# Konfiguration der SP-Seite (RAS-Seite) Auf der Seite des Dienstanbieters (der Parallels RAS-Seite) müssen Sie die Web (SAML)-Authentifizierung aktivieren und den Identitätsanbieter zur RAS-Farm hinzufügen. **Aktivieren der Web (SAML)-Authentifizierung** 1. Navigieren Sie in der RAS-Konsole zu **Verbindung** > **Authentifizierung**. 2. Wählen Sie im Abschnitt **Erlaubte Authentifizierungstypen** die Option **Web (SAML)**. **Hinzufügen eines Identitätsanbieters zur RAS-Farm** So fügen Sie einen Identitätsanbieter hinzu: 1. Navigieren Sie in der RAS-Konsole zu **Verbindung** > **SAML**. Wenn die Registerkarte deaktiviert ist, stellen Sie sicher, dass Sie Web (SAML) aktiviert haben. Siehe oben. 2. Klicken Sie auf **Aufgaben** > **Hinzufügen**. 3. Geben Sie im Assistenten **Identitätsanbieter hinzufügen** einen Anbieternamen an. 4. Wählen Sie in der Dropdownliste **Verwendung mit dem Design** ein [Design](https://download.parallels.com/ras/v19/docs/de_DE/Parallels-RAS-19-Administrators-Guide/43381.htm) aus, dem der IdP zugeordnet werden soll. Wenn Sie noch kein bestimmtes Design haben, können Sie das Standarddesign verwenden oder \ auswählen und später ein Design zuweisen. Beachten Sie, dass es mehrere Identitätsanbieter geben kann, die in derselben RAS-Farm konfiguriert sind. Zurzeit kann jedoch ein Identitätsanbieter einem Schema zugeordnet werden. 5. Wählen Sie eine der folgenden Methoden aus, die der Assistent verwendet, um die Identitätsanbieter-Informationen zu erhalten: * **Veröffentlichte Identitätsanbieter-Metadaten importieren** Importieren Sie aus einem im Internet veröffentlichten XML-Dokument. Geben Sie die Dokument-URL aus der Konfiguration der Identitätsanbieter-Seite an. * **Identitätsanbieter-Metadaten aus einer Datei importieren** Importieren Sie aus einer lokalen XML-Datei, die von der Identitätsanbieter-Anwendung heruntergeladen wurde. Geben Sie den Dateinamen und den Pfad in dem dafür vorgesehenen Feld an. * **Geben Sie die Identitätsanbieter-Informationen manuell ein:** Wählen Sie diese Option und geben Sie dann die Informationen auf der nächsten Seite des Assistenten manuell ein. 6. Klicken Sie auf **Weiter**. 7. Wenn die Konfiguration im vorherigen Schritt importiert wurde, wird die nächste Seite mit Daten aus der XML-Datei gefüllt. Wenn Sie sich für die manuelle Eingabe der Identitätsanbieterdaten entschieden haben, müssen Sie die Werte selbst eingeben: * **IdP-Entitäts-ID:** ID der Identitätsanbieter-Entität. * **IdP-Zertifikat:** Identitätsanbieter-Zertifikatsdaten. Um dieses Feld auszufüllen, müssen Sie das Zertifikat von der Identitätsanbieter-Seite herunterladen, dann die heruntergeladene Datei öffnen, ihren Inhalt kopieren und in dieses Feld einfügen. * **Anmelde-URL:** Anmelde-URL * **Abmelde-URL:** Abmelde-URL Wählen Sie die Option **Unverschlüsselte Assertion zulassen**, falls erforderlich. 8. **Hinweis:** Standardmäßig ist die Option **Unverschlüsselte Assertion zulassen** deaktiviert. Stellen Sie sicher, dass die Identitätsanbieterkonfiguration auf verschlüsselte Assertion eingestellt ist, oder ändern Sie die Standardeinstellung innerhalb der RAS-Konfiguration. 9. An dieser Stelle können Sie Einstellungen für den Dienstanbieter (Service-Provider, SP) konfigurieren, die auf der IdP-Seite (IdP-Portal) importiert werden sollen. Sie können es jetzt tun oder später. Um es jetzt zu tun, folgen Sie den nachstehenden Schritten. Um es später zu tun, klicken Sie auf **Fertigstellen** und öffnen dann ggf. die Eigenschaften des Identifizierungsanbieter-Objekts, wählen die Registerkarte **SP** und führen dieselben Schritte wie unten beschrieben aus. 10. Um die SP-Einstellungen zu konfigurieren, klicken Sie auf die Schaltfläche **Informationen zum Dienstanbieter**. 11. Geben Sie in dem sich öffnenden Dialogfeld die Hostadresse ein. Der Identitätsanbieter wird auf diese Adresse umleiten, die über den Browser des Endbenutzers zugänglich sein sollte. 12. Die anderen Felder einschließlich **SP-Entitäts-ID**, **Antwort-URL**, **Anmelde-URL** und **Abmelde-URL** sind auf der Grundlage der Hostadresse vorbelegt. Das SP-Zertifikat wird automatisch generiert. 13. Der nächste Schritt besteht darin, die IdP-Konfiguration anhand der oben genannten Werte zu vervollständigen. Diese Werte können manuell kopiert oder als Metadaten-Datei (XML) exportiert werden. Klicken Sie auf den Link **SP-Metadaten exportieren zu Datei**. Speichern Sie die Metadaten als XML-Datei. Importieren Sie die XML-Datei in Ihren Identitätsanbieter. 