Parallels RAS で SAML を構成するには、以下のものが必要です。

1. 以下の 2 つのユーザーアカウントが存在する Microsoft Active Directory。

   • 登録エージェントユーザー: 認証ユーザーの代わりに RAS 登録サーバー（ES）によって証明書を登録するときに使用します。

   • NLA ユーザー: RD セッションホストや VDI ゲストとの NLA 接続を開始するときに使用します。

   必要な権限や委任については、「Active Directory のユーザーアカウントの設定」を参照してください。Azure Active Directory Domain Services（AADDS）は、SAML SSO との併用には対応していないことに注意してください。

2. 以下のテンプレートが含まれている Microsoft エンタープライズ認証局（CA）。

   • 登録エージェント証明書テンプレート

   • スマートカードログオン証明書テンプレート

3. サードパーティの ID プロバイダー（IdP）（Azure、Okta、Ping Identity、Gemalto SafeNet など）。ここでユーザーアカウントが保管されます。IdP にあるユーザーアカウントは、Microsoft Active Directory 環境と同期していなければなりません。ユーザーを正しく同期する方法については、プロバイダーに問い合わせてください。

4. ドメインコントローラーには、ドメインコントローラー証明書が必要です。ドメインコントローラーにある証明書は、スマートカード認証をサポートしていなければなりません。証明書を作成するときには、”ドメインコントローラーの認証”という名前の Microsoft CA 証明書テンプレートを使用します。手動で作成したドメインコントローラー証明書は、正しく機能しないことがあります。”要求はサポートされていません”というエラーが表示される場合は、ドメインコントローラー証明書を再作成しなければならない可能性があります。信頼されているルート認証局のストアに含まれている CA から発行されたルート証明書が RD セッションホストと VDI にあることを確認してください。

5. 64 ビットの OS で稼働する RD セッションホストや VDI のワークロードがある Parallels RAS ファーム。

6. セキュリティ上の理由から、RAS 登録サーバーを専用のホストにインストールすることをお勧めします。ホストは、他のコンポーネントやロールがインストールされていないスタンドアロンのサーバーでなければなりません。

7. SAML の構成と RAS 登録サーバーの構成はどちらも、RAS 環境内のサイトごとの設定になります。RAS 管理者は、”サイト情報の表示を許可”と”サイトの変更を許可”の権限の委任を受けていなければなりません。

注: 上記のタスクの中には、Microsoft Active Directory とグループポリシーの設定に関する知識が必要になるタスクもあります。 Azure Active Directory Domain Services（AADDS）および Azure Virtual Desktop へのアクセスは、現在 Parallels RAS SAML SSO でサポートされていません。

ID プロバイダーの側では、以下の手順を実行する必要があります。

1. 対象の IdP プラットフォームにログインし、Parallels RAS 環境で使用する SAML ベースの汎用のアプリケーションまたは RAS 固有のアプリケーションを作成します。

2. そのアプリケーションを構成し、後で Parallels RAS に追加する以下の構成プロパティをメモします。

   • エンティティ ID

   • ログオン URL

   • ログアウト URL

   • 証明書（base64）

3. あるいは、メタデータファイルをエクスポートして Parallels RAS にインポートするという方法もあります。詳細については、「IdP の例とヒント」を参照してください。

Microsoft Active Directory で登録エージェントユーザーと NLA ユーザーを作成する必要があります。ここでは、それらのユーザーの作成方法を説明します。

登録エージェントユーザーアカウント

登録エージェントユーザーアカウントは、認証ユーザーの代わりに RAS 登録サーバーによって証明書を登録するために必要です。登録エージェントのユーザーには、RAS 登録サーバーエージェントがインストールされているマシンのログオン権限が必要です。

NLA ユーザーアカウント

NLA ユーザーは、RD セッションホストや VDI ゲストとの NLA 接続を開始するときに必要になります。NLA ユーザーには、セッションホストへのログオン権限が必要です。

NLA ユーザーは、Remote Desktop Users グループのメンバーでなければならず、このユーザーには [リモートデスクトップサービスを使ったログオンを許可] の権限を与える必要があります。その一方で、NLA ユーザーに対して、リモートデスクトップサービスを使ったログオンを禁止しなければなりません。

NLA ユーザーアカウントを除外するために、ユーザー権限、[リモートデスクトップサービスを使ったログオンを拒否] をそのアカウントに割り当ててください。

その両方の目的を達成するために、ローカルまたはドメインの GPO（OU またはドメイン全体にリンクした GPO）を使用できます。

このポリシー設定を有効にするために、デバイスを再起動する必要はありません。アカウントのユーザー権限の割り当てを変更すると、そのアカウントの所有者が次回ログオンしたときに、その変更が有効になります。

