SP 側の構成(RAS 側)
サービスプロバイダー側(Parallels RAS 側)では、ウェブ(SAML)認証を有効にして、ID プロバイダーを RAS ファームに追加する必要があります。
ウェブ(SAML)認証の有効化
RAS Console で [接続] > [認証] に移動します。
[許可された認証タイプ] セクションで [ウェブ(SAML)] オプションを選択します。
IdP を RAS ファームに追加する方法
IdP を追加するには、以下の手順を実行します。
RAS Console で [接続] > [SAML] に移動します。タブページが無効になっている場合は、ウェブ(SAML)が有効になっていることを確認してください(上記参照)。
[タスク] > [追加] をクリックします。
[ID プロバイダーの追加] ウィザードでプロバイダーの名前を指定します。
[テーマと一緒に使用する] ドロップダウンリストで、IdP に割り当てる [テーマ] を選択します。まだテーマがない場合は、デフォルトのテーマを使用するか、[<使用しない>] を選択して後からテーマを指定できます。同じ RAS ファームに複数の IdP を構成することは可能です。ただし、1 つのテーマには 1 つの IdP しか割り当てられません。
ウィザードで IdP 情報を取得するための方法を選択してください。
公開済み IdP メタデータのインポート: インターネット上に公開されている XML 文書からインポートします。IdP 側の構成から取得した文書の URL を指定してください。
ファイルから IdP メタデータをインポートする: IdP アプリケーションからダウンロードしたローカル XML ファイルからインポートします。該当するフィールドでファイル名とパスを指定してください。
IdP 情報を手動で入力します: このオプションを選択すると、ウィザードの次のページで情報を手入力できます。
[次へ] をクリックします。
前の手順で構成をインポートした場合は、XML ファイルから取得したデータが次のページに取り込まれます。IdP データを手動で入力するオプションを選択した場合は、次の値を自分で入力してください。
IdP エンティティ ID: ID プロバイダーのエンティティ ID。
IdP 証明書: ID プロバイダーの証明書データ。このフィールドに値を設定するには、IdP 側から証明書をダウンロードし、ダウンロードしたファイルを開き、その内容をコピーしてこのフィールドに貼り付けます。
ログオン URL: ログオン URL。
ログアウト URL: ログアウト URL。
必要に応じて、[暗号化されていないアサーションを許可する] オプションを選択します。
注: デフォルトでは、[暗号化されていないアサーションを許可する] オプションは無効になっています。IdP 構成でアサーションの暗号化が設定されていることを確認するか、RAS 構成内でデフォルト設定を変更してください。
この時点で、IdP 側(IdP ポータル)でインポートするサービスプロバイダー(SP)の構成を行います。今すぐに行うことも、後で行うこともできます。今すぐに行うには、以下の手順に従います。後で実行するには、[完了] をクリックし、必要になったときに、ID プロバイダーオブジェクトのプロパティを開き、[SP] タブを選択して、以下に説明するのと同じ手順を実行します。
SP の設定を行うには、[サービスプロバイダー情報] ボタンをクリックします。
ダイアログが開いたら、ホストアドレスを入力してください。IdP がそのアドレスにリダイレクトされるので、そのアドレスは、エンドユーザーのブラウザーからアクセスできるアドレスでなければなりません。
その他のフィールド([SP エンティティ ID]、[リプライ URL]、[ログオン URL]、[ログアウト URL] など)には、ホストアドレスに基づく値があらかじめ設定されています。SP 証明書が自動生成されます。
次に、上記の値に基づいて IdP 構成を完成させます。値を手動でコピーすることも、メタデータファイル(XML)としてエクスポートすることも可能です。[SP メタデータをファイルにエクスポート] リンクをクリックします。メタデータを XML ファイルとして保存します。その XML ファイルを IdP にインポートします。
ダイアログを閉じて、[完了] をクリックします。
ユーザーアカウントの属性の構成
IdP でユーザー認証が実行されると、Active Directory にあるユーザーアカウントの属性が、IdP のユーザーデータベースにある対応属性と比較されます。どの属性を比較するかを構成できます。その方法については、下記の説明を参照してください。
