Registrieren von Informationen zum Authentifizierungsserver
Wenn Sie ein Active Directory, einen LDAP-Server oder Microsoft Entra ID als externen Authentifizierungsserver verwenden, registrieren Sie die Informationen des zu verwendenden Servers.
Registrieren Sie die Serverinformationen über Remote UI von einem Computer aus.
Sie können die Informationen nicht über das Bedienfeld registrieren. Es sind Administratorrechte erforderlich. Das Gerät muss zur Anwendung der registrierten Informationen neu gestartet werden.
Sie können die Informationen nicht über das Bedienfeld registrieren. Es sind Administratorrechte erforderlich. Das Gerät muss zur Anwendung der registrierten Informationen neu gestartet werden.
Erforderliche Vorbereitungen
Sie müssen die Einstellungen konfigurieren, die für die Verwendung eines Active Directory, LDAP-Servers oder einer Microsoft Entra ID erforderlich sind, wie beispielsweise die DNS-Einstellungen und die Einstellungen für Datum und Uhrzeit.
Bereiten Sie die Berechtigungen für den Zugriff auf das Active Directory, den LDAP-Server oder die Microsoft Entra ID vor, die Sie verwenden möchten.
1
Melden Sie sich bei Remote UI als Administrator an. Starten von Remote UI
2
Klicken Sie auf der Portalseite von Remote UI auf [Einstellungen/Speicherung]. Remote UI-Portalseite
3
Klicken Sie auf [Anwenderverwaltung] 
[Verwaltung Authentisierung] [Einstellungen Server] [Bearbeiten].
[Verwaltung Authentisierung] [Einstellungen Server] [Bearbeiten].Der Bildschirm [Server-Einstellungen bearbeiten] wird angezeigt.
4
Konfigurieren Sie die Informationen zu Active Directory, LDAP-Server oder Microsoft Entra ID unter [Authentisierung Server].
Wenn die Active Directory-Informationen automatisch bezogen werden
1
Aktivieren Sie das Kontrollkästchen [Active Directory verwenden].
2
Wählen Sie in [Domänliste einstellen] die Option [Automatisch erhalten].
3
Geben Sie die Methode für den Zugriff auf Active Directory und die Anzahl der Caches an.
[Zugangsmodus innerhalb der Sites verwenden]
Wenn Sie mehrere Active Directory-Server verwenden, aktivieren Sie dieses Kontrollkästchen, um dem Active Directory innerhalb des Standorts, zu dem das Gerät gehört, Zugriffspriorität zuzuweisen.
Ändern Sie je nach Bedarf die Einstellungen für [Timing für Site-Informationserhalt] und [Zugangsbereich Site].
Ändern Sie je nach Bedarf die Einstellungen für [Timing für Site-Informationserhalt] und [Zugangsbereich Site].
* Auch wenn [Nur Site, zu dem das Gerät gehört] unter [Zugangsbereich Site] angegeben ist, kann das Gerät auf Standorte außerhalb des Standorts, zu dem es gehört, zugreifen, wenn es während des Startvorgangs einen Domänencontrollerzugriff durchführt. In diesem Fall wird dem Zugriff auf Domänencontroller innerhalb desselben Standorts in der Regel Vorrang eingeräumt.
Wenn jedoch auf Domänencontroller innerhalb desselben Standorts nicht zugegriffen werden kann, auf Domänencontroller außerhalb des Standorts jedoch schon, wird dem Zugriff auf Domänencontroller außerhalb des Standorts Vorrang eingeräumt.
[Anzahl Cache für Service-Ticket]
Legen Sie die Anzahl der Service-Tickets fest, die das Gerät aufnehmen kann.
Ein Service-Ticket ist eine Active Directory-Funktion, die als Aufzeichnung einer früheren Anmeldung fungiert, wodurch die Zeit, die derselbe Benutzer für die nächste Anmeldung benötigt, verkürzt wird.
Ein Service-Ticket ist eine Active Directory-Funktion, die als Aufzeichnung einer früheren Anmeldung fungiert, wodurch die Zeit, die derselbe Benutzer für die nächste Anmeldung benötigt, verkürzt wird.
Manuelles Festlegen der Active Directory-Informationen
1
Aktivieren Sie das Kontrollkästchen [Active Directory verwenden].