グループポリシー設定は、GPO によって以下の順序で適用され、その結果、グループポリシーの次回の更新時にローカルコンピューターの設定が上書きされます。

1. ローカルポリシー設定

2. サイトポリシー設定

3. ドメインポリシー設定

4. OU ポリシー設定

以下のようにして、新しい GPO を作成するか、既定のドメインポリシー GPO を使用します。

1. グループポリシー管理コンソール（GPMC）を開きます。

2. RDSH オブジェクトまたは VDI オブジェクトが入っている OU にリンクされている GPO を開くか、作成します。

3. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを許可] オプションを開きます。

4. ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。

• 注: このオプションによって既定の設定が上書きされるので（ワークステーションとサーバーでは管理者とリモートデスクトップユーザー、ドメインコントローラーでは管理者）、ローカル管理者グループやドメイン管理者グループなどを忘れずに追加してください。

• [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権限の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを拒否] オプションを開きます。

• ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。

このセクションでは、以下の内容を説明します。

• 前提条件

• IdP 側の構成

• SP 側の構成（RAS 側）

• Active Directory のユーザーアカウントの構成

• 認証局テンプレートの構成

• RAS 登録サーバーの構成

• RAS 登録サーバーの高可用性

• SAML 統合の例とヒント

のセクションでは、以下の内容を説明します。

• 登録エージェントテンプレートの作成

• スマートカードログオン証明書テンプレートの作成

高可用性のために、各サイトに複数の登録サーバー（ES）を追加できます。有効になっている確認済みのすべての ES がアクティブ/アクティブモードで使用されます。ユーザーのログオン時には、ワークロード VM（RD セッションホストや VDI など）からの要求が、使用可能な ES の間で均等に分散されます。1 つの ES で障害が発生すると、次に使用可能な ES が選択され、SAML SSO 認証プロセスが続行されます。複数の ES の手動展開が必要な場合は特に、同じサイトにあるすべての ES が同じ登録キーを共有することを覚えておいてください。その登録キーは、「RAS 登録サーバーの構成」セクションで説明されているパスに配置する必要があります。

注: 複数の ES が共通の証明書リポジトリストアを共有することはありません。ES ごとにすべての証明書が分離されています。従って、複数の ES がある場合は、同じユーザーでも、ES ごとに別々の証明書を使用することが可能になります。

各種認証プロバイダーと Parallels RAS を統合する事例については、Parallels のウェブサイト（https://www.parallels.com/jp/products/ras/resources/）で利用できる、**「SAML SSO 認証の例」**ガイドを参照してください。

セキュリティ上の理由から、CA で登録エージェントの制限を構成し、ユーザーの代わりに証明書を登録する権限を、新しく作成した登録エージェントユーザーだけに与えるようにしてください。そのためには、以下の手順を実行します。

1. 認証局スナップインを開き、CA の名前を右クリックして [プロパティ] をクリックします。

2. [登録エージェント] タブをクリックし、[登録エージェントを制限する] をクリックし、表示されるメッセージで [OK] をクリックします。

3. [登録エージェント] の下にある [追加] をクリックし、前の手順で作成した登録エージェントユーザーの名前を入力し、[OK] をクリックします。[すべてのユーザー] をクリックし、[削除] をクリックします。

4. [証明書テンプレート] の下にある [追加] をクリックし、作成したテンプレート（PrlsEnrollmentAgent と PrlsSmartcardLogon）を選択し、[OK] をクリックします。証明書テンプレートの名前を追加する作業が終わったら、<All> をクリックし、[削除] をクリックします。

5. [権限] の下にある [追加] をクリックし、名前またはグループ（SAML を使用して RAS 環境にログインするユーザーまたはグループ）を入力し、[OK] をクリックします。[すべてのユーザー] をクリックし、[削除] をクリックします。

6. 他のユーザーやコンピューターやグループの証明書を登録エージェントが管理できないようにブロックする場合は、[アクセス許可] の下でそのユーザーやコンピューターやグループを選択し、[拒否] をクリックします。

7. 登録エージェントの制限の構成が完了したら、[OK] または [適用] をクリックします。

注: 登録エージェントの制限が適用されているユーザーやグループは、登録エージェントの制限付きのアクセス許可が構成されていてもいなくても、CA の有効な登録エージェント証明書を持っていなければ、登録エージェントとして機能できません。

