Konfiguration der SP-Seite (RAS-Seite)
Auf der Seite des Dienstanbieters (der Parallels RAS-Seite) müssen Sie die Web (SAML)-Authentifizierung aktivieren und den Identitätsanbieter zur RAS-Farm hinzufügen.
Aktivieren der Web (SAML)-Authentifizierung
Navigieren Sie in der RAS-Konsole zu Verbindung > Authentifizierung.
Wählen Sie im Abschnitt Erlaubte Authentifizierungstypen die Option Web (SAML).
Hinzufügen eines Identitätsanbieters zur RAS-Farm
So fügen Sie einen Identitätsanbieter hinzu:
Navigieren Sie in der RAS-Konsole zu Verbindung > SAML. Wenn die Registerkarte deaktiviert ist, stellen Sie sicher, dass Sie Web (SAML) aktiviert haben. Siehe oben.
Klicken Sie auf Aufgaben > Hinzufügen.
Geben Sie im Assistenten Identitätsanbieter hinzufügen einen Anbieternamen an.
Wählen Sie in der Dropdownliste Verwendung mit dem Design ein Design aus, dem der IdP zugeordnet werden soll. Wenn Sie noch kein bestimmtes Design haben, können Sie das Standarddesign verwenden oder <nicht verwendet> auswählen und später ein Design zuweisen. Beachten Sie, dass es mehrere Identitätsanbieter geben kann, die in derselben RAS-Farm konfiguriert sind. Zurzeit kann jedoch ein Identitätsanbieter einem Schema zugeordnet werden.
Wählen Sie eine der folgenden Methoden aus, die der Assistent verwendet, um die Identitätsanbieter-Informationen zu erhalten:
Veröffentlichte Identitätsanbieter-Metadaten importieren Importieren Sie aus einem im Internet veröffentlichten XML-Dokument. Geben Sie die Dokument-URL aus der Konfiguration der Identitätsanbieter-Seite an.
Identitätsanbieter-Metadaten aus einer Datei importieren Importieren Sie aus einer lokalen XML-Datei, die von der Identitätsanbieter-Anwendung heruntergeladen wurde. Geben Sie den Dateinamen und den Pfad in dem dafür vorgesehenen Feld an.
Geben Sie die Identitätsanbieter-Informationen manuell ein: Wählen Sie diese Option und geben Sie dann die Informationen auf der nächsten Seite des Assistenten manuell ein.
Klicken Sie auf Weiter.
Wenn die Konfiguration im vorherigen Schritt importiert wurde, wird die nächste Seite mit Daten aus der XML-Datei gefüllt. Wenn Sie sich für die manuelle Eingabe der Identitätsanbieterdaten entschieden haben, müssen Sie die Werte selbst eingeben:
IdP-Entitäts-ID: ID der Identitätsanbieter-Entität.
IdP-Zertifikat: Identitätsanbieter-Zertifikatsdaten. Um dieses Feld auszufüllen, müssen Sie das Zertifikat von der Identitätsanbieter-Seite herunterladen, dann die heruntergeladene Datei öffnen, ihren Inhalt kopieren und in dieses Feld einfügen.
Anmelde-URL: Anmelde-URL
Abmelde-URL: Abmelde-URL
Wählen Sie die Option Unverschlüsselte Assertion zulassen, falls erforderlich.
Hinweis: Standardmäßig ist die Option Unverschlüsselte Assertion zulassen deaktiviert. Stellen Sie sicher, dass die Identitätsanbieterkonfiguration auf verschlüsselte Assertion eingestellt ist, oder ändern Sie die Standardeinstellung innerhalb der RAS-Konfiguration.
An dieser Stelle können Sie Einstellungen für den Dienstanbieter (Service-Provider, SP) konfigurieren, die auf der IdP-Seite (IdP-Portal) importiert werden sollen. Sie können es jetzt tun oder später. Um es jetzt zu tun, folgen Sie den nachstehenden Schritten. Um es später zu tun, klicken Sie auf Fertigstellen und öffnen dann ggf. die Eigenschaften des Identifizierungsanbieter-Objekts, wählen die Registerkarte SP und führen dieselben Schritte wie unten beschrieben aus.
Um die SP-Einstellungen zu konfigurieren, klicken Sie auf die Schaltfläche Informationen zum Dienstanbieter.
Geben Sie in dem sich öffnenden Dialogfeld die Hostadresse ein. Der Identitätsanbieter wird auf diese Adresse umleiten, die über den Browser des Endbenutzers zugänglich sein sollte.
Die anderen Felder einschließlich SP-Entitäts-ID, Antwort-URL, Anmelde-URL und Abmelde-URL sind auf der Grundlage der Hostadresse vorbelegt. Das SP-Zertifikat wird automatisch generiert.
Der nächste Schritt besteht darin, die IdP-Konfiguration anhand der oben genannten Werte zu vervollständigen. Diese Werte können manuell kopiert oder als Metadaten-Datei (XML) exportiert werden. Klicken Sie auf den Link SP-Metadaten exportieren zu Datei. Speichern Sie die Metadaten als XML-Datei. Importieren Sie die XML-Datei in Ihren Identitätsanbieter.
Schließen Sie das Dialogfeld und klicken Sie auf Fertigstellen.
