Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
In diesem Abschnitt:
Der Benutzer des Enrollment Agents und der NLA-Benutzer müssen in Microsoft Active Directory erstellt werden. Im Folgenden wird beschrieben, wie Sie diese Benutzer anlegen.
Benutzerkonto des Enrollment Agents
Das Benutzerkonto des Enrollment Agents ist erforderlich, um Zertifikate über den RAS-Registrierungsserver im Namen des authentifizierten Benutzers zu registrieren. Beachten Sie, dass der Enrollment Agent-Benutzer Anmelderechte auf dem Rechner benötigt, auf dem der RAS Enrollment Server Agent installiert ist.
NLA-Benutzerkonto
Der NLA-Benutzer wird benötigt, um die NLA-Verbindung mit RD-Sitzungshosts und/oder VDI-Gästen zu initiieren. Beachten Sie, dass der NLA-Benutzer Anmelderechte für den Sitzungshost benötigt.
Der NLA-Benutzer muss Mitglied der Gruppe der Remotedesktopbenutzer sein und die Berechtigung Anmelden über Remotedesktopdienste zulassen erhalten. Gleichzeitig muss es dem NLA-Benutzer untersagt werden, sich über Remotedesktopdienste anzumelden.
Um das NLA-Benutzerkonto auszuschließen, muss ihm das Recht Anmelden über Remotedesktopdienste verweigern zugewiesen werden.
Um beide Ziele zu erreichen, können Sie lokale oder Domänen-GPOs (mit OU oder domänenweit verknüpft) verwenden.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam ist. Jede Änderung der Zuweisung von Benutzerrechten für ein Konto wird wirksam, wenn sich der Eigentümer des Kontos das nächste Mal anmeldet.
Die Gruppenrichtlinieneinstellungen werden über GPOs in der folgenden Reihenfolge angewendet, wodurch die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:
Lokale Richtlinieneinstellungen
Einstellungen der Website-Richtlinien
Einstellungen der Domänenrichtlinie
OU-Richtlinien-Einstellungen
Erstellen Sie ein neues GPO oder verwenden Sie das Standard-Domänenrichtlinien-GPO wie folgt:
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC).
Öffnen oder erstellen Sie ein GPO, das mit der OU verknüpft ist, in der sich die RDSH- oder VDI-Objekte befinden.
Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten und öffnen Sie die Option Anmeldung über Remotedesktopdienste zulassen“.
Wählen Sie Benutzer oder Gruppe hinzufügen...“, fügen Sie den NLA-Benutzer hinzu und klicken Sie auf OK.
Hinweis: Diese Option setzt die Standardeinstellungen (auf der Workstation und den Servern: Administratoren, Remotedesktopbenutzer; auf Domänencontrollern: Administratoren) außer Kraft. Vergessen Sie daher nicht, die Gruppen wie lokale Administratorengruppe oder Domänen-Administratorengruppe hinzuzufügen.
Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten und öffnen Sie die Option Anmelden über Remotedesktopdienste verweigern.
Wählen Sie Benutzer oder Gruppe hinzufügen...“, fügen Sie den NLA-Benutzer hinzu und klicken Sie auf OK.
Auf der Seite des Dienstanbieters (der Parallels RAS-Seite) müssen Sie die Web (SAML)-Authentifizierung aktivieren und den Identitätsanbieter zur RAS-Farm hinzufügen.
Aktivieren der Web (SAML)-Authentifizierung
Navigieren Sie in der RAS-Konsole zu Verbindung > Authentifizierung.
Wählen Sie im Abschnitt Erlaubte Authentifizierungstypen die Option Web (SAML).
Hinzufügen eines Identitätsanbieters zur RAS-Farm
So fügen Sie einen Identitätsanbieter hinzu:
Navigieren Sie in der RAS-Konsole zu Verbindung > SAML. Wenn die Registerkarte deaktiviert ist, stellen Sie sicher, dass Sie Web (SAML) aktiviert haben. Siehe oben.
Klicken Sie auf Aufgaben > Hinzufügen.
Geben Sie im Assistenten Identitätsanbieter hinzufügen einen Anbieternamen an.
Wählen Sie in der Dropdownliste Verwendung mit dem Design ein Design aus, dem der IdP zugeordnet werden soll. Wenn Sie noch kein bestimmtes Design haben, können Sie das Standarddesign verwenden oder <nicht verwendet> auswählen und später ein Design zuweisen. Beachten Sie, dass es mehrere Identitätsanbieter geben kann, die in derselben RAS-Farm konfiguriert sind. Zurzeit kann jedoch ein Identitätsanbieter einem Schema zugeordnet werden.
Wählen Sie eine der folgenden Methoden aus, die der Assistent verwendet, um die Identitätsanbieter-Informationen zu erhalten:
Veröffentlichte Identitätsanbieter-Metadaten importieren Importieren Sie aus einem im Internet veröffentlichten XML-Dokument. Geben Sie die Dokument-URL aus der Konfiguration der Identitätsanbieter-Seite an.
Identitätsanbieter-Metadaten aus einer Datei importieren Importieren Sie aus einer lokalen XML-Datei, die von der Identitätsanbieter-Anwendung heruntergeladen wurde. Geben Sie den Dateinamen und den Pfad in dem dafür vorgesehenen Feld an.
Geben Sie die Identitätsanbieter-Informationen manuell ein: Wählen Sie diese Option und geben Sie dann die Informationen auf der nächsten Seite des Assistenten manuell ein.
Klicken Sie auf Weiter.
Wenn die Konfiguration im vorherigen Schritt importiert wurde, wird die nächste Seite mit Daten aus der XML-Datei gefüllt. Wenn Sie sich für die manuelle Eingabe der Identitätsanbieterdaten entschieden haben, müssen Sie die Werte selbst eingeben:
IdP-Entitäts-ID: ID der Identitätsanbieter-Entität.
