# 前提条件

Parallels RAS で SAML を構成するには、以下のものが必要です。

1. 以下の 2 つのユーザーアカウントが存在する Microsoft Active Directory。

   * **登録エージェントユーザー**: 認証ユーザーの代わりに RAS 登録サーバー（ES）によって証明書を登録するときに使用します。
   * **NLA ユーザー**: RD セッションホストや VDI ゲストとの NLA 接続を開始するときに使用します。

   必要な権限や委任については、[**「Active Directory のユーザーアカウントの設定」**](https://download.parallels.com/ras/v19/docs/ja_JP/Parallels-RAS-19-Administrators-Guide/45706.htm)を参照してください。Azure Active Directory Domain Services（AADDS）は、SAML SSO との併用には対応していないことに注意してください。
2. 以下のテンプレートが含まれている Microsoft エンタープライズ認証局（CA）。
   * 登録エージェント証明書テンプレート
   * スマートカードログオン証明書テンプレート
3. サードパーティの ID プロバイダー（IdP）（Azure、Okta、Ping Identity、Gemalto SafeNet など）。ここでユーザーアカウントが保管されます。IdP にあるユーザーアカウントは、Microsoft Active Directory 環境と同期していなければなりません。ユーザーを正しく同期する方法については、プロバイダーに問い合わせてください。
4. ドメインコントローラーには、ドメインコントローラー証明書が必要です。ドメインコントローラーにある証明書は、スマートカード認証をサポートしていなければなりません。証明書を作成するときには、”ドメインコントローラーの認証”という名前の Microsoft CA 証明書テンプレートを使用します。手動で作成したドメインコントローラー証明書は、正しく機能しないことがあります。”要求はサポートされていません”というエラーが表示される場合は、ドメインコントローラー証明書を再作成しなければならない可能性があります。信頼されているルート認証局のストアに含まれている CA から発行されたルート証明書が RD セッションホストと VDI にあることを確認してください。
5. 64 ビットの OS で稼働する RD セッションホストや VDI のワークロードがある Parallels RAS ファーム。
6. セキュリティ上の理由から、RAS 登録サーバーを専用のホストにインストールすることをお勧めします。ホストは、他のコンポーネントやロールがインストールされていないスタンドアロンのサーバーでなければなりません。
7. SAML の構成と RAS 登録サーバーの構成はどちらも、RAS 環境内のサイトごとの設定になります。RAS 管理者は、”サイト情報の表示を許可”と”サイトの変更を許可”の権限の委任を受けていなければなりません。

**注:** 上記のタスクの中には、Microsoft Active Directory とグループポリシーの設定に関する知識が必要になるタスクもあります。\
Azure Active Directory Domain Services（AADDS）および Azure Virtual Desktop へのアクセスは、現在 Parallels RAS SAML SSO でサポートされていません。