Konfigurieren von Benutzerkontoattributen
Bei der Benutzerauthentifizierung durch den Identitätsanbieter werden die Benutzerkontoattribute in Active Directory mit den entsprechenden Attributen in der Identitätsanbieter-Benutzerdatenbank verglichen. Sie können wie unten beschrieben konfigurieren, welche Attribute für den Vergleich verwendet werden sollen.
In der folgenden Tabelle sind die verfügbaren Attribute aufgeführt:
RAS-Name
SAML-Name *
AD-Name
Beschreibung
UserPrincipalName
NameID
userPrincipalName
Der User Principal Name (UPN) ist der Name eines Systembenutzers in einem E-Mail-Adressformat.
Unveränderliche ID
Unveränderliche ID
objectGUID
Ein universell eindeutiger Identifikator.
SID
SID
objectSid
Eine ObjectSID enthält einen Domänenpräfixbezeichner, der die Domäne eindeutig identifiziert, und einen Relativbezeichner (RID), der den Sicherheitsprinzipal innerhalb der Domäne eindeutig identifiziert.
sAMAccountName
sAMAccountName
sAMAccountName
Das sAMAccountName-Attribut ist ein Anmeldename, der zur Unterstützung von Clients und Servern früherer Windows-Versionen, wie z. B. Windows NT 4.0 und anderen, verwendet wird.
Eigene
Ein benutzerdefiniertes Attribut, das verwendet wird, damit jeder SAML-Attributname mit jedem AD-Attributwert übereinstimmen kann. Standardmäßig ist es die E-Mail-Adresse.
* Die Attribute in der Spalte SAML-Name sind bearbeitbar und können auf der Grundlage des von Ihnen verwendeten Identitätsanbieters angepasst werden.
So konfigurieren Sie Attribute:
Klicken Sie in der RAS-Konsole mit der rechten Maustaste auf einen Identitätsanbieter, den Sie in den vorherigen Schritten hinzugefügt haben.
Wählen Sie im Dialogfeld Eigenschaften des Identitätsanbieters die Registerkarte Attribute aus. Auf dieser Registerkarte können Sie die Attribute, die für den Vergleich verwendet werden sollen, auswählen oder löschen oder benutzerdefinierte Attribute erstellen:
Die ausgewählten Attribute werden für eine Übereinstimmung verglichen.
Die Namen aller vorkonfigurierten SAML-Attribute (die Identitätsanbieter-Seite) können bei Bedarf an die AD-Attribute angepasst werden.
Das benutzerdefinierte Attribut kann verwendet werden, damit jeder SAML-Attributname mit jedem AD-Attributwert übereinstimmen kann. Standardmäßig ist es die E-Mail-Adresse.
Konfigurieren und aktivieren Sie die gewünschten Attribute je nach Bedarf auf der Grundlage der auf der Identitätsanbieter-Seite konfigurierten Attribute.
Klicken Sie auf OK, um das Dialogfeld zu schließen.
Hinweis 1: Mehrere Attribute werden in der dargestellten Reihenfolge verwendet. Fällt ein Attribut aus, wird das nächste konfigurierte Attribut verwendet. Es wird jeweils nur ein Attribut verwendet (in entweder/oder Weise). Hinweis 2: Wenn mehrere AD-Benutzer mit dem gleichen AD-Attributwert konfiguriert sind, schlägt der Benutzerabgleich fehl. Wenn beispielsweise das E-Mail-Attribut gewählt wird und verschiedene AD-Benutzer die gleiche E-Mail-Adresse haben, ist der Attributabgleich zwischen Identitätsanbieter-Konto und AD-Benutzerkonto nicht erfolgreich.
Tipps zur Konfiguration von Attributen
Wenn möglich, verwenden Sie eine Automatisierung für die Benutzersynchronisierung (z. B. Microsoft Azure AD Connect für die Azure Identitätsanbieterkonfiguration) zwischen Ihrem Active Directory und dem Identitätsanbieter, um den Aufwand für das Benutzeridentitätsmanagement zu minimieren.
Wählen Sie ein Benutzeridentifikationsattribut, das für Ihre Umgebung eindeutig ist, wie z. B. den User Principal Name (UPN) oder die Immutable ID (ObjectGuid), wenn möglich. Alternativ können Sie auch andere eindeutige Identifikatoren wie die E-Mail-Adresse verwenden. Stellen Sie in diesem Fall sicher, dass das Feld E-Mail-Adresse im Benutzerobjekt im AD konfiguriert ist. Wenn Sie Microsoft Exchange Server verwenden, verwenden Sie die Registerkarte Exchange-Adressen und die Exchange-Richtlinien.
Wenn Sie UPN als Attribut verwenden, können Sie auch alternative UPN-Suffixe konfigurieren. Dies kann von Active Directory-Domänen und -Trusts aus erfolgen (wählen Sie Root > Rechtsklick, um das Dialogfeld Eigenschaften zu öffnen). Sobald ein neues alternatives UPN-Suffix erstellt wurde, können Sie den UPN in den Benutzerobjekteigenschaften von Active Directory-Benutzern und -Computern ändern.
Kontobild hinzufügen
Um das Ganze noch weiter zu personalisieren, können Sie ein benutzerdefiniertes Kontobild hinzufügen, das während der Benutzeranmeldung bei der Verwendung von Single Sign-On auf dem Windows-Anmeldebildschirm angezeigt wird. Dies wird in https://kb.parallels.com/en/129028 näher beschrieben.