IdP-Zertifikat: Identitätsanbieter-Zertifikatsdaten. Um dieses Feld auszufüllen, müssen Sie das Zertifikat von der Identitätsanbieter-Seite herunterladen, dann die heruntergeladene Datei öffnen, ihren Inhalt kopieren und in dieses Feld einfügen.
Anmelde-URL: Anmelde-URL
Abmelde-URL: Abmelde-URL
Wählen Sie die Option Unverschlüsselte Assertion zulassen, falls erforderlich.
Hinweis: Standardmäßig ist die Option Unverschlüsselte Assertion zulassen deaktiviert. Stellen Sie sicher, dass die Identitätsanbieterkonfiguration auf verschlüsselte Assertion eingestellt ist, oder ändern Sie die Standardeinstellung innerhalb der RAS-Konfiguration.
An dieser Stelle können Sie Einstellungen für den Dienstanbieter (Service-Provider, SP) konfigurieren, die auf der IdP-Seite (IdP-Portal) importiert werden sollen. Sie können es jetzt tun oder später. Um es jetzt zu tun, folgen Sie den nachstehenden Schritten. Um es später zu tun, klicken Sie auf Fertigstellen und öffnen dann ggf. die Eigenschaften des Identifizierungsanbieter-Objekts, wählen die Registerkarte SP und führen dieselben Schritte wie unten beschrieben aus.
Um die SP-Einstellungen zu konfigurieren, klicken Sie auf die Schaltfläche Informationen zum Dienstanbieter.
Geben Sie in dem sich öffnenden Dialogfeld die Hostadresse ein. Der Identitätsanbieter wird auf diese Adresse umleiten, die über den Browser des Endbenutzers zugänglich sein sollte.
Die anderen Felder einschließlich SP-Entitäts-ID, Antwort-URL, Anmelde-URL und Abmelde-URL sind auf der Grundlage der Hostadresse vorbelegt. Das SP-Zertifikat wird automatisch generiert.
Der nächste Schritt besteht darin, die IdP-Konfiguration anhand der oben genannten Werte zu vervollständigen. Diese Werte können manuell kopiert oder als Metadaten-Datei (XML) exportiert werden. Klicken Sie auf den Link SP-Metadaten exportieren zu Datei. Speichern Sie die Metadaten als XML-Datei. Importieren Sie die XML-Datei in Ihren Identitätsanbieter.
Schließen Sie das Dialogfeld und klicken Sie auf Fertigstellen.
Konfigurieren von Benutzerkontoattributen
Bei der Benutzerauthentifizierung durch den Identitätsanbieter werden die Benutzerkontoattribute in Active Directory mit den entsprechenden Attributen in der Identitätsanbieter-Benutzerdatenbank verglichen. Sie können wie unten beschrieben konfigurieren, welche Attribute für den Vergleich verwendet werden sollen.
In der folgenden Tabelle sind die verfügbaren Attribute aufgeführt:
* Die Attribute in der Spalte SAML-Name sind bearbeitbar und können auf der Grundlage des von Ihnen verwendeten Identitätsanbieters angepasst werden.
So konfigurieren Sie Attribute:
Klicken Sie in der RAS-Konsole mit der rechten Maustaste auf einen Identitätsanbieter, den Sie in den vorherigen Schritten hinzugefügt haben.
Wählen Sie im Dialogfeld Eigenschaften des Identitätsanbieters die Registerkarte Attribute aus. Auf dieser Registerkarte können Sie die Attribute, die für den Vergleich verwendet werden sollen, auswählen oder löschen oder benutzerdefinierte Attribute erstellen:
Die ausgewählten Attribute werden für eine Übereinstimmung verglichen.
Die Namen aller vorkonfigurierten SAML-Attribute (die Identitätsanbieter-Seite) können bei Bedarf an die AD-Attribute angepasst werden.
Das benutzerdefinierte Attribut kann verwendet werden, damit jeder SAML-Attributname mit jedem AD-Attributwert übereinstimmen kann. Standardmäßig ist es die E-Mail-Adresse.
Konfigurieren und aktivieren Sie die gewünschten Attribute je nach Bedarf auf der Grundlage der auf der Identitätsanbieter-Seite konfigurierten Attribute.
Klicken Sie auf OK, um das Dialogfeld zu schließen.
Hinweis 1: Mehrere Attribute werden in der dargestellten Reihenfolge verwendet. Fällt ein Attribut aus, wird das nächste konfigurierte Attribut verwendet. Es wird jeweils nur ein Attribut verwendet (in entweder/oder Weise). Hinweis 2: Wenn mehrere AD-Benutzer mit dem gleichen AD-Attributwert konfiguriert sind, schlägt der Benutzerabgleich fehl. Wenn beispielsweise das E-Mail-Attribut gewählt wird und verschiedene AD-Benutzer die gleiche E-Mail-Adresse haben, ist der Attributabgleich zwischen Identitätsanbieter-Konto und AD-Benutzerkonto nicht erfolgreich.
Tipps zur Konfiguration von Attributen
Wenn möglich, verwenden Sie eine Automatisierung für die Benutzersynchronisierung (z. B. Microsoft Azure AD Connect für die Azure Identitätsanbieterkonfiguration) zwischen Ihrem Active Directory und dem Identitätsanbieter, um den Aufwand für das Benutzeridentitätsmanagement zu minimieren.
Wählen Sie ein Benutzeridentifikationsattribut, das für Ihre Umgebung eindeutig ist, wie z. B. den User Principal Name (UPN) oder die Immutable ID (ObjectGuid), wenn möglich. Alternativ können Sie auch andere eindeutige Identifikatoren wie die E-Mail-Adresse verwenden. Stellen Sie in diesem Fall sicher, dass das Feld E-Mail-Adresse im Benutzerobjekt im AD konfiguriert ist. Wenn Sie Microsoft Exchange Server verwenden, verwenden Sie die Registerkarte Exchange-Adressen und die Exchange-Richtlinien.