IdP でユーザー認証が実行されると、Active Directory にあるユーザーアカウントの属性と IdP にある属性がそれぞれ比較されます。IdP 側でも RAS Console でも比較対象の属性を構成できます。詳細については、「SP 側の構成（RAS 側）」を参照してください。

サービスプロバイダー側（Parallels RAS 側）では、ウェブ（SAML）認証を有効にして、ID プロバイダーを RAS ファームに追加する必要があります。

ウェブ（SAML）認証の有効化

1. RAS Console で [接続] > [認証] に移動します。

2. [許可された認証タイプ] セクションで [ウェブ（SAML）] オプションを選択します。

IdP を RAS ファームに追加する方法

IdP を追加するには、以下の手順を実行します。

1. RAS Console で [接続] > [SAML] に移動します。タブページが無効になっている場合は、ウェブ（SAML）が有効になっていることを確認してください（上記参照）。

2. [タスク] > [追加] をクリックします。

3. [ID プロバイダーの追加] ウィザードでプロバイダーの名前を指定します。

4. [テーマと一緒に使用する] ドロップダウンリストで、IdP に割り当てる [テーマ] を選択します。まだテーマがない場合は、デフォルトのテーマを使用するか、[<使用しない>] を選択して後からテーマを指定できます。同じ RAS ファームに複数の IdP を構成することは可能です。ただし、1 つのテーマには 1 つの IdP しか割り当てられません。

5. ウィザードで IdP 情報を取得するための方法を選択してください。

   • 公開済み IdP メタデータのインポート: インターネット上に公開されている XML 文書からインポートします。IdP 側の構成から取得した文書の URL を指定してください。

   • ファイルから IdP メタデータをインポートする: IdP アプリケーションからダウンロードしたローカル XML ファイルからインポートします。該当するフィールドでファイル名とパスを指定してください。

   • IdP 情報を手動で入力します: このオプションを選択すると、ウィザードの次のページで情報を手入力できます。

6. [次へ] をクリックします。

7. 前の手順で構成をインポートした場合は、XML ファイルから取得したデータが次のページに取り込まれます。IdP データを手動で入力するオプションを選択した場合は、次の値を自分で入力してください。

   • IdP エンティティ ID: ID プロバイダーのエンティティ ID。

   • IdP 証明書: ID プロバイダーの証明書データ。このフィールドに値を設定するには、IdP 側から証明書をダウンロードし、ダウンロードしたファイルを開き、その内容をコピーしてこのフィールドに貼り付けます。

   • ログオン URL: ログオン URL。

   • ログアウト URL: ログアウト URL。

   必要に応じて、[暗号化されていないアサーションを許可する] オプションを選択します。

8. 注: デフォルトでは、[暗号化されていないアサーションを許可する] オプションは無効になっています。IdP 構成でアサーションの暗号化が設定されていることを確認するか、RAS 構成内でデフォルト設定を変更してください。

9. この時点で、IdP 側（IdP ポータル）でインポートするサービスプロバイダー（SP）の構成を行います。今すぐに行うことも、後で行うこともできます。今すぐに行うには、以下の手順に従います。後で実行するには、[完了] をクリックし、必要になったときに、ID プロバイダーオブジェクトのプロパティを開き、[SP] タブを選択して、以下に説明するのと同じ手順を実行します。

10. SP の設定を行うには、[サービスプロバイダー情報] ボタンをクリックします。

11. ダイアログが開いたら、ホストアドレスを入力してください。IdP がそのアドレスにリダイレクトされるので、そのアドレスは、エンドユーザーのブラウザーからアクセスできるアドレスでなければなりません。

12. その他のフィールド（[SP エンティティ ID]、[リプライ URL]、[ログオン URL]、[ログアウト URL] など）には、ホストアドレスに基づく値があらかじめ設定されています。SP 証明書が自動生成されます。

13. 次に、上記の値に基づいて IdP 構成を完成させます。値を手動でコピーすることも、メタデータファイル（XML）としてエクスポートすることも可能です。[SP メタデータをファイルにエクスポート] リンクをクリックします。メタデータを XML ファイルとして保存します。その XML ファイルを IdP にインポートします。

14. ダイアログを閉じて、[完了] をクリックします。

ユーザーアカウントの属性の構成

IdP でユーザー認証が実行されると、Active Directory にあるユーザーアカウントの属性が、IdP のユーザーデータベースにある対応属性と比較されます。どの属性を比較するかを構成できます。その方法については、下記の説明を参照してください。