2
Wählen Sie in [Domänliste einstellen] die Option [Manuell einstellen].
3
Klicken Sie auf [Verwaltung Active Directory] [OK].
[OK].Der Bildschirm [Verwaltung Active Directory] wird angezeigt.
4
Klicken Sie auf [Domän hinzufügen].
Der Bildschirm [Domän hinzufügen] wird angezeigt.
5
Legen Sie die Active Directory-Informationen fest.
[Domänname]
Geben Sie den Domänennamen von Active Directory ein, bei dem es sich um das Anmeldeziel handelt.
Beispiel für eine Eingabe:
company.domain.com
company.domain.com
[Name NetBIOS]
Geben Sie den NetBIOS-Domänennamen ein.
[Name primärer Host oder IP-Adresse] / [Name sekundärer Host oder IP-Adresse]
Geben Sie den Hostnamen oder die IP-Adresse des Active Directory-Servers ein.
* Um einen sekundären Server zu verwenden, geben Sie den Server unter [Name sekundärer Host oder IP-Adresse] an.
[Anwendername] und [Passwort]
Geben Sie den Benutzernamen und das Passwort ein, die für den Zugriff auf den Active Directory-Server und die Suche nach Benutzerinformationen verwendet werden sollen.
[Position des Suchstarts]
Geben Sie den Ort (Ebene) an, an dem nach Benutzerinformationen gesucht werden soll, wenn die Active Directory-Serverauthentifizierung durchgeführt wird. Wenn Sie die Startposition für die Suche nicht angeben, werden alle auf dem Server registrierten Benutzerinformationen durchsucht.
6
Geben Sie die Attribute an.
[Attribut, um Login-Zugang einzustellen]
Geben Sie die Attribute für den Anmeldenamen, den Anzeigenamen und die E-Mail-Adresse für jedes Benutzerkonto auf dem Server ein.
7
Klicken Sie auf [Verbindungstest], um die Verbindung zu testen.
8
Klicken Sie auf [Hinzufügen].
Die Serverinformationen werden hinzugefügt und der Bildschirm [Verwaltung Active Directory] wird wieder angezeigt.
9
Klicken Sie auf [Zurück].
Der Bildschirm [Server-Einstellungen bearbeiten] wird erneut angezeigt.
10
Geben Sie die Anzahl der Caches unter [Anzahl Cache für Service-Ticket] an.
Legen Sie die Anzahl der Service-Tickets fest, die das Gerät aufnehmen kann.
Ein Service-Ticket ist eine Active Directory-Funktion, die als Aufzeichnung einer früheren Anmeldung fungiert, wodurch die Zeit, die derselbe Benutzer für die nächste Anmeldung benötigt, verkürzt wird.
Ein Service-Ticket ist eine Active Directory-Funktion, die als Aufzeichnung einer früheren Anmeldung fungiert, wodurch die Zeit, die derselbe Benutzer für die nächste Anmeldung benötigt, verkürzt wird.
Festlegen der LDAP-Serverinformationen
1
Aktivieren Sie das Kontrollkästchen [LDAP-Server verwenden].
2
Klicken Sie auf [Verwaltung LDAP-Server] [OK].
[OK].Der Bildschirm [Verwaltung LDAP-Server] wird angezeigt.
3
Klicken Sie auf [Server hinzufügen].
Der Bildschirm [LDAP-Server hinzufügen] wird angezeigt.
4
Geben Sie die LDAP-Serverinformationen an.
[Servername]
Geben Sie den Namen ein, der zur Identifizierung des LDAP-Servers verwendet wird.
* Verwenden Sie nicht den Namen "localhost". Verwenden Sie keine Leerzeichen im Servernamen.
[Primäre Adresse] und [Sekundäre Adresse]
Geben Sie die IP-Adresse oder den Hostnamen des LDAP-Servers ein.
Beispiel für eine Eingabe: Hostname
ldap.example.com
ldap.example.com
* Verwenden Sie keine Loopback-Adresse (127.0.0.1).
* Wenn Sie einen sekundären Server verwenden, geben Sie die IP-Adresse oder den Hostnamen unter [Sekundäre Adresse] ein.
[Port]
Geben Sie die Portnummer ein, die für die Kommunikation mit dem LDAP-Server verwendet wird.