14. Schließen Sie das Dialogfeld und klicken Sie auf **Fertigstellen**. **Konfigurieren von Benutzerkontoattributen** Bei der Benutzerauthentifizierung durch den Identitätsanbieter werden die Benutzerkontoattribute in Active Directory mit den entsprechenden Attributen in der Identitätsanbieter-Benutzerdatenbank verglichen. Sie können wie unten beschrieben konfigurieren, welche Attribute für den Vergleich verwendet werden sollen. In der folgenden Tabelle sind die verfügbaren Attribute aufgeführt: | **RAS-Name** | **SAML-Name \*** | **AD-Name** | **Beschreibung** | | ------------------ | ------------------ | ----------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | UserPrincipalName | NameID | userPrincipalName | Der User Principal Name (UPN) ist der Name eines Systembenutzers in einem E-Mail-Adressformat. | | Unveränderliche ID | Unveränderliche ID | objectGUID | Ein universell eindeutiger Identifikator. | | SID | SID | objectSid | Eine ObjectSID enthält einen Domänenpräfixbezeichner, der die Domäne eindeutig identifiziert, und einen Relativbezeichner (RID), der den Sicherheitsprinzipal innerhalb der Domäne eindeutig identifiziert. | | sAMAccountName | sAMAccountName | sAMAccountName | Das sAMAccountName-Attribut ist ein Anmeldename, der zur Unterstützung von Clients und Servern früherer Windows-Versionen, wie z. B. Windows NT 4.0 und anderen, verwendet wird. | | Eigene | E-Mail | E-Mail | Ein benutzerdefiniertes Attribut, das verwendet wird, damit jeder SAML-Attributname mit jedem AD-Attributwert übereinstimmen kann. Standardmäßig ist es die E-Mail-Adresse. | **\*** Die Attribute in der Spalte **SAML-Name** sind bearbeitbar und können auf der Grundlage des von Ihnen verwendeten Identitätsanbieters angepasst werden. So konfigurieren Sie Attribute: 1. Klicken Sie in der RAS-Konsole mit der rechten Maustaste auf einen Identitätsanbieter, den Sie in den vorherigen Schritten hinzugefügt haben. 2. Wählen Sie im Dialogfeld **Eigenschaften** des Identitätsanbieters die Registerkarte **Attribute** aus. Auf dieser Registerkarte können Sie die Attribute, die für den Vergleich verwendet werden sollen, auswählen oder löschen oder benutzerdefinierte Attribute erstellen: * Die ausgewählten Attribute werden für eine Übereinstimmung verglichen. * Die Namen aller vorkonfigurierten SAML-Attribute (die Identitätsanbieter-Seite) können bei Bedarf an die AD-Attribute angepasst werden. * Das benutzerdefinierte Attribut kann verwendet werden, damit jeder SAML-Attributname mit jedem AD-Attributwert übereinstimmen kann. Standardmäßig ist es die E-Mail-Adresse. 3. Konfigurieren und aktivieren Sie die gewünschten Attribute je nach Bedarf auf der Grundlage der auf der Identitätsanbieter-Seite konfigurierten Attribute. 4. Klicken Sie auf **OK**, um das Dialogfeld zu schließen. **Hinweis 1:** Mehrere Attribute werden in der dargestellten Reihenfolge verwendet. Fällt ein Attribut aus, wird das nächste konfigurierte Attribut verwendet. Es wird jeweils nur ein Attribut verwendet (in entweder/oder Weise).\ **Hinweis 2:** Wenn mehrere AD-Benutzer mit dem gleichen AD-Attributwert konfiguriert sind, schlägt der Benutzerabgleich fehl. Wenn beispielsweise das E-Mail-Attribut gewählt wird und verschiedene AD-Benutzer die gleiche E-Mail-Adresse haben, ist der Attributabgleich zwischen Identitätsanbieter-Konto und AD-Benutzerkonto nicht erfolgreich. **Tipps zur Konfiguration von Attributen** * Wenn möglich, verwenden Sie eine Automatisierung für die Benutzersynchronisierung (z. B. Microsoft Azure AD Connect für die Azure Identitätsanbieterkonfiguration) zwischen Ihrem Active Directory und dem Identitätsanbieter, um den Aufwand für das Benutzeridentitätsmanagement zu minimieren. * Wählen Sie ein Benutzeridentifikationsattribut, das für Ihre Umgebung eindeutig ist, wie z. B. den User Principal Name (UPN) oder die Immutable ID (ObjectGuid), wenn möglich. Alternativ können Sie auch andere eindeutige Identifikatoren wie die E-Mail-Adresse verwenden. Stellen Sie in diesem Fall sicher, dass das Feld **E-Mail-Adresse** im Benutzerobjekt im AD konfiguriert ist. Wenn Sie Microsoft Exchange Server verwenden, verwenden Sie die Registerkarte **Exchange-Adressen** und die Exchange-Richtlinien. * Wenn Sie UPN als Attribut verwenden, können Sie auch alternative UPN-Suffixe konfigurieren. Dies kann von Active Directory-Domänen und -Trusts aus erfolgen (wählen Sie Root > Rechtsklick, um das Dialogfeld **Eigenschaften** zu öffnen). Sobald ein neues alternatives UPN-Suffix erstellt wurde, können Sie den UPN in den Benutzerobjekteigenschaften von Active Directory-Benutzern und -Computern ändern. **Kontobild hinzufügen** Um das Ganze noch weiter zu personalisieren, können Sie ein benutzerdefiniertes Kontobild hinzufügen, das während der Benutzeranmeldung bei der Verwendung von Single Sign-On auf dem Windows-Anmeldebildschirm angezeigt wird. Dies wird in näher beschrieben. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.parallels.com/landing/ras-admin-guide/v20-de-de/saml-sso-authentifizierung/saml-konfiguration/konfiguration-der-sp-seite-ras-seite.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.