Registro de la información del servidor de autenticación
Cuando use un Active Directory, un servidor LDAP, Microsoft Entra ID o Google Workspace como servidor de autenticación externo, registre la información del servidor que va a usar.
Registre la información del servidor desde un ordenador mediante la IU remota. No puede usar el panel de control para registrar la información.
Se necesitan privilegios de Administrador. El equipo debe reiniciarse para aplicar la información registrada.
Se necesitan privilegios de Administrador. El equipo debe reiniciarse para aplicar la información registrada.
Preparativos necesarios
Debe configurar los ajustes necesarios para usar un Active Directory, un servidor LDAP, Microsoft Entra ID o Google Workspace, como los ajustes DNS y los ajustes de fecha y hora.
Prepare las credenciales para acceder al Active Directory, servidor LDAP, Microsoft Entra ID o Google Workspace que desee usar.
Al configurar la información de Google Workspace, el [Motor de navegador] en [Acceso a Internet] debe establecerse en [WebKit2]. [Acceso a Internet]
1
Inicie sesión en la IU remota como administrador. Iniciar la IU remota
2
En la página del portal de la IU remota, haga clic en [Configuración]. Página del portal de la IU remota
3
Haga clic en [Gestión de usuarios] 
[Gestión de autenticación] [Opciones de servidor] [Editar].
[Gestión de autenticación] [Opciones de servidor] [Editar].Aparece la pantalla [Editar opciones de servidor].
4
Configure la información de Active Directory, el servidor LDAP, Microsoft Entra ID o Google Workspace en [Servidor de autenticación].
Cuando se obtiene la información de Active Directory automáticamente
1
Marque la casilla [Usar Active Directory].
2
En [Establecer lista de dominios], seleccione [Recuperar automáticamente].
3
Especifique el método de acceso a Active Directory y el número de cachés.
[Usar modo de acceso a los sitios]
Cuando utilice varios servidores de Active Directory, marque esta casilla para asignar la prioridad de acceso al Active Directory dentro del sitio al que pertenece el equipo.
Cambie las opciones de [Intervalo de recuperación de información de sitios] y [Alcance de acceso a los sitios], según sea necesario.
Cambie las opciones de [Intervalo de recuperación de información de sitios] y [Alcance de acceso a los sitios], según sea necesario.
* Incluso cuando se especifica [Solo al sitio al que pertenece el dispositivo] en [Alcance de acceso a los sitios], el equipo puede acceder a sitios fuera del sitio al que pertenece cuando realiza el acceso al controlador de dominio durante el proceso de arranque. En este caso, se suele dar prioridad al acceso a los controladores de dominio dentro del mismo sitio.
Sin embargo, si no se puede acceder a los controladores de dominio dentro del mismo sitio pero sí a los de fuera, se da prioridad al acceso a los controladores de dominio de fuera del sitio.
[Número de cachés para el tique de servicio]
Especifique el número de tiques de servicio que puede contener el equipo.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Especificación manual de la información de Active Directory
1
Marque la casilla [Usar Active Directory].
2
En [Establecer lista de dominios], seleccione [Establecer manualmente].
3
Haga clic en [Gestión de Active Directory] [Aceptar].
[Aceptar].Aparece la pantalla [Gestión de Active Directory].
4
Haga clic en [Agregar dominio].
Aparece la pantalla [Agregar dominio].
5
Especifique la información de Active Directory.
[Nombre de dominio]
Introduzca el nombre de dominio de Active Directory que es el destino de inicio de sesión.
Ejemplo de :
empresa.dominio.com
empresa.dominio.com
[Nombre de NetBIOS]
Introduzca el nombre de dominio de NetBIOS.
[Nombre de host primario o dirección IP]/[Nombre de host secundario o dirección IP]
Introduzca el nombre de host o la dirección IP del servidor de Active Directory.
* Para utilizar un servidor secundario, especifique el servidor en [Nombre de host secundario o dirección IP].