* Wenn Sie nichts eingeben, wird die folgende Einstellung entsprechend der Einstellung [TLS verwenden] benutzt:
Wenn das Kontrollkästchen aktiviert ist: "636"
Wenn das Kontrollkästchen deaktiviert ist: "389"
[Kommentare]
Geben Sie bei Bedarf eine Beschreibung und Notizen ein.
[TLS verwenden]
Aktivieren Sie dieses Kontrollkästchen, wenn die TLS-Verschlüsselung für die Kommunikation mit dem LDAP-Server verwendet wird.
[Authentisierungsinformationen verwenden]
Wenn Sie Authentifizierungsinformationen für die LDAP-Server-Authentifizierung verwenden, aktivieren Sie das Kontrollkästchen, und geben Sie den Benutzernamen und das Passwort für die Authentifizierung ein.
Deaktivieren Sie das Kontrollkästchen, um anonymen Zugriff auf den LDAP-Server ohne Authentifizierungsinformationen zu ermöglichen.
* Nur wenn der LDAP-Server so eingestellt ist, dass er anonymen Zugriff zulässt.
[Startpunkt für Suche]
Geben Sie die Position (Ebene) an, um nach Benutzerinformationen zu suchen, sobald die LDAP-Serverauthentifizierung durchgeführt wird.
5
Geben Sie die Attribute an.
[Zu verifizierendes Attribut bei Authentisierung]
Geben Sie die Attribute, für die der Benutzername registriert ist, unter [Anwendername (Tastatur-Authentisierung)] ein.
[Attribut, um Login-Zugang einzustellen]
Geben Sie die Attribute für den Anmeldenamen, den Anzeigenamen und die E-Mail-Adresse für jedes Benutzerkonto auf dem Server ein.
6
Geben Sie den Domänennamen des Anmeldeziels unter [Einstellmethode Domänname] an.
Um das Attribut festzulegen, für das der Domänenname registriert wird, wählen Sie [Attributname für Erhalt des Domännamens definieren], und geben das Attribut ein.
7
Klicken Sie auf [Verbindungstest], um die Verbindung zu testen.
8
Klicken Sie auf [Hinzufügen].
Die Serverinformationen werden hinzugefügt und der Bildschirm [Verwaltung LDAP-Server] wird wieder angezeigt.
9
Klicken Sie auf [Zurück].
Der Bildschirm [Server-Einstellungen bearbeiten] wird erneut angezeigt.
Festlegen der Microsoft Entra ID-Informationen
1
Aktivieren Sie das Kontrollkästchen [Microsoft Entra ID verwenden].
2
Klicken Sie auf [Domäneinstellungen].
Der Bildschirm [Microsoft Entra ID Domäneinstellungen] wird angezeigt.
3
Legen Sie die Microsoft Entra ID-Informationen fest.
[Anmeldungszielname]
Geben Sie den Namen ein, der am Anmeldeziel angezeigt werden soll.
[Domänname]
Geben Sie den Domänennamen von Microsoft Entra ID ein, bei dem es sich um das Anmeldeziel handelt.
[Anwendungs ID]
Geben Sie die ID der Anwendung (Client) ein.
[Geheimnis]
Geben Sie das von Microsoft Entra ID generierte Geheimwort ein. Bei Verwendung von [Schlüssel und Zertifikat] brauchen Sie dies nicht einzugeben.
[Schlüssel und Zertifikat]
Klicken Sie auf [Schlüssel und Zertifikat], um festzulegen, dass das Zertifikat in Microsoft Entra ID registriert wird, wenn Sie einen Schlüssel und ein Zertifikat verwenden. Wählen Sie das Zertifikat aus, für das der Schlüsselalgorithmus RSA 2048 Bit oder mehr und der Signaturalgorithmus SHA256, SHA384 oder SHA512 ist.
Sie können auf [Zertifikat exportieren] klicken, um das Zertifikat zu exportieren, damit es in Microsoft Entra ID registriert wird.
Sie können auf [Zertifikat exportieren] klicken, um das Zertifikat zu exportieren, damit es in Microsoft Entra ID registriert wird.