使用可能な属性を次の表にまとめます。
RAS 名 | SAML 名 * | AD 名 | 説明 |
UserPrincipalName | NameID | userPrincipalName | ユーザープリンシパル名(UPN)は、電子メール形式のシステムユーザー名です。 |
Immutable ID | ImmutableID | objectGUID | UUID(Universally Unique Identifier)。 |
SID | SID | objectSid | ObjectSID には、ドメインを一意に識別するドメインプレフィックス ID と、ドメイン内のセキュリティプリンシパルを一意に識別する相対 ID (RID)が含まれています。 |
sAMAccountName | sAMAccountName | sAMAccountName | sAMAccountName 属性は、旧バージョンの Windows(Windows NT 4.0 など)のクライアントとサーバーをサポートするために使用するログオン名です。 |
カスタム | メールアドレス | メール | カスタム属性を使用して、SAML 属性名を AD 属性値にマッチングできます。デフォルトではメールアドレスになります。 |
* [SAML 名] 列の属性は編集可能で、使用している IdP に基づいてカスタマイズできます。
属性を構成するには、以下の手順を実行します。
RAS Console で、前の手順で追加した IdP を右クリックします。
IdP の [プロパティ] ダイアログで [属性] タブを選択します。このタブで、比較用の属性を選択したりクリアしたりできます。カスタム属性を作成することも可能です。
選択した属性が比較されます。
必要に応じて、あらかじめ構成されているどの SAML 属性(IdP 側)の名前も、AD 属性に合わせて変更できます。
カスタム属性を使用して、任意の SAML 属性名をどの AD 属性値に対してもマッチングできます。デフォルトではメールアドレスになります。
必要に応じて、IdP 側で構成されている属性に基づいて対象の属性を構成して有効にします。
[OK] をクリックして、ダイアログを閉じます。
注 1: 属性が複数ある場合は、表示順で使用されます。1 つの属性が失敗した場合は、次に構成されている属性が使用されます。属性は 1 つずつ(「どちらか 1 つ」という方法で)使用されます。 注 2: 複数の AD ユーザーで同じ AD 属性が構成されていると、ユーザーのマッチングが失敗します。例えば、メールアドレス属性を選択した場合に、複数の AD ユーザーが同じメールアドレスを持っていると、IdP アカウントと AD ユーザーアカウントの間の属性のマッチングは失敗します。
属性の構成に関するヒント
可能なら、Active Directory と IdP の間のユーザー同期のために自動処理機能(Azure IdP 構成用の Microsoft Azure AD Connect など)を使用して、ユーザー識別管理のオーバーヘッドを最小化してください。
使用中の環境で固有のユーザー識別属性を選択します。可能なら、ユーザープリンシパル名(UPN)や Immutable ID(ObjectGuid)を使用してください。メールアドレスなどの固有の識別情報を使用することも可能です。その場合は、AD でユーザーオブジェクトの [メールアドレス] フィールドが構成されていることを確認してください。Microsoft Exchange Server を使用している場合は、[Exchange アドレス] タブと Exchange ポリシーを使用してください。
UPN を属性として使用する場合は、代替 UPN サフィックスも構成できます。この構成は、[Active Directory ドメインと信頼関係] で作成可能です(root > 右クリックで [プロパティ] ダイアログを開く)。新しい代替 UPN サフィックスを作成した後、Active Directory ユーザーとコンピューターから、ユーザーオブジェクトのプロパティで、UPN を変更できます。
アカウントの写真を追加する
Single SignOn でユーザーがログインする際に Windows ログオン画面に表示されるカスタムアカウント画像を追加して、パーソナライズ機能を強化できます。手順の詳細については、https://kb.parallels.com/en/129028 を参照してください。