[Nombre de usuario] y [Contraseña]
Introduzca el nombre de usuario y la contraseña que se utilizarán para acceder al servidor de Active Directory y buscar la información de usuario.
[Ubicación para iniciar búsqueda]
Especifique la ubicación (nivel) en el que se buscará la información de usuario cuando se realice la autenticación en el servidor de Active Directory. Si no especifica la posición de inicio de la búsqueda, se buscará toda la información de usuario registrada en el servidor.
6
Especifique los atributos.
[Atributo para establecer para la cuenta de inicio de sesión]
Introduzca los atributos para el nombre de inicio de sesión, el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor.
7
Haga clic en [Prueba de conexión] para probar la conexión.
8
Haga clic en [Agregar].
Se obtiene la información de servidor y se visualiza de nuevo la pantalla [Gestión de Active Directory].
9
Haga clic en [Anterior].
Aparece de nuevo la pantalla [Editar opciones de servidor].
10
Especifique el número de cachés en [Número de cachés para el tique de servicio].
Especifique el número de tiques de servicio que puede contener el equipo.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Un tique de servicio es una función de Active Directory que hace las veces de registro de un inicio de sesión anterior, lo que reduce el tiempo que tardará el mismo usuario en iniciar una sesión la próxima vez.
Especificación de la información del servidor LDAP
1
Marque la casilla [Uso de servidor LDAP].
2
Haga clic en [Gestión de servidores LDAP] [Aceptar].
[Aceptar].Aparece la pantalla [Gestión de servidores LDAP].
3
Haga clic en [Agregar servidor].
Aparece la pantalla [Agregar servidor LDAP].
4
Especifique la información del servidor LDAP.
[Nombre de servidor]
Introduzca el nombre utilizado para identificar el servidor LDAP.
* No utilice el nombre "localhost" No incluya espacios en el nombre del servidor.
[Dirección primaria] y [Dirección secundaria]
Introduzca la dirección IP o nombre de host del servidor LDAP.
Ejemplo de entrada: Nombre de host
Idap.ejemplo.com
Idap.ejemplo.com
* No utilice una dirección de bucle (127.0.0.1).
* Si utiliza un servidor secundario, introduzca la dirección IP o el nombre del host en [Dirección secundaria].
[Puerto]
Introduzca el número de puerto utilizado para la comunicación con el servidor LDAP.
* Si se deja en blanco, se utiliza la siguiente opción según la opción de [Usar TLS]:
Cuando la casilla está seleccionada, "636"
Cuando la casilla no está seleccionada, "389"
[Comentarios]
Introduzca una descripción y notas según sea necesario.
[Usar TLS]
Marque la casilla al utilizar cifrado TLS para la comunicación con el servidor LDAP.
[Usar información de autenticación]
Cuando utilice la información de autenticación para la autenticación del servidor LDAP, marque la casilla e introduzca el nombre de usuario y la contraseña para la autenticación.
Desmarque la casilla para permitir el acceso anónimo al servidor LDAP sin utilizar información de autenticación.
* Solo cuando el servidor LDAP está configurado para permitir el acceso anónimo.
[Punto de inicio de la búsqueda]
Especifique la ubicación (nivel) para buscar información de usuario al realizar la autenticación del servidor LDAP.
5
Especifique los atributos.
[Atributo para verificar durante autenticación]
Introduzca los atributos en los que está registrado el nombre de usuario en [Nombre de usuario (Autenticación mediante teclado)].
[Atributo para establecer para la cuenta de inicio de sesión]
Introduzca los atributos para el nombre de inicio de sesión, el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor.
6
Especifique el nombre de dominio del destino de inicio de sesión en [Método de establecimiento de nombre de dominio].
Para especificar el atributo al que se registra el nombre de dominio, seleccione [Especifique el nombre de atributo para la adquisición del nombre de dominio] e introduzca el atributo.
7
Haga clic en [Prueba de conexión] para probar la conexión.