[Microsoft Login-Anzeige verwenden]
Aktivieren Sie dieses Kontrollkästchen, um den Microsoft-Anmeldebildschirm für die Anmeldung mit mehrstufiger Authentifizierung anzuzeigen, wenn die mehrstufige Authentifizierung mit Microsoft Entra ID aktiviert ist.
Die Einstellung [Browser-Engine] unter [Webzugang] muss auf [WebKit2] gesetzt sein. [Webzugang]
* Wenn [Zeit bis zur automatischen Rückstellung] auf [10] eingestellt ist, wird die automatische Rückstellung möglicherweise ausgeführt, bevor der Anmeldebildschirm angezeigt wird. Ändern Sie in diesem Fall die Zeit für die automatische Rückstellung. [Zeit bis zur automatischen Rückstellung]
[URL Authentisierung Microsoft Entra ID] und [Microsoft Entra ID API-URL]
Geben Sie die URLs ein. Je nach Ihrer Cloud-Umgebung müssen Sie möglicherweise die Einstellungen ändern. Bei der Verwendung von [Geheimnis] müssen Sie dies nicht eingeben.
4
Geben Sie die Attribute an.
[Attribut, um Login-Zugang einzustellen]
[Login-Name]
Wählen Sie aus dem Pulldown-Menü das Attribut für den Anmeldenamen jedes Benutzerkontos auf dem Server.
* Um ein Attribut anzugeben, das nicht im Pulldown-Menü angezeigt wird, können Sie es direkt eingeben.
[WindowsLogonName]:
displayName wird von Microsoft Entra ID bezogen. displayName wird wie folgt geändert, um den Anmeldenamen zu erstellen:
displayName wird von Microsoft Entra ID bezogen. displayName wird wie folgt geändert, um den Anmeldenamen zu erstellen:
Leerzeichen und die folgenden Zeichen werden aus displayName gelöscht: * + , . / : ; < > = ? \ [ ] |.
"@" und alle nachfolgenden Zeichen werden gelöscht.
Zeichenketten mit mehr als 20 Zeichen werden auf 20 Zeichen oder weniger gekürzt.
Beispiel: Wenn displayName user.001@example.com ist
user001
user001
[displayName]:
Der von Microsoft Entra ID erhaltene displayName wird zum Anmeldenamen.
Der von Microsoft Entra ID erhaltene displayName wird zum Anmeldenamen.
[userPrincipalName]:
userPrincipalName aus der Microsoft Entra ID wird zum Anmeldenamen.
userPrincipalName aus der Microsoft Entra ID wird zum Anmeldenamen.
[userPrincipalName-Prefix]:
Der Teil vor dem "@" in userPrincipalName aus der Microsoft Entra ID wird zum Anmeldenamen.
Beispiel: Wenn userPrincipalName "user.002@mail.test" ist
user.002
Der Teil vor dem "@" in userPrincipalName aus der Microsoft Entra ID wird zum Anmeldenamen.
Beispiel: Wenn userPrincipalName "user.002@mail.test" ist
user.002
[Name anzeigen] und [E-Mail-Adresse]
Geben Sie die Attribute für den Anzeigenamen und die E-Mail-Adresse für jedes Benutzerkonto auf dem Server ein.
5
Geben Sie den Domänennamen des Anmeldeziels in [Domänname] unter [Einzustellender Domänname für Anmeldungskonto] an.
6
Geben Sie die Einstellungen in [Automatisches Ausfüllen für Eingabe des Benutzernamens bei Authentisierung über Tastatur] unter [Domänname für automatisches Ausfüllen] an.
Geben Sie den Namen der Domäne ein, für die die automatische Vervollständigung erfolgen soll. Normalerweise wird derselbe Name wie unter [Domänname] verwendet.
7
Klicken Sie auf [Verbindungstest], um die Verbindung zu testen.
8
Klicken Sie auf [Update].
Der Bildschirm [Server-Einstellungen bearbeiten] wird erneut angezeigt.
Geben Sie die Zeit vom Beginn der Authentifizierung bis zum Timeout unter [Timeout Authentisierung] ein.
6
Geben Sie unter [Standarddomän] die Prioritätsdomäne an, mit der eine Verbindung hergestellt werden soll.
Geben Sie an, ob die Authentifizierungsinformationen der Benutzer unter [Cache für Anwenderinformationen] gespeichert werden sollen.