Wenn Sie UPN als Attribut verwenden, können Sie auch alternative UPN-Suffixe konfigurieren. Dies kann von Active Directory-Domänen und -Trusts aus erfolgen (wählen Sie Root > Rechtsklick, um das Dialogfeld Eigenschaften zu öffnen). Sobald ein neues alternatives UPN-Suffix erstellt wurde, können Sie den UPN in den Benutzerobjekteigenschaften von Active Directory-Benutzern und -Computern ändern.
Kontobild hinzufügen
Um das Ganze noch weiter zu personalisieren, können Sie ein benutzerdefiniertes Kontobild hinzufügen, das während der Benutzeranmeldung bei der Verwendung von Single Sign-On auf dem Windows-Anmeldebildschirm angezeigt wird. Dies wird in https://kb.parallels.com/en/129028 näher beschrieben.
Auf der Seite des Identitätsanbieters müssen Sie Folgendes tun:
Melden Sie sich bei Ihrer bevorzugten Identitätsanbieter-Plattform an und erstellen Sie eine generische oder RAS-spezifische SAML-basierte Anwendung, die mit der Parallels-RAS-Umgebung verwendet wird.
Konfigurieren Sie die Anwendung und beachten Sie die folgenden Konfigurationseigenschaften, die später in Parallels RAS hinzugefügt werden:
Unternehmens-ID
Anmelde-URL
Abmelde-URL
Zertifikat (base64)
Alternativ können Sie eine Metadaten-Datei für den Import in Parallels RAS exportieren. Weitere Hilfe finden Sie unter .
In diesem Abschnitt:
So erstellen Sie die Vorlage für den Enrollment Agent:
Starten Sie vom Zertifizierungsstellen-Server aus die Verwaltungskonsole der Zertifizierungsstelle (MMC) über die Verwaltungswerkzeuge.
Erweitern Sie die CA, klicken Sie mit der rechten Maustaste auf den Ordner „Zertifikatvorlagen“ und wählen Sie Verwalten.
Klicken Sie mit der rechten Maustaste auf die Enrollment-Agent-Vorlage und wählen Sie Vorlage duplizieren. Das Fenster für neue Vorlageneigenschaften wird geöffnet. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Eigenschaften:
Anzeigename der Vorlage: PrlsEnrollmentAgent
Vorlagenname: PrlsEnrollmentAgent
Gültigkeitsdauer: 2 Jahre
Erneuerungszeitraum: 6 Wochen
Zertifikat in Active Directory veröffentlichen: EIN
Nicht automatisch neu registrieren, wenn ein identisches Zertifikat bereits in Active Directory vorhanden ist: AUS
Hinweis: Der Anzeigename kann ein beliebiger Name sein, jedoch muss der Vorlagenname mit dem oben hervorgehobenen Vorlagennamen übereinstimmen.
Wählen Sie die Registerkarte Kryptografie und stellen Sie die folgenden Werte ein:
Anbieter-Kategorie: Legacy-Kryptografiedienstanbieter (schreibgeschützt).
Name des Algorithmus: Bestimmt durch CSP
Minimale Schlüsselgröße: Die gewünschte minimale Schlüsselgröße bis zu 4096 Bit
Wählen Sie im Abschnitt Auswählen der für Anforderungen verwendbaren Kryptografieanbieter die Option Für Anforderungen muss einer der folgenden Anbieter verwendet werden. Wählen Sie in der folgenden Liste der Anbieter den gewünschten Anbieter aus.
Wählen Sie die Registerkarte Sicherheit und gehen Sie wie folgt vor:
Klicken Sie auf Hinzufügen.
Fügen Sie das Benutzerkonto des Enrollment Agents hinzu.
Erlauben (auswählen) Sie die Berechtigung „Lesen“ und „Anmelden“. Klicken Sie auf Übernehmen und OK.
So stellen Sie die von Ihnen erstellte Zertifikatvorlage aus:
Führen Sie die Zertifizierungsstelle erneut aus und klicken Sie mit der rechten Maustaste auf Zertifizierungsvorlagen, wählen Sie „neu“ und klicken Sie auf Auszustellende Zertifikatvorlage.
Wählen Sie die Zertifikatvorlage, die Sie in den vorherigen Schritten erstellt haben (d. h. Prls Enrollment Agent), und klicken Sie auf OK.
Die Zertifikatvorlage sollte in der Liste Zertifikatvorlagen erscheinen.
Hinweis: Nachdem Sie die Vorlage für den Enrollment Agent und die Smartcard-Anmeldevorlage (später beschrieben) erstellt haben, sollten Sie den Active Directory-Zertifikatdienste-Dienst in Windows neu starten.
So erstellen Sie eine Smartcard-Anmeldezertifikat-Vorlage:
Starten Sie vom Zertifizierungsstellen-Server aus die Verwaltungskonsole der Zertifizierungsstelle (MMC) über die Verwaltungswerkzeuge.
Erweitern Sie die CA, klicken Sie mit der rechten Maustaste auf den Ordner „Zertifikatvorlagen“ und wählen Sie Verwalten.
Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage „Smartcard-Anmeldung“ und wählen Sie dann Duplizieren.
Die neuen Vorlageneigenschaften werden auf der Registerkarte Allgemein geöffnet. Geben Sie einen Vorlagennamen in das Textfeld ein. Beachten Sie, dass der wirkliche Name automatisch ohne Leerzeichen im zweiten Textfeld erscheint. Merken Sie sich diesen Namen. Sie benötigen ihn später zur Konfiguration der SAML-Funktion. Die Optionen auf dieser Registerkarte sollten wie folgt konfiguriert werden:
Anzeigename der Vorlage: PrlsSmartcardLogon
Vorlagenname: PrlsSmartcardLogon
Gültigkeitsdauer: 1 Jahre
Erneuerungszeitraum: 6 Wochen
Zertifikat in Active Directory veröffentlichen: AUS
Nicht automatisch neu registrieren, wenn ein identisches Zertifikat bereits in Active Directory vorhanden ist: AUS
Hinweis: Der Anzeigename kann ein beliebiger Name sein, jedoch muss der Vorlagenname mit dem oben hervorgehobenen Vorlagennamen übereinstimmen.