8
Haga clic en [Agregar].
Se obtiene la información de servidor y se visualiza de nuevo la pantalla [Gestión de servidores LDAP].
9
Haga clic en [Anterior].
Aparece de nuevo la pantalla [Editar opciones de servidor].
Especificación de la información de Microsoft Entra ID
1
Marque la casilla [Usar Microsoft Entra ID].
2
Haga clic en [Configuración del dominio].
Aparece la pantalla [Configuración del dominio de Microsoft Entra ID].
3
Especifique la información de Microsoft Entra ID.
[Nombre de destinación de inicio de sesión]
Introduzca el nombre que se mostrará en el destino de inicio de sesión.
[Nombre de dominio]
Introduzca el nombre de dominio de Microsoft Entra ID que es el destino del inicio de sesión.
[ID de aplicación]
Introduzca el ID de la aplicación (cliente).
[Secreto]
Introduzca el secreto generado por Microsoft Entra ID. No es necesario introducirlo cuando se utiliza [Clave y certificado].
[Clave y certificado]
Haga clic en [Clave y certificado] para establecer el certificado a registrar en Microsoft Entra ID al utilizar una clave y un certificado. Seleccione el certificado para el que el algoritmo clave es RSA 2048 bits o más, y el algoritmo de firma es SHA256, SHA384 o SHA512.
Puede hacer clic en [Exportar certificado] para exportar el certificado a registrar en Microsoft Entra ID.
Puede hacer clic en [Exportar certificado] para exportar el certificado a registrar en Microsoft Entra ID.
[Utilice la Pantalla de inicio de sesión de Microsoft]
Seleccione esta casilla para ver la pantalla de inicio de sesión de Microsoft para iniciar sesión con autenticación multifactor, si está habilitada la autenticación multifactor de Microsoft Entra ID.
* [Motor de navegador] en [Acceso a Internet] es necesario para ajustarse a [WebKit2]. [Acceso a Internet]
* Si [Tiempo para reinicio automático] se ajusta a [10] segundos, se puede ejecutar la función de Reinicio automático antes de que aparezca la pantalla de inicio de sesión. En ese caso, cambie el momento de Reinicio automático. [Tiempo para reinicio automático]
[URL de autenticación de Microsoft Entra ID] y [URL API de Microsoft Entra ID]
Introduzca las URL. En función de su entorno de red, es posible que tenga que cambiar la configuración. No tendrá que introducir nada si se utiliza [Secreto].
4
Especifique los atributos.
[Atributo para establecer para la cuenta de inicio de sesión]
[Nombre de inicio sesión]
En el menú desplegables, seleccione el atributo para el nombre de inicio de sesión de cada cuenta de usuario en el servidor.
* Para especificar un atributo que no aparece en el menú desplegable, puede introducirlo directamente.
[WindowsLogonName]:
displayName se obtiene de Microsoft Entra ID. displayName se cambia del modo siguiente para crear el nombre de inicio sesión:
displayName se obtiene de Microsoft Entra ID. displayName se cambia del modo siguiente para crear el nombre de inicio sesión:
Los espacios y los caracteres siguientes se eliminan de displayName: * + , . / : ; < > = ? \ [ ] |.
"@" y los caracteres siguientes se eliminan.
Las cadenas de más de 20 caracteres se recortan a 20 caracteres o menos.
Ejemplo: Si displayName es user.001@ejemplo.com
user001
user001
[displayName]:
displayName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
displayName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
[userPrincipalName]:
userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
[userPrincipalName-Prefix]:
La parte antes de "@" en userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
Ejemplo: Si userPrincipalName es "user.002@mail.test"
user.002
La parte antes de "@" en userPrincipalName obtenido de Microsoft Entra ID se convierte en el nombre de inicio sesión.
Ejemplo: Si userPrincipalName es "user.002@mail.test"
user.002
[Mostrar nombre] y [Dirección de e-mail]
Introduzca los atributos para el nombre mostrado y la dirección de e-mail de cada cuenta de usuario del servidor.
