Voraussetzungen
Um SAML in Parallels RAS zu konfigurieren, benötigen Sie Folgendes:
Microsoft Active Directory mit den folgenden zwei vorhandenen Benutzerkonten:
Benutzer des Enrollment Agents: wird verwendet, um Zertifikate über den RAS Registrierungsserver (ES) im Namen des authentifizierten Benutzers zu registrieren.
NLA-Benutzer: wird verwendet, um die NLA-Verbindung mit RD-Sitzungshosts und/oder VDI-Gästen zu initiieren.
Weitere Informationen über erforderliche Berechtigungen und Delegierungen finden Sie unter Konfiguration des Active Directory-Benutzerkontos. Beachten Sie, dass die Verwendung von Azure Active Directory Domain Services (AADDS) nicht in Verbindung mit SAML SSO unterstützt wird.
Microsoft Enterprise Certification Authority (CA) einschließlich der folgenden Vorlagen:
Vorlage für das Zertifikat des Enrollment Agent
Vorlage für Smartcard-Anmeldezertifikate
Externer Identitätsanbieter wie Azure, Okta, Ping Identity, Gemalto SafeNet und andere. Hier werden die Benutzerkonten untergebracht. Benutzerkonten im Identitätsanbieter müssen mit der Microsoft Active Directory-Umgebung synchronisiert werden. Bitte wenden Sie sich an den Anbieter, um zu erfahren, wie Sie die Benutzer ordnungsgemäß synchronisieren können.
Domänencontroller müssen über Domänencontroller-Zertifikate verfügen. Die Zertifikate auf den Domänencontrollern müssen die Smartcard-Authentifizierung unterstützen. Zertifikate werden mit der Microsoft CA-Zertifikatvorlage Domänencontrollerauthentifizierung“ erstellt. Manuell erstellte Domänencontroller-Zertifikate funktionieren möglicherweise nicht. Wenn Sie die Fehlermeldung Request Not Supported“ (Anforderung nicht unterstützt) erhalten, müssen Sie möglicherweise Domänencontroller-Zertifikate neu erstellen. Stellen Sie sicher, dass RD-Sitzungshosts und VDIs über das von der CA ausgestellte Stammzertifikat im Speicher der Trusted Root Certification Authorities verfügen.
Eine Parallels RAS-Farm mit RD-Sitzungshost und/oder VDI-Workloads (ausgeführt auf einem 64-Bit-Betriebssystem).
Aus Sicherheitsgründen wird empfohlen, den RAS Registrierungsserver auf einem dedizierten Host zu installieren. Der Host sollte ein eigenständiger Server sein, auf dem keine anderen Komponenten und Rollen installiert sind.
Sowohl SAML- als auch RAS-Registrierungsserver-Konfigurationen sind standortspezifische Einstellungen innerhalb der RAS-Umgebung. RAS-Administratoren müssen die Berechtigungen Zugriff auf Site-Informationen zulassen“ und Änderungen an Farm zulassen“ delegiert haben.
Hinweis: Für einige der oben genannten Aufgaben sind Kenntnisse über die Konfiguration von Microsoft Active Directory und Gruppenrichtlinien erforderlich. Azure Active Directory Domain Services (AADDS) und Azure Virtual Desktop-Zugang werden derzeit nicht mit Parallels RAS SAML SSO unterstützt.