Bei der Benutzerauthentifizierung durch den Identitätsanbieter erfolgt werden die Benutzerkontoattribute in Active Directory mit den entsprechenden Attributen in der Identitätsanbieter-Benutzerdatenbank verglichen. Die zu vergleichenden Attribute werden auf dem Identitätsanbieter und in der RAS-Konsole konfiguriert. Einzelheiten finden Sie unter Konfiguration der SP-Seite (RAS-Seite).
Aus Sicherheitsgründen ist es ratsam, Einschränkungen für den Enrollment Agent einer CA so zu konfigurieren, dass nur die neu erstellten Benutzerrechte des Enrollment Agents die Registrierung von Zertifikaten im Namen der Benutzer zulassen. Befolgen Sie dazu die folgenden Schritte.
Öffnen Sie das Snap-in der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf den Namen der CA und dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Enrollment Agent, klicken Sie auf Enrollment Agents einschränken und klicken Sie in der angezeigten Meldung auf OK.
Klicken Sie unter Enrollment Agents auf Hinzufügen, geben Sie den Namen des in den vorherigen Schritten erstellten Benutzers für den Enrollment Agent ein und klicken Sie dann auf OK. Klicken Sie auf Alle und dann auf Entfernen.
Klicken Sie unter Zertifikatvorlagen auf Hinzufügen, wählen Sie die erstellten Vorlagen aus (Prls Enrollment Agent und Prls Smartcard Logon) und klicken Sie dann auf OK. Wenn Sie mit dem Hinzufügen der Namen von Zertifikatvorlagen fertig sind, klicken Sie auf <All> und dann auf Entfernen.
Klicken Sie unter Berechtigungen auf Hinzufügen, geben Sie die Namen oder Gruppen ein, die die Benutzer oder Gruppen sind, von denen erwartet wird, dass sie sich mit SAML bei der RAS-Umgebung anmelden, und klicken Sie dann auf OK. Klicken Sie auf Alle und dann auf Entfernen.
Wenn Sie den Enrollment Agent an der Verwaltung von Zertifikaten für andere Benutzer, Computer oder Gruppen hindern möchten, wählen Sie unter Berechtigungen diesen Benutzer, Computer oder diese Gruppe aus und klicken Sie dann auf Verweigern.
Wenn Sie die Konfiguration der Einschränkungen für den Enrollment Agent abgeschlossen haben, klicken Sie auf OK oder Übernehmen.
Hinweis: Der Benutzer oder die Gruppe, auf den bzw. die Sie Einschränkungen für den Enrollment Agent angewendet haben, muss über ein gültiges Enrollment-Agent-Zertifikat für die CA verfügen, bevor er bzw. sie als Enrollment Agent agieren kann, unabhängig davon, ob eingeschränkte Enrollment Agenten-Berechtigungen konfiguriert wurden oder nicht.
Beispiele für die Integration verschiedener Identitätsanbieter mit Parallels RAS finden Sie in der Anleitung SAML SSO-Authentifizierung Examples, die auf der Parallels-Website unter https://www.parallels.com/de/products/ras/resources/ verfügbar ist.