String] merkkijono, joka rekisteröitiin kohdassa [User Attribute to Browse] määritettyyn määritteeseen. Määrittääksesi oikeudet sen perusteella, mihin ryhmään käyttäjä kuuluu, syötä ryhmän nimi.
Valitse oikeudet, jotka soveltuvat ehdot täyttäviin käyttäjiin, kohdassa [Role].
* Active Directory -palvelinta käytettäessä Canonin oheislaitteiden järjestelmänvalvojat -ryhmään kuuluville käyttäjille on asetettu etukäteen rooli [Administrator].
9
Valitse [Update].
10
Käynnistä laite uudelleen. Laitteen uudelleenkäynnistys
Tiedot on rekisteröity.
HUOMAUTUS
Todennustietojen tallentamisen välimuistiin estäminen
Voit estää salasanojen, jotka käyttäjät antavat kirjautuessaan ulkoiseen todennuspalvelimeen, tallentamisen välimuistiin. [Kiellä autentikointisalasanan tallennus välimuistiin]
Kun välimuistiin tallentaminen on kielletty, [Save authentication information for login users] -asetus vaiheessa 7 poistetaan automaattisesti käytöstä. Voit ottaa asetuksen käyttöön vaiheessa 7 valitsemalla [Save authentication information for login users] -valintaruudun ja päivittämällä todennuspalvelimen tiedot.
Jos Kerberosin porttinumero Active Directoryssa muutetaan
Rekisteröi seuraavat tiedot DNS-palvelimelle SRV-tietueena:
Palvelu: "_kerberos"
Protokolla: "_udp"
Porttinumero: Active Directoryn toimialueen (vyöhykkeen) Kerberos-palvelun käyttämä porttinumero
Tämän palvelun tarjoava isäntä: Sen toimialueen valvojan isäntänimi, joka tarjoaa Active Directoryn toimialueen (vyöhykkeen) Kerberos-palvelun
Sovelluksen rekisteröiminen Microsoft Entra ID:ssä
Rekisteröi sovellus Microsoft Entra ID:ssä seuraavasti.
Rekisteröintiprosessi voi muuttua palvelupäivitysten myötä. Lisätietoja on Microsoftin sivuilla.
Rekisteröintiprosessi voi muuttua palvelupäivitysten myötä. Lisätietoja on Microsoftin sivuilla.
1
Kirjaudu sisään Microsoft Entra ID:hen.
2
Napsauta siirtymisvalikossa [Microsoft Entra ID].
3
Rekisteröi sovellus.
1
Valitse siirtymisvalikossa [App registrations] [New registration].
[New registration].2
Anna sovelluksen nimi.
Voit antaa minkä tahansa nimen.
Syöte-esimerkki:
Canon <tulostimen nimi> Kirjautuminen
Syöte-esimerkki:
Canon <tulostimen nimi> Kirjautuminen
3
Valitse tilityyppi ja valitse [Register].
Sovelluksen (asiakkaan) tunnus luodaan.
Kirjoita luotu tunnus muistiin.
Kirjoita luotu tunnus muistiin.
4
Luo salaisuus tai rekisteröi varmenne.
Salaisuuden luominen
1
Napsauta siirtymisvalikossa [Certificates & secrets].
2
Valitse [New client secret].
3
Kirjoita [Add a client secret]-valintaikkunaan kuvaus ja viimeinen voimassaolopäivä ja valitse [Lisää].
Salauksen tunnus ja arvo luodaan.
Kirjoita luotu salauksen arvo muistiin. Et tarvitse salauksen tunnusta.
* Salauksen arvo näytetään vain kerran. Jos et pysty merkitsemään arvoa muistiin, luo uusi asiakassalaisuus.
Kirjoita luotu salauksen arvo muistiin. Et tarvitse salauksen tunnusta.
* Salauksen arvo näytetään vain kerran. Jos et pysty merkitsemään arvoa muistiin, luo uusi asiakassalaisuus.
Varmenteen rekisteröiminen
Laitteen varmenne on vietävä etukäteen. Voit viedä varmenteen, kun määrität Microsoft Entra ID -tietoja. Todennuspalvelimen tietojen rekisteröinti
1
Napsauta siirtymisvalikossa [Certificates & secrets].
2
Valitse [Upload certificate].
3
Valitse tiedostomuoto ja valitse [Lisää].
Kun varmenne on ladattu, merkitse arvo [Thumbprint] muistiin.
5
Napsauta siirtymisvalikossa [API permissions].
6
Valitse [Add a permissions].
7
Valitse [Request API permissions] kohdassa [Microsoft Graph].
8
Valitse käyttöoikeuksien tyypin alta [Delegated permissions] ja myönnä käyttöoikeudet.
Myönnä seuraavat käyttöoikeudet:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Valitse käyttöoikeuksien tyypin alta [Application permissions] ja myönnä käyttöoikeudet.
Myönnä seuraavat käyttöoikeudet:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Käytä käyttöoikeuksia, kun et voi kirjautua sisään laitteelle, koska monimenetelmäisessä todentamisessa tapahtui virhe. Tätä ei vaadita käytetystä toiminnosta ja ympäristöstä riippuen.
10
Napsauta [Grant admin consent confirmation] ja sitten [Yes].
Järjestelmänvalvojan suostumus myönnetään valituille käyttöoikeuksille.