5
Especifique el nombre de dominio del destino de inicio de sesión en [Nombre de dominio] en [Nombre de dominio a establecer para la cuenta de inicio de sesión].
6
Especifique las opciones en [Autocompletar para introducir el nombre de usuario cuando se utiliza la autenticación por teclado] en [Nombre de dominio a autocompletar].
Introduzca el nombre del dominio para el que desea que se lleve a cabo autocompletar. Normalmente, se establece el mismo nombre que se introdujo en [Nombre de dominio].
7
Haga clic en [Prueba de conexión] para probar la conexión.
8
Haga clic en [Actualizar].
Aparece de nuevo la pantalla [Editar opciones de servidor].
Especificación de la información de Google Workspace
1
Marque la casilla [Usar Google Workspace].
2
Haga clic en [Configuración del dominio].
Aparece la pantalla [Configuración del dominio de Google Workspace].
3
Especificar la información de Google Workspace.
[Nombre de destinación de inicio de sesión]
Introduzca el nombre que se mostrará en el destino de inicio de sesión.
[Especifique el dominio]
Seleccione si desea usar [Nombre de dominio] o [ID de usuario] como dominio.
[Nombre de dominio]
Introduzca el nombre de dominio de Google Workspace que se usará como destino de inicio de sesión.
[ID de usuario]
Introduzca el Customer ID de Google Workspace que se usará como destino de inicio de sesión.
4
Especifique la información del cliente de autenticación OAuth.
[ID de cliente]
Introduzca el ID de cliente.
[Cliente secreto]
Introduzca el secreto de cliente generado por Google Workspace.
5
Configure la información de la cuenta de servicio y, a continuación, haga clic en [Conexión de prueba] para confirmar la conexión.
[Dirección de correo electrónico de la cuenta de servicio]
Introduzca la dirección de correo electrónico de la cuenta de servicio que se emite en Google Workspace.
[Dirección de correo electrónico del administrador de Google Workspace]
Introduzca la dirección de correo electrónico del administrador de Google Workspace.
[Clave y certificado]
Haga clic en [Clave y certificado] para establecer el certificado a registrar en Google Workspace al utilizar una clave y un certificado. Seleccione el certificado para el que el algoritmo clave es RSA 2048 bits o más, y el algoritmo de firma es SHA256, SHA384 o SHA512.
Puede hacer clic en [Exportar certificado] para exportar el certificado y registrarlo en Google Workspace.
6
Especifique los atributos.
[Atributo para establecer para la cuenta de inicio de sesión]
En el menú desplegable, seleccione los atributos para [Nombre de inicio sesión], [Mostrar nombre] y [Dirección de e-mail] de cada cuenta de usuario del servidor.
7
Especifique el nombre de dominio del destino de inicio de sesión en [Nombre de dominio] en [Nombre de dominio a establecer para la cuenta de inicio de sesión].
8
Especifique las opciones en [Nombre de dominio a autocompletar] en [Autocompletar para introducir el nombre de usuario cuando se utiliza la autenticación por teclado].
Introduzca el nombre del dominio para el que desea que se lleve a cabo autocompletar. Normalmente, se establece el mismo nombre que se introdujo en [Nombre de dominio].
9
Haga clic en [Actualizar].
Volverá a aparecer la pantalla [Editar opciones de servidor].
Introduzca el tiempo de espera desde que comienza la autenticación en Tiempo para autenticación.
6
Especifique el dominio prioritario al que conectarse en [Dominio prefijado].
Especifique si desea conservar la información de autenticación de los usuarios en [Caché para información de usuario].
Para conservar la información de autenticación de los usuarios que han iniciado sesión con el panel de control, seleccione la casilla [Guardar información de autenticación para usuarios de inicio de sesión]. Si el equipo no puede conectarse al servidor de autenticación en el tiempo establecido en el paso 5, puede iniciar la sesión utilizando la información de autenticación guardada en la caché.