Um die Authentifizierungsinformationen von Benutzern, die sich über das Bedienfeld angemeldet haben, beizubehalten, aktivieren Sie das Kontrollkästchen [Authentisierungsinformationen für Login-Anwender sichern]. Wenn das Gerät innerhalb der in Schritt 5 festgelegten Zeit keine Verbindung zum Authentifizierungsserver herstellen kann, können Sie sich mit den im Cache gespeicherten Authentifizierungsinformationen anmelden.
Um die Authentifizierungsinformationen von Benutzern, die sich mit Tastaturauthentifizierung angemeldet haben, beizubehalten, aktivieren Sie auch das Kontrollkästchen [Anwenderinformationen bei Authentisierung über Tastatur sichern].
Wenn dieses Kontrollkästchen aktiviert ist, können Sie sich mit den beibehaltenen Authentifizierungsinformationen anmelden, auch wenn das Gerät keine Verbindung zum Server herstellen kann.
Wenn dieses Kontrollkästchen aktiviert ist, können Sie sich mit den beibehaltenen Authentifizierungsinformationen anmelden, auch wenn das Gerät keine Verbindung zum Server herstellen kann.
8
Geben Sie die Benutzerinformationen und Rechte unter [Rollen-Assoziation] an.
[Anwenderattribut zum Durchsuchen]
Geben Sie das Attribut auf dem referenzierten Server an, das zur Bestimmung der Benutzerrechte (Rollen) verwendet wird. Normalerweise können Sie den voreingestellten Wert von "memberOf" verwenden, der die Gruppe angibt, zu der der Benutzer gehört.
[Rollenname zum Anwenden von [Anwenderattribut zum Durchsuchen] erhalten]
Aktivieren Sie dieses Kontrollkästchen, um die Zeichenfolge, die für das unter [Anwenderattribut zum Durchsuchen] angegebene Attribut registriert ist, für den Rollennamen zu verwenden. Bevor Sie das Kontrollkästchen aktivieren, überprüfen Sie die Rollennamen, die auf dem Gerät ausgewählt werden können, und registrieren Sie sie auf dem Server.
[Bedingungen]
Sie können die Bedingungen festlegen, um die Benutzerrechte zu bestimmen. Die Bedingungen werden in der Reihenfolge angewendet, in der sie aufgelistet sind.
Wählen Sie unter [Suchkriterien] die Suchkriterien für [Zeichenkette] aus.
Geben Sie unter [Zeichenkette] die Zeichenfolge ein, die für das unter [Anwenderattribut zum Durchsuchen] angegebene Attribut registriert ist. Um die Rechte basierend auf der Gruppe, zu der der Benutzer gehört, festzulegen, geben Sie den Gruppennamen ein.
Wählen Sie unter [Rolle] die Rechte aus, die auf Benutzer angewendet werden sollen, die den Kriterien entsprechen.
* Wenn Sie einen Active Directory-Server verwenden, werden Benutzer, die zur Gruppe "Canon Peripheral Admins" gehören, im Voraus auf [Administrator] gesetzt.
9
Klicken Sie auf [Update].
10
Starten Sie das Gerät neu. Neustarten des Geräts
Die Informationen sind registriert.
HINWEIS
Verhindern der Cache-Speicherung von Authentifizierungsinformationen
Sie können die Cache-Speicherung von Passwörtern verhindern, die Benutzer bei der Anmeldung am externen Authentifizierungsserver eingeben. [Cachen des Authentisierungspasworts verbieten]
Wenn die Cache-Speicherung verhindert wird, wird die Einstellung [Authentisierungsinformationen für Login-Anwender sichern] in Schritt 7 automatisch deaktiviert. Um die Einstellung in Schritt 7 zu aktivieren, aktivieren Sie das Kontrollkästchen [Authentisierungsinformationen für Login-Anwender sichern], und aktualisieren Sie die Informationen zum Authentifizierungsserver.