Wählen Sie die Registerkarte Kryptografie und stellen Sie die folgenden Werte ein:
Anbieter-Kategorie: Legacy-Kryptografiedienstanbieter (schreibgeschützt).
Name des Algorithmus: Bestimmt durch CSP
Minimale Schlüsselgröße: Die gewünschte minimale Schlüsselgröße bis zu 4096 Bit
Wählen Sie im Abschnitt Auswählen der für Anforderungen verwendbaren Kryptografieanbieter die Option Für Anforderungen muss einer der folgenden Anbieter verwendet werden. Wählen Sie in der folgenden Liste der Anbieter den gewünschten Anbieter aus.
Wählen Sie die Registerkarte Ausstellungsvoraussetzungen und stellen Sie die folgenden Werte ein:
Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle: AUS
Diese Anzahl an autorisierten Signaturen: 1
Erforderlicher Richtlinientyp für Signatur: Anwendungsrichtlinie
Anwendungsrichtlinie: Agent für Zertifikatsanforderungen
Gleiche Kriterien wie für Registrierung: EIN
Wählen Sie die Registerkarte Sicherheit und gehen Sie wie folgt vor:
Klicken Sie auf Hinzufügen.
Fügen Sie das Benutzerkonto des Enrollment Agents hinzu.
Erlauben (auswählen) Sie die Berechtigung „Lesen“ und „Anmelden“. Klicken Sie auf Übernehmen und OK.
So stellen Sie die von Ihnen erstellte Zertifikatvorlage aus:
Führen Sie die Zertifizierungsstelle erneut aus und klicken Sie mit der rechten Maustaste auf Zertifizierungsvorlagen, wählen Sie „neu“ und klicken Sie auf Auszustellende Zertifikatvorlage.
Wählen Sie die Zertifikatvorlage, die Sie in den vorherigen Schritten erstellt haben (d. h. Prls Smarcard-Anmeldung), und klicken Sie auf OK.
Die Zertifikatvorlage sollte in der Liste Zertifikatvorlagen erscheinen.
Hinweis: Nachdem Sie die Vorlage Smartcard-Anmeldung und den Enrollment Agent (früher beschrieben) erstellt haben, sollten Sie den Active Directory-Zertifikatdienste-Dienst in Windows neu starten.
RAS-Name
SAML-Name *
AD-Name
Beschreibung
UserPrincipalName
NameID
userPrincipalName
Der User Principal Name (UPN) ist der Name eines Systembenutzers in einem E-Mail-Adressformat.
Unveränderliche ID
Unveränderliche ID
objectGUID
Ein universell eindeutiger Identifikator.
SID
SID
objectSid
Eine ObjectSID enthält einen Domänenpräfixbezeichner, der die Domäne eindeutig identifiziert, und einen Relativbezeichner (RID), der den Sicherheitsprinzipal innerhalb der Domäne eindeutig identifiziert.
sAMAccountName
sAMAccountName
sAMAccountName
Das sAMAccountName-Attribut ist ein Anmeldename, der zur Unterstützung von Clients und Servern früherer Windows-Versionen, wie z. B. Windows NT 4.0 und anderen, verwendet wird.
Eigene
Ein benutzerdefiniertes Attribut, das verwendet wird, damit jeder SAML-Attributname mit jedem AD-Attributwert übereinstimmen kann. Standardmäßig ist es die E-Mail-Adresse.
Beispiele für die Integration verschiedener Identitätsanbieter mit Parallels RAS finden Sie in der Anleitung SAML SSO-Authentifizierung Examples, die auf der Parallels-Website unter https://www.parallels.com/de/products/ras/resources/ verfügbar ist.
Für eine hohe Verfügbarkeit können jeder Website mehrere Registrierungsserver (Enrollment Server, ES) hinzugefügt werden. Alle aktivierten und verifizierten ES werden aktiv/aktiv genutzt. Bei der Benutzeranmeldung werden Anfragen von Workload-VMs wie RD-Sitzungshosts oder VDIs gleichmäßig auf die verfügbaren ES verteilt. Im Falle von Fehlern bei einem bestimmten ES wird der nächste verfügbare ES ausgewählt und der SAML SSO-Authentifizierungsprozess wird fortgesetzt. Insbesondere für die manuelle Bereitstellung mehrerer ES ist es wichtig zu beachten, dass alle ES am selben Standort denselben Registrierungsschlüssel verwenden, der in dem angegebenen Pfad bereitgestellt werden muss, wie im Abschnitt RAS-Registrierungsserverkonfiguration erwähnt.
Hinweis: Mehrere ES teilen sich keinen gemeinsamen Zertifikatsspeicher, und alle Zertifikate sind auf jedem ES getrennt. Dies bedeutet, dass im Falle mehrerer ES derselbe Benutzer möglicherweise unterschiedliche Zertifikate auf verschiedenen ES zur Verfügung hat.
Bei der Benutzerauthentifizierung durch den Identitätsanbieter erfolgt werden die Benutzerkontoattribute in Active Directory mit den entsprechenden Attributen in der Identitätsanbieter-Benutzerdatenbank verglichen. Die zu vergleichenden Attribute werden auf dem Identitätsanbieter und in der RAS-Konsole konfiguriert. Einzelheiten finden Sie unter Konfiguration der SP-Seite (RAS-Seite).
Der RAS Registrierungsserver kommuniziert mit der Microsoft Certificate Authority (CA), um digitale Zertifikate im Namen eines Benutzers für die SSO-Authentifizierung in der Parallels-RAS-Umgebung anzufordern, zu registrieren und zu verwalten.
Hinweis: Aus Sicherheitsgründen sollte der RAS-Registrierungsserver auf einem sicheren, dedizierten Server installiert werden, ähnlich wie ein Active Directory Domain Controller oder eine Zertifizierungsstelle, auf dem keine anderen RAS-Komponenten von Parallels installiert sind.
