前提条件
Parallels RAS で SAML を構成するには、以下のものが必要です。
以下の 2 つのユーザーアカウントが存在する Microsoft Active Directory。
登録エージェントユーザー: 認証ユーザーの代わりに RAS 登録サーバー(ES)によって証明書を登録するときに使用します。
NLA ユーザー: RD セッションホストや VDI ゲストとの NLA 接続を開始するときに使用します。
必要な権限や委任については、「Active Directory のユーザーアカウントの設定」を参照してください。Azure Active Directory Domain Services(AADDS)は、SAML SSO との併用には対応していないことに注意してください。
以下のテンプレートが含まれている Microsoft エンタープライズ認証局(CA)。
登録エージェント証明書テンプレート
スマートカードログオン証明書テンプレート
サードパーティの ID プロバイダー(IdP)(Azure、Okta、Ping Identity、Gemalto SafeNet など)。ここでユーザーアカウントが保管されます。IdP にあるユーザーアカウントは、Microsoft Active Directory 環境と同期していなければなりません。ユーザーを正しく同期する方法については、プロバイダーに問い合わせてください。
ドメインコントローラーには、ドメインコントローラー証明書が必要です。ドメインコントローラーにある証明書は、スマートカード認証をサポートしていなければなりません。証明書を作成するときには、”ドメインコントローラーの認証”という名前の Microsoft CA 証明書テンプレートを使用します。手動で作成したドメインコントローラー証明書は、正しく機能しないことがあります。”要求はサポートされていません”というエラーが表示される場合は、ドメインコントローラー証明書を再作成しなければならない可能性があります。信頼されているルート認証局のストアに含まれている CA から発行されたルート証明書が RD セッションホストと VDI にあることを確認してください。
64 ビットの OS で稼働する RD セッションホストや VDI のワークロードがある Parallels RAS ファーム。
セキュリティ上の理由から、RAS 登録サーバーを専用のホストにインストールすることをお勧めします。ホストは、他のコンポーネントやロールがインストールされていないスタンドアロンのサーバーでなければなりません。
SAML の構成と RAS 登録サーバーの構成はどちらも、RAS 環境内のサイトごとの設定になります。RAS 管理者は、”サイト情報の表示を許可”と”サイトの変更を許可”の権限の委任を受けていなければなりません。
注: 上記のタスクの中には、Microsoft Active Directory とグループポリシーの設定に関する知識が必要になるタスクもあります。 Azure Active Directory Domain Services(AADDS)および Azure Virtual Desktop へのアクセスは、現在 Parallels RAS SAML SSO でサポートされていません。