Wenn die Portnummer für Kerberos auf Active Directory geändert wird
Registrieren Sie die folgenden Informationen beim DNS-Server als SRV-Eintrag:
Dienst: „_kerberos“
Protokoll: „_udp“
Portnummer: Portnummer, die vom Kerberos-Dienst der Active Directory-Domäne (Zone) aktuell verwendet wird
Host, der diesen Dienst anbietet: Hostname des Domänencontrollers, der den Kerberos-Dienst der aktiven Verzeichnisdomäne (Zone) bereitstellt
Registrierung einer Anwendung in Microsoft Entra ID
Gehen Sie wie folgt vor, um eine Anwendung in Microsoft Entra ID zu registrieren.
Der Registrierungsvorgang kann sich bei Dienstaktualisierungen ändern. Weitere Informationen finden Sie auf der Microsoft-Website.
Der Registrierungsvorgang kann sich bei Dienstaktualisierungen ändern. Weitere Informationen finden Sie auf der Microsoft-Website.
1
Melden Sie sich bei Microsoft Entra ID an.
2
Klicken Sie im Navigationsmenü auf [Microsoft Entra ID].
3
Registrieren Sie die Anwendung.
1
Klicken Sie im Navigationsmenü auf [App-Registrierungen] [Neue Registrierung].
[Neue Registrierung].2
Geben Sie den Namen der Anwendung ein.
Sie können einen beliebigen Namen eingeben.
Beispiel für eine Eingabe:
Canon <Druckername> Login
Beispiel für eine Eingabe:
Canon <Druckername> Login
3
Wählen Sie den Kontotyp, und klicken Sie auf [Registrieren].
Die ID der Anwendung (Client) wird generiert.
Notieren Sie sich die generierte ID.
Notieren Sie sich die generierte ID.
4
Erstellen Sie ein Geheimnis oder registrieren Sie ein Zertifikat.
Wenn Sie ein Geheimnis erstellen
1
Klicken Sie im Navigationsmenü auf [Zertifikate & Geheimnisse].
2
Klicken Sie auf [Neuer geheimer Clientschlüssel].
3
Geben Sie im Dialogfeld [Geheimen Clientschlüssel hinzufügen] die Beschreibung und das Ablaufdatum ein, und klicken Sie auf [Hinzufügen].
Es werden eine geheime ID und ein Wert erstellt.
Notieren Sie sich den erstellten geheimen Wert. Sie benötigen die geheime ID nicht.
* Der geheime Wert wird nur einmal angezeigt. Wenn Sie sich den Wert nicht notieren können, erstellen Sie ein neues Client-Geheimnis.
Notieren Sie sich den erstellten geheimen Wert. Sie benötigen die geheime ID nicht.
* Der geheime Wert wird nur einmal angezeigt. Wenn Sie sich den Wert nicht notieren können, erstellen Sie ein neues Client-Geheimnis.
Wenn Sie ein Zertifikat registrieren
Das Zertifikat des Geräts muss im Voraus exportiert werden. Sie können das Zertifikat exportieren, wenn Sie die Microsoft Entra ID-Informationen konfigurieren. Registrieren von Informationen zum Authentifizierungsserver
1
Klicken Sie im Navigationsmenü auf [Zertifikate & Geheimnisse].
2
Klicken Sie auf [Zertifikat hochladen].
3
Wählen Sie die Datei, und klicken Sie auf [Hinzufügen].
Notieren Sie sich nach dem Hochladen des Zertifikats den Wert des [Fingerabdruck].
5
Klicken Sie im Navigationsmenü auf [API-Berechtigungen].
6
Klicken Sie auf [Berechtigung hinzufügen].
7
Wählen Sie unter [API-Berechtigungen anfordern] die Option [Microsoft Graph].
8
Wählen Sie unter der Art der Berechtigungen die Option [Delegierte Berechtigungen] und gewähren Sie die Berechtigungen.
Gewähren Sie die folgenden Berechtigungen:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Wählen Sie unter der Art der Berechtigungen die Option [Anwendungsberechtigungen] und gewähren Sie die Berechtigungen.
Gewähren Sie die folgenden Berechtigungen:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Verwenden Sie die Berechtigungen, wenn Sie sich aufgrund eines Fehlers bei der Multifaktor- Authentisierung nicht am Gerät anmelden können. Dies ist je nach Funktion und Umgebung nicht erforderlich.
10
Klicken Sie auf [Bestätigung der Administratorenwilligung] und dann auf [Ja].
Für die ausgewählten Berechtigungen wird eine Admin-Zustimmung erteilt.