Einrichten und konfigurieren von RAS-Registrierungs- Server
Sie können den RAS-Registrierungsserver-Agent von der RAS-Konsole aus per Fernzugriff auf einem bestimmten Server installieren. Sie können den Agent auch installieren, indem Sie das Standard-RAS-Installationsprogramm auf dem gewünschten Server ausführen.
So installieren Sie den RAS-Registrierungsserver per Fernzugriff:
Navigieren Sie in der RAS-Konsole zu Serverfarm > Site > Registrierungsserver.
Klicken Sie auf Aufgaben > Hinzufügen.
Geben Sie den FQDN oder die IP-Adresse des Servers an, auf dem der RAS-Registrierungsserver installiert werden soll.
Klicken Sie auf Weiter.
Klicken Sie im Dialogfeld Informationen zum Registrierungsserver-Agent auf Installieren und folgen Sie den Anweisungen auf dem Bildschirm.
So installieren Sie den RAS-Registrierungsserver mit dem Parallels-RAS-Installationsprogramm:
Führen Sie das Parallels-RAS-Installationsprogramm auf dem Server aus, auf dem der RAS-Registrierungsserver-Agent installiert werden soll.
Wählen Sieauf der Seite Installationstyp wählen Benutzerdefiniert und klicken Sie auf Weiter.
Löschen Sie alle anderen Komponenten und wählen Sie die Komponente Parallels RAS Registrierungsserver.
Klicken Sie auf Weiter und folgen Sie den Anweisungen auf dem Bildschirm.
Sobald der RAS-Registrierungsserver installiert ist, öffnen Sie die RAS-Konsole und navigieren Sie zu Serverfarm > Site > Registrierungsserver.
Klicken Sie auf Aufgaben > Hinzufügen.
Geben Sie den FQDN oder die IP-Adresse des Registrierungsservers ein und klicken Sie auf Weiter.
Folgen Sie den Anweisungen auf dem Bildschirm, um den Server zur Farm hinzuzufügen.
Abrufen und Kopieren des Registrierungsschlüssels
Wenn Sie eine manuelle Installation mit dem RAS-Installationsprogramm durchführen, ist es erforderlich, eine Registrierungsschlüsseldatei auf dem Host des Registrierungsservers zu platzieren. Dieser Schritt ist nicht erforderlich, wenn der RAS-Registrierungsserver-Agent per Fernzugriff über die RAS-Konsole bereitgestellt wurde.
Zunächst müssen Sie die Registrierungsschlüsseldatei wie folgt erhalten:
Öffnen Sie die RAS-Konsole und navigieren Sie zu Serverfarm > Site > Registrierungsserver.
Klicken Sie auf Aufgaben > Registrierungsschlüssel exportieren.
Speichern Sie den Schlüssel in einer Datei namens registration.crt.
Sobald Sie die Datei registration.crt haben, kopieren Sie sie in den folgenden Ordner auf dem Server, auf dem der RAS-Registrierungsserver installiert ist, standardmäßig in den folgenden Pfad:
C:\Programmdateien (x86)\Parallels\ApplicationServer\x64
Hinweis: Die Registrierungsschlüsseldatei muss zwingend den Namen registration.crt“ tragen.
Konfigurieren für die AD- Integration
Nachdem Sie den RAS-Registrierungsserver in der RAS-Konsole hinzugefügt haben, müssen Sie die AD-Integration für ihn wie folgt konfigurieren:
Navigieren Sie in der RAS-Konsole zu Serverfarm / Site > Registrierung Server.
Wählen Sie die Registerkarte AD Integration.
Geben Sie im Abschnitt Zertifizierungsstelle (CA) die Konfigurationszeichenfolge Ihrer Unternehmens-CA an, in der die neuen Zertifikatvorlagen (Prls Enrollment Agent und Prls Smartcard Logon) erstellt wurden. Dies sollte in folgendem Format geschehen:
CAhostname.domain\issuing CA Name
Alternativ können Sie auf die Schaltfläche [...] klicken, um eine CA auszuwählen. Einzelheiten zur Konfiguration finden Sie unter Vorlagen für Zertifizierungsstellen konfigurieren.
Geben Sie im Abschnitt Enrollment Agent den Benutzernamen und das Passwort des Enrollment Agents an. Einzelheiten zur Konfiguration finden Sie unter Konfiguration des Active Directory-Benutzerkontos.
Geben Sie im Abschnitt NLA-Benutzer die NLA- des Enrollment Agents an. Einzelheiten zur Konfiguration finden Sie unter Konfiguration des Active Directory-Benutzerkontos.
Klicken Sie auf die Schaltfläche Einstellungen für die AD- Integration überprüfen, um sicherzustellen, dass die von Ihnen eingegebenen Informationen gültig sind.
Verwenden der Tools zur Computerverwaltung
Sie können Standardaufgaben der Computerverwaltung auf einem RAS-Registrierungsserver-Host direkt von der RAS-Konsole aus ausführen. Dazu gehören Remotedesktopverbindung, PowerShell, Computerverwaltung, Dienstverwaltung, Ereignisanzeige, IPconfig, Neustarten und andere. Um auf das Menü Tools zuzugreifen, klicken Sie auf Aufgaben > Tools und wählen Sie das gewünschte Tool. Informationen zu Anforderungen und Verwendung finden Sie unter Tools zur Computerverwaltung.
Aus Sicherheitsgründen ist es ratsam, Einschränkungen für den Enrollment Agent einer CA so zu konfigurieren, dass nur die neu erstellten Benutzerrechte des Enrollment Agents die Registrierung von Zertifikaten im Namen der Benutzer zulassen. Befolgen Sie dazu die folgenden Schritte.
Öffnen Sie das Snap-in der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf den Namen der CA und dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Enrollment Agent, klicken Sie auf Enrollment Agents einschränken und klicken Sie in der angezeigten Meldung auf OK.