Para conservar la información de autenticación de los usuarios que han iniciado sesión con la autenticación mediante teclado, seleccione también la casilla [Guardar información de usuario al usar la autenticación mediante teclado].
Cuando esta casilla esté seleccionada, aunque el equipo no pueda conectarse al servidor, podrá iniciar sesión utilizando la información de autenticación conservada.
Cuando esta casilla esté seleccionada, aunque el equipo no pueda conectarse al servidor, podrá iniciar sesión utilizando la información de autenticación conservada.
8
Especifique la información y los privilegios de usuario en [Asociación de roles].
[Atributo de usuario a examinar]
Introduzca el atributo en el servidor de referencia que se usa para determinar los privilegios de usuario (roles).
Para Active Directory/servidor LDAP
Normalmente, puede usar el valor preestablecido "memberOf", que indica el grupo al que pertenece el usuario.
Para Microsoft Entra ID
Se pueden establecer "Cualquier atributo de usuario de Microsoft Entra ID", "memberOf" y "transitiveMemberOf".
Si se establece "memberOf", solo se recuperan los grupos a los que el usuario pertenece directamente.
Si se establece "transitiveMemberOf", no solo se recuperan los grupos a los que pertenece directamente el usuario, sino también los grupos a los que pertenecen esos grupos.
Para Google Workspace
Se puede establecer tanto "Cualquier atributo de usuario de Google Workspace" como "memberOf".
"Cualquier atributo de usuario de Google Workspace" solo es aplicable cuando se establece un atributo personalizado en el formato "customSchemas.category name.field name". Los atributos personalizados deben haberse creado previamente en Google Workspace.
[Recuperar el nombre de rol a aplicar de [Atributo de usuario a examinar]]
Marque la casilla para utilizar la cadena de caracteres registrada en el atributo especificado en [Atributo de usuario a examinar] para el nombre de rol. Antes de marcar la casilla, compruebe los nombres de rol que se pueden seleccionar en el equipo, y regístrelos en el servidor.
[Condiciones]
Puede establecer las condiciones que determinan los privilegios de usuario. Las condiciones se aplican en el orden en que aparecen en la lista.
En [Criterio de búsqueda], seleccione los criterios de búsqueda para [Cadena de caracteres].
En [Cadena de caracteres], introduzca la cadena de caracteres registrada en el atributo especificado en [Atributo de usuario a examinar]. Para especificar los privilegios sobre la base del grupo al que pertenece el usuario, introduzca el nombre del grupo.
En [Rol], seleccione los privilegios aplicables a los usuarios que cumplan los criterios.
* Cuando se utiliza un servidor de Active Directory, los usuarios que pertenecen al grupo "Administradores periféricos de Canon" se establecen de antemano en [Administrator].
9
Haga clic en [Actlzr.].
10
Reinicie el equipo. Reiniciar el equipo
La información queda registrada.
NOTA
Prohibición del almacenamiento en caché de la información de autenticación
Puede prohibir el almacenamiento en caché de las contraseñas que los usuarios introducen al iniciar sesión en el servidor de autenticación externo. [Prohibir almacenam. de contraseña de autenticación]
Cuando el almacenamiento en caché está prohibido, la opción [Guardar información de autenticación para usuarios de inicio de sesión] del paso 7 se desactiva automáticamente. Para activar la opción en el paso 7seleccione la casilla [Guardar información de autenticación para usuarios de inicio de sesión] y actualice la información del servidor de autenticación.
Si se cambia el número de puerto para Kerberos en Active Directory
Registre la siguiente información en el servidor DNS como un registro SRV:
Servicio: "_kerberos"
Protocolo: "_udp"
Número de puerto: el número de puerto utilizado por el servicio Kerberos del dominio (zona) de Active Directory
Host que ofrece este servicio: nombre del host del controlador del dominio que realmente proporciona el servicio Kerberos del dominio (zona) de Active Directory
Registrar una aplicación en Microsoft Entra ID
Utilice el procedimiento siguiente para registrar una aplicación en Microsoft Entra ID.
