前提条件

Parallels RAS で SAML を構成するには、以下のものが必要です。

  1. 以下の 2 つのユーザーアカウントが存在する Microsoft Active Directory。

    • 登録エージェントユーザー: 認証ユーザーの代わりに RAS 登録サーバー(ES)によって証明書を登録するときに使用します。

    • NLA ユーザー: RD セッションホストや VDI ゲストとの NLA 接続を開始するときに使用します。

    必要な権限や委任については、「Active Directory のユーザーアカウントの設定」を参照してください。Azure Active Directory Domain Services(AADDS)は、SAML SSO との併用には対応していないことに注意してください。

  2. 以下のテンプレートが含まれている Microsoft エンタープライズ認証局(CA)。

    • 登録エージェント証明書テンプレート

    • スマートカードログオン証明書テンプレート

  3. サードパーティの ID プロバイダー(IdP)(Azure、Okta、Ping Identity、Gemalto SafeNet など)。ここでユーザーアカウントが保管されます。IdP にあるユーザーアカウントは、Microsoft Active Directory 環境と同期していなければなりません。ユーザーを正しく同期する方法については、プロバイダーに問い合わせてください。

  4. ドメインコントローラーには、ドメインコントローラー証明書が必要です。ドメインコントローラーにある証明書は、スマートカード認証をサポートしていなければなりません。証明書を作成するときには、”ドメインコントローラーの認証”という名前の Microsoft CA 証明書テンプレートを使用します。手動で作成したドメインコントローラー証明書は、正しく機能しないことがあります。”要求はサポートされていません”というエラーが表示される場合は、ドメインコントローラー証明書を再作成しなければならない可能性があります。信頼されているルート認証局のストアに含まれている CA から発行されたルート証明書が RD セッションホストと VDI にあることを確認してください。

  5. 64 ビットの OS で稼働する RD セッションホストや VDI のワークロードがある Parallels RAS ファーム。

  6. セキュリティ上の理由から、RAS 登録サーバーを専用のホストにインストールすることをお勧めします。ホストは、他のコンポーネントやロールがインストールされていないスタンドアロンのサーバーでなければなりません。

  7. SAML の構成と RAS 登録サーバーの構成はどちらも、RAS 環境内のサイトごとの設定になります。RAS 管理者は、”サイト情報の表示を許可”と”サイトの変更を許可”の権限の委任を受けていなければなりません。

注: 上記のタスクの中には、Microsoft Active Directory とグループポリシーの設定に関する知識が必要になるタスクもあります。 Azure Active Directory Domain Services(AADDS)および Azure Virtual Desktop へのアクセスは、現在 Parallels RAS SAML SSO でサポートされていません。

Last updated

© 2024 Parallels International GmbH. All rights reserved.