Klicken Sie unter Enrollment Agents auf Hinzufügen, geben Sie den Namen des in den vorherigen Schritten erstellten Benutzers für den Enrollment Agent ein und klicken Sie dann auf OK. Klicken Sie auf Alle und dann auf Entfernen.
Klicken Sie unter Zertifikatvorlagen auf Hinzufügen, wählen Sie die erstellten Vorlagen aus (Prls Enrollment Agent und Prls Smartcard Logon) und klicken Sie dann auf OK. Wenn Sie mit dem Hinzufügen der Namen von Zertifikatvorlagen fertig sind, klicken Sie auf <All> und dann auf Entfernen.
Klicken Sie unter Berechtigungen auf Hinzufügen, geben Sie die Namen oder Gruppen ein, die die Benutzer oder Gruppen sind, von denen erwartet wird, dass sie sich mit SAML bei der RAS-Umgebung anmelden, und klicken Sie dann auf OK. Klicken Sie auf Alle und dann auf Entfernen.
Wenn Sie den Enrollment Agent an der Verwaltung von Zertifikaten für andere Benutzer, Computer oder Gruppen hindern möchten, wählen Sie unter Berechtigungen diesen Benutzer, Computer oder diese Gruppe aus und klicken Sie dann auf Verweigern.
Wenn Sie die Konfiguration der Einschränkungen für den Enrollment Agent abgeschlossen haben, klicken Sie auf OK oder Übernehmen.
Hinweis: Der Benutzer oder die Gruppe, auf den bzw. die Sie Einschränkungen für den Enrollment Agent angewendet haben, muss über ein gültiges Enrollment-Agent-Zertifikat für die CA verfügen, bevor er bzw. sie als Enrollment Agent agieren kann, unabhängig davon, ob eingeschränkte Enrollment Agenten-Berechtigungen konfiguriert wurden oder nicht.
Parallels Web Client
Es ist keine zusätzliche Konfiguration erforderlich.
Parallels Client für Windows
Siehe Benutzerhandbuch für Parallels Client für Windows
Parallels Client für Mac
So konfigurieren Sie Parallels Client für Mac für die SAML SSO-Authentifizierung:
Wählen Sie eine Verbindung aus (oder erstellen Sie eine neue) und öffnen Sie deren Eigenschaften.
Wählen Sie auf der Registerkarte Verbindung im Abschnitt Anmeldung die Option Web als Authentifizierungstyp.
Wählen Sie die Registerkarte Erweitert und aktivieren oder deaktivieren Sie die Option Standard-Browser des Betriebssystems verwenden (Abschnitt Web-Authentifizierung). Wenn die Option ausgewählt ist, wird das SAML SSO-Anmeldedialogfeld im Standardbrowser geöffnet. Wenn die Option deaktiviert ist, wird der in den Parallels Client integrierte Browser verwendet.
Schließen Sie das Dialogfeld, um die Verbindungseigenschaften zu speichern.
Bei der Verbindung mit Parallels RAS wird ein Dialogfeld in einem Webbrowser geöffnet, in dem der Benutzer aufgefordert wird, Anmeldeinformationen einzugeben, die vom Identitätsanbieter überprüft werden sollen. Wenn die Anmeldeinformationen gültig sind, wird die Liste der veröffentlichten Anwendungen in Parallels Client angezeigt.
Parallels Client für Linux:
So konfigurieren Sie Parallels Client für Linux für die SAML SSO-Authentifizierung:
Wählen Sie eine Verbindung aus (oder erstellen Sie eine neue) und öffnen Sie deren Eigenschaften.
Wählen Sie auf der Registerkarte Verbindung im Abschnitt Anmeldung die Option Web als Authentifizierungstyp.
Wenn Sie weitere Einstellungen vornehmen möchten, gehen Sie wie folgt vor:
Installieren Sie die QtWebEngine-Bibliothek.
Wählen Sie die Registerkarte Erweiterte Einstellungen und klicken Sie auf die Schaltfläche Erweiterte Verbindungseinstellungen.
Aktivieren oder deaktivieren Sie im Abschnitt Web-Authentifizierung die Option Standard-Browser des Betriebssystems verwenden. Wenn die Option ausgewählt ist, wird das SAML SSO-Anmeldedialogfeld im Standardbrowser geöffnet. Wenn die Option deaktiviert ist, wird der in den Parallels Client integrierte Browser verwendet.
Wenn Sie den integrierten Browser verwenden, wählen Sie die Option Browserfenster öffnen, um die Abmeldung abzuschließen im Abschnitt Web-Authentifizierung aus oder deaktivieren diese. Wenn diese Option ausgewählt wird, wird eine URL geöffnet, um die Abmeldung von SAML durchzuführen. Standardmäßig wird diese Webseite nicht angezeigt, aber wenn Sie mit dem Browser interagieren müssen, können Sie diese Option aktivieren.
Schließen Sie das Dialogfeld, um die Verbindungseigenschaften zu speichern.
Wenn bei der SAML-SSO-Authentifizierung ein Fehler auftritt, erscheinen Fehlermeldungen im Webbrowser.
Vor dem Laden von HTML5
Nach dem Laden von HTML5
Sobald eine Anwendung oder ein Desktop gestartet wird
Fehlermeldung:
Kommentare
SAML-Assertion kann nicht analysiert werden
Beim Lesen und Validieren der SAML-Assertion ist ein Fehler aufgetreten. Weitere Informationen finden Sie in HTML5 Logs.
Mögliche bekannte Ursachen:
Die SAML-Antwort ist für diese Zielgruppe nicht gültig: Die wahrscheinlichste Ursache für dieses Problem ist eine falsche Konfiguration auf dem IDP, insbesondere die Entitäts-ID-URL. Die URL der Entitäts-ID in der Assertion stimmt nicht mit der Entitäts-ID überein, die in den SP SAML-Einstellungen angegeben ist.