El proceso de registro puede cambiar con actualizaciones de servicio. Para obtener más información, consulte el sitio web de Microsoft.
El proceso de registro puede cambiar con actualizaciones de servicio. Para obtener más información, consulte el sitio web de Microsoft.
1
Inicie sesión en Microsoft Entra ID.
2
En el menú de navegación, haga clic en [Microsoft Entra ID].
3
Registre la aplicación.
1
En el menú de navegación, haga clic en [Registros de aplicaciones] [Nuevo registro].
[Nuevo registro].2
Introduzca el nombre de la aplicación.
Puede introducir cualquier nombre.
Ejemplo de entrada:
Inició de sesión <nombre de impresora> Canon
Ejemplo de entrada:
Inició de sesión <nombre de impresora> Canon
3
Seleccione el tipo de cuenta y haga clic en [Registrar].
Se genera el ID de la aplicación (cliente).
Tome nota del ID generado.
Tome nota del ID generado.
4
Cree un secreto o registre un certificado.
Al crear un secreto
1
En el menú de navegación, haga clic en [Certificados y secretos].
2
Haga clic en [Nuevo secreto de cliente].
3
En el cuadro de diálogo [Agregar un secreto de cliente], introduzca la descripción y la fecha de caducidad, y haga clic en [Agregar].
Se crea un ID y un valor del secreto.
Tome nota del valor secreto creado. No necesita el ID del secreto.
* El valor del secreto solo se visualiza una vez. Si no puede tomar nota del valor, cree un nuevo secreto del cliente.
Tome nota del valor secreto creado. No necesita el ID del secreto.
* El valor del secreto solo se visualiza una vez. Si no puede tomar nota del valor, cree un nuevo secreto del cliente.
Al registrar un certificado
El certificado del equipo tiene que exportarse de antemano. Puede exportar el certificado al configurar la información de Microsoft Entra ID. Registro de la información del servidor de autenticación
1
En el menú de navegación, haga clic en [Certificados y secretos].
2
Haga clic en [Cargar certificado].
3
Seleccione el archivo y haga clic en [Agregar].
Después de cargar el certificado, tome nota del valor [Huella digital].
5
En el menú de navegación, haga clic en [Permisos de API].
6
Haga clic en [Agregar un permiso].
7
En [Solicitud de permisos de API], seleccione [Microsoft Graph].
8
Dentro del tipo de permisos, seleccione [Permisos delegados] y otorgue permisos.
Otorgue los permisos siguientes:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Dentro del tipo de permisos, seleccione [Permisos de la aplicación] y otorgue permisos.
Otorgue los permisos siguientes:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Utilice permisos si no puede iniciar sesión en el equipo por un error de la autenticación multifactor. Esto no será necesario en función de la función y el entorno utilizados.
10
Haga clic en [Conceder confirmación de consentimiento del administrador.] y en [Sí].
Se otorga el consentimiento del Administrador para los permisos seleccionados.
Especificar el servidor de Google Workspace
Los siguientes ajustes son necesarios en Google Workspace y Google Cloud para la integración de cuentas de Google Workspace.
El método de configuración puede cambiar debido a actualizaciones del servicio u otros motivos. Para obtener más información, consulte el sitio web de Google.
El método de configuración puede cambiar debido a actualizaciones del servicio u otros motivos. Para obtener más información, consulte el sitio web de Google.
Configuración de la API para Google Cloud
En la configuración para activar [APIs y servicios], busque la API Admin SDK y actívela.
Configuración del consentimiento OAuth
Para la autenticación mediante teclado con una cuenta de Google Workspace
Configuración del ID de cliente OAuth
Establezca [Tipo de aplicación] en [Aplicación web].
Establezca [URIs de redireccionamiento autorizados] en http://localhost:8000/WebViewGoogle.