Erwartet 1 Assertion oder 1 verschlüsselte Assertion; 0 gefunden: Das Assertion/EncryptedAssertion-Tag wurde in der Antwort nicht gefunden. Der Web Client erwartet eine verschlüsselte Assertion, während der Identitätsanbieter eine unverschlüsselte sendet. Dieses Problem kann entweder durch Änderung der IDP-Einstellungen zum Senden einer verschlüsselten Assertion oder durch Auswahl der entsprechenden Option unter RAS-Konsole > Verbindung > SAML > IDP-Einstellungen > Unverschlüsselte Assertion zulassen“ behoben werden
SAML-Antwort ist noch nicht gültig: Dies kann passieren, wenn die Zeit des Servers, auf dem RAS Gateway installiert ist, falsch ist, z. B. 4 Sekunden zu spät. In diesem Fall wird die Assertion erstellt, bevor versucht wird, sie zu analysieren.
SAML-Antwort ist nicht mehr gültig: Dies kann passieren, wenn die Zeit des Servers, auf dem RAS Gateway installiert ist, falsch ist. Falls sie später manuell eingestellt wird, könnte die Assertion als nicht mehr gültig angesehen werden, während versucht wird, sie zu validieren.
SAML-Assertion-Hauptteil ist leer
SAML Assertion wurde in der Antwort nicht gefunden. Weitere Informationen finden Sie in HTML5 Logs
Es ist nicht möglich, eine SAML-Abmeldeanforderung zu erstellen
Beim Erstellen der SAML-Abmeldeanforderung ist ein Fehler aufgetreten. Weitere Informationen finden Sie in HTML5 Logs.
Es ist nicht möglich, eine SAML-Abmeldeantwort zu erstellen
Beim Erstellen der Abmeldeantwort ist ein Fehler aufgetreten. Weitere Informationen finden Sie in HTML5 Logs.
Fehlercode
Fehlermeldung:
Kommentare
0x00000029
SAML Identitätsanbieter-Einstellungen nicht gefunden. IdP Id:'xxx'
Überprüfen Sie die Einstellungen des Identitätsanbieters. Prüfen Sie, ob die IdP-Metadaten korrekt importiert wurden.
0x0000002A
Das Laden der SAML Identitätsanbieter-Info-Schlüssel ist fehlgeschlagen. IdP Id:'xxx'
Prüfen Sie, ob das IdP-Zertifikat in den IdP-Einstellungen vorhanden ist.
0x0000002B
Konflikt SAML-Schema
Überprüfen Sie, ob das Thema in den IdP-Einstellungen korrekt eingestellt ist.
0x0000002C
Anmeldung mit SAML ist fehlgeschlagen. Fehler: 0x00001
Siehe nachstehende Fehler
0x00000029
Kein Reservierungsserver verfügbar
Überprüfen Sie den Status der Registrierungsserver.
0x0000002A
Fehlende NLA-Benutzerkonfiguration
NLA-Benutzerdetails eingeben
0x00000003
Anmeldung mit SAML ist fehlgeschlagen. Fehler: AD-Benutzer konnte nicht ermittelt werden“ 0x00000006
Prüfen Sie, ob die Einstellungen der Attribute in den IdP-Eigenschaften korrekt sind.
0x00000003
Anmeldung mit SAML ist fehlgeschlagen. Fehler: Die Antwort konnte nicht validiert und entschlüsselt werden“ 0x00000009
Prüfen Sie, ob das IdP-Zertifikat in den IdP-Einstellungen vorhanden ist.
0x00000003
Anmeldung mit SAML ist fehlgeschlagen. Fehler: Assertion ist nicht verschlüsselt“ 0x0000001C
Prüfen Sie, ob die IdP-Einstellungen für die Anmeldeanforderung korrekt sind.
0x00000003
Anmeldung mit SAML ist fehlgeschlagen. Fehler: Die Assertion konnte nicht entschlüsselt werden“ 0x0000001D
Überprüfen Sie, ob das SP-Zertifikat in den IdP-Einstellungen korrekt eingestellt ist.
0x00000003
Anmeldung mit SAML ist fehlgeschlagen. Fehler: Überprüfung der Assertion ist fehlgeschlagen“ 0x0000001F
Prüfen Sie, ob das IdP-Zertifikat in den IdP-Einstellungen vorhanden ist.
Fehlermeldung:
Beschreibung und Referenz
Benutzername oder Passwort ungültig
Das Benutzerzertifikat ist gültig, aber der Domänencontroller hat es nicht akzeptiert. Überprüfen Sie die Kerberos-Protokolle auf dem Domänencontroller.
Das System konnte Sie nicht anmelden. Ihre Anmeldedaten konnten nicht überprüft werden.
Überprüfen Sie die Konnektivität mit dem Domänencontroller und prüfen Sie, ob die entsprechenden Zertifikate installiert sind.
Der Antrag wird nicht unterstützt
Die Zertifikate Domänencontroller“ und Domänencontrollerauthentifizierung“ auf dem Domänencontroller erfordern eine Registrierung, auch wenn sie bereits verfügbar sind.
Das System konnte Sie nicht anmelden. Das zur Authentifizierung verwendete Smartcard-Zertifikat war nicht vertrauenswürdig.
Die Zwischen- und Stammzertifikate sind nicht auf dem Rechner installiert, auf dem der Fehler angezeigt wird. Das CA-Stammzertifikat und etwaige Zwischenzertifikate müssen den vertrauenswürdigen Stammzertifikaten“ im lokalen Computerkonto hinzugefügt werden.
Sie können sich nicht anmelden, weil die Smartcard-Anmeldung für Ihr Konto nicht unterstützt wird.
Das Benutzerkonto ist nicht vollständig für die Smartcard-Anmeldung konfiguriert worden.
Es konnte kein gültiges Smartcard-Zertifikat gefunden werden.
Überprüfen Sie die Konfiguration des PrlsSmartcardCertificate. Die Erweiterungen sind möglicherweise nicht korrekt eingestellt, oder der RSA-Schlüssel ist kleiner als 2048 Bit.
Fehlerhafte Anforderung
Überprüfen Sie die Konfiguration des PrlsSmartcardCertificate. Die Erweiterungen sind möglicherweise nicht korrekt eingestellt, oder der RSA-Schlüssel ist kleiner als 2048 Bit.
Zusätzlich zur Angabe von SAML SSO-Optionen direkt auf der Client-Seite können Sie diese auch über die Parallels Client-Richtlinie in der RAS-Konsole festlegen. Gehen Sie dazu folgendermaßen vor:
Wählen Sie in der RAS-Konsole die Kategorie Richtlinien.
Öffnen Sie die Richtlinieneigenschaften und navigieren Sie zu Sitzung > Verbindung > Primäre Verbindung.
Wählen Sie in der Dropdownliste Authentifizierungstyp die Option Web.
Navigieren Sie zu Sitzung > Verbindung > Web-Authentifizierung.
Aktivieren oder deaktivieren Sie die Option Standard-Browser des Betriebssystems verwenden. Wenn die Option ausgewählt ist, wird das SAML SSO-Anmeldedialogfeld auf der Client-Seite im Standardbrowser geöffnet. Wenn die Option deaktiviert ist, wird der in den Parallels Client integrierte Browser verwendet.
Hinweis: Um den SAML SSO-Anmeldedialog mit dem integrierten Browser zu starten, während Sie Parallels RAS Console 19.3 oder höher verwenden, benutzen Sie Parallels RAS Client für Windows 19.3 oder höher
Siehe auch Parallels Client-Konfiguration.
Wenn Sie die SAML SSO-Authentifizierung konfiguriert haben, können Sie sie wie unten beschrieben testen.
Über den Dienstanbieter initiierte Authentifizierung
Verwenden Sie einen Webbrowser, um den RAS Web Client zu öffnen (oder verwenden Sie einen plattformspezifischen Parallels Client) und geben Sie das Schema an, dem Sie den Identitätsanbieter zugewiesen haben.
Starten Sie eine veröffentlichte Anwendung. Überprüfen Sie, ob die Anwendungssitzung erfolgreich gestartet wurde.
Erstellen Sie einen weiteren Design, fügen Sie einen weiteren IdP- Anbieter hinzu und stellen Sie dann Verbinden unter Angabe des neuen Design. Start eine andere Anwendung.
Über den Identitätsanbieter initiierte Authentifizierung
Verwenden Sie den Webbrowser für Verbinden mit dem Identitätsanbieter- Portal.
Starten eine veröffentlichte Anwendung. Überprüfen ob die Anwendungs- sitzung erfolgreich gestartet wurde.
Um SAML in Parallels RAS zu konfigurieren, benötigen Sie Folgendes:
Microsoft Active Directory mit den folgenden zwei vorhandenen Benutzerkonten:
Benutzer des Enrollment Agents: wird verwendet, um Zertifikate über den RAS Registrierungsserver (ES) im Namen des authentifizierten Benutzers zu registrieren.
NLA-Benutzer: wird verwendet, um die NLA-Verbindung mit RD-Sitzungshosts und/oder VDI-Gästen zu initiieren.
Weitere Informationen über erforderliche Berechtigungen und Delegierungen finden Sie unter . Beachten Sie, dass die Verwendung von Azure Active Directory Domain Services (AADDS) nicht in Verbindung mit SAML SSO unterstützt wird.
Microsoft Enterprise Certification Authority (CA) einschließlich der folgenden Vorlagen:
Vorlage für das Zertifikat des Enrollment Agent
Vorlage für Smartcard-Anmeldezertifikate
Externer Identitätsanbieter wie Azure, Okta, Ping Identity, Gemalto SafeNet und andere. Hier werden die Benutzerkonten untergebracht. Benutzerkonten im Identitätsanbieter müssen mit der Microsoft Active Directory-Umgebung synchronisiert werden. Bitte wenden Sie sich an den Anbieter, um zu erfahren, wie Sie die Benutzer ordnungsgemäß synchronisieren können.
Domänencontroller müssen über Domänencontroller-Zertifikate verfügen. Die Zertifikate auf den Domänencontrollern müssen die Smartcard-Authentifizierung unterstützen. Zertifikate werden mit der Microsoft CA-Zertifikatvorlage Domänencontrollerauthentifizierung“ erstellt. Manuell erstellte Domänencontroller-Zertifikate funktionieren möglicherweise nicht. Wenn Sie die Fehlermeldung Request Not Supported“ (Anforderung nicht unterstützt) erhalten, müssen Sie möglicherweise Domänencontroller-Zertifikate neu erstellen. Stellen Sie sicher, dass RD-Sitzungshosts und VDIs über das von der CA ausgestellte Stammzertifikat im Speicher der Trusted Root Certification Authorities verfügen.
Eine Parallels RAS-Farm mit RD-Sitzungshost und/oder VDI-Workloads (ausgeführt auf einem 64-Bit-Betriebssystem).
Aus Sicherheitsgründen wird empfohlen, den RAS Registrierungsserver auf einem dedizierten Host zu installieren. Der Host sollte ein eigenständiger Server sein, auf dem keine anderen Komponenten und Rollen installiert sind.
Sowohl SAML- als auch RAS-Registrierungsserver-Konfigurationen sind standortspezifische Einstellungen innerhalb der RAS-Umgebung. RAS-Administratoren müssen die Berechtigungen Zugriff auf Site-Informationen zulassen“ und Änderungen an Farm zulassen“ delegiert haben.
Hinweis: Für einige der oben genannten Aufgaben sind Kenntnisse über die Konfiguration von Microsoft Active Directory und Gruppenrichtlinien erforderlich. Azure Active Directory Domain Services (AADDS) und Azure Virtual Desktop-Zugang werden derzeit nicht mit Parallels RAS SAML SSO unterstützt.