使用可能な属性を次の表にまとめます。

* [SAML 名] 列の属性は編集可能で、使用している IdP に基づいてカスタマイズできます。

属性を構成するには、以下の手順を実行します。

1. RAS Console で、前の手順で追加した IdP を右クリックします。

2. IdP の [プロパティ] ダイアログで [属性] タブを選択します。このタブで、比較用の属性を選択したりクリアしたりできます。カスタム属性を作成することも可能です。

   • 選択した属性が比較されます。

   • 必要に応じて、あらかじめ構成されているどの SAML 属性（IdP 側）の名前も、AD 属性に合わせて変更できます。

   • カスタム属性を使用して、任意の SAML 属性名をどの AD 属性値に対してもマッチングできます。デフォルトではメールアドレスになります。

3. 必要に応じて、IdP 側で構成されている属性に基づいて対象の属性を構成して有効にします。

4. [OK] をクリックして、ダイアログを閉じます。

注 1: 属性が複数ある場合は、表示順で使用されます。1 つの属性が失敗した場合は、次に構成されている属性が使用されます。属性は 1 つずつ（「どちらか 1 つ」という方法で）使用されます。 注 2: 複数の AD ユーザーで同じ AD 属性が構成されていると、ユーザーのマッチングが失敗します。例えば、メールアドレス属性を選択した場合に、複数の AD ユーザーが同じメールアドレスを持っていると、IdP アカウントと AD ユーザーアカウントの間の属性のマッチングは失敗します。

属性の構成に関するヒント

• 可能なら、Active Directory と IdP の間のユーザー同期のために自動処理機能（Azure IdP 構成用の Microsoft Azure AD Connect など）を使用して、ユーザー識別管理のオーバーヘッドを最小化してください。

• 使用中の環境で固有のユーザー識別属性を選択します。可能なら、ユーザープリンシパル名（UPN）や Immutable ID（ObjectGuid）を使用してください。メールアドレスなどの固有の識別情報を使用することも可能です。その場合は、AD でユーザーオブジェクトの [メールアドレス] フィールドが構成されていることを確認してください。Microsoft Exchange Server を使用している場合は、[Exchange アドレス] タブと Exchange ポリシーを使用してください。

• UPN を属性として使用する場合は、代替 UPN サフィックスも構成できます。この構成は、[Active Directory ドメインと信頼関係] で作成可能です（root ＞ 右クリックで [プロパティ] ダイアログを開く）。新しい代替 UPN サフィックスを作成した後、Active Directory ユーザーとコンピューターから、ユーザーオブジェクトのプロパティで、UPN を変更できます。

アカウントの写真を追加する

Single SignOn でユーザーがログインする際に Windows ログオン画面に表示されるカスタムアカウント画像を追加して、パーソナライズ機能を強化できます。手順の詳細については、https://kb.parallels.com/en/129028 を参照してください。

RAS 登録サーバーは、Parallels RAS 環境で Microsoft 認証局（CA）と通信し、ユーザーに代わって SSO 認証のデジタル証明書をリクエストしたり登録したり管理したりします。

注: セキュリティ上の理由から、RAS 登録サーバーは、Active Directory ドメインコントローラーや認証局と同じように、他の Parallels RAS コンポーネントがインストールされていないセキュアな専用サーバーにインストールしてください。

セットアップ コストを 構成 RAS 登録 サーバー

RAS Console を使用して、RAS 登録サーバーエージェントを指定のサーバーにリモートからインストールできます。対象のサーバーで標準の RAS インストーラーを実行してエージェントをインストールすることも可能です。

RAS 登録サーバーをリモートからインストールするには、以下の手順を実行します。

1. RAS Console で、[ファーム] > [サイト] > [登録サーバー] に移動します。

2. [タスク] > [追加] をクリックします。

3. RAS 登録サーバーエージェントをインストールするサーバーの FQDN または IP アドレスを指定します。

4. [次へ] をクリックします。

5. [登録サーバーエージェント情報] ダイアログで [インストール] をクリックし、画面上の指示に従います。

Parallels RAS インストーラーを使用して RAS 登録サーバーをインストールするには、以下の手順を実行します。

1. RAS 登録サーバーエージェントをインストールするサーバーで Parallels RAS インストーラーを実行します。

2. [インストールタイプの選択] ページで、[カスタム] を選択し、[次へ] をクリックします。

3. Parallels RAS 登録サーバーコンポーネントを選択し、他のコンポーネントをすべてクリアします。

4. [次へ] をクリックし、画面上の指示に従います。

5. RAS 登録サーバーをインストールしたら、RAS Console を開いて、[ファーム] > [サイト] > [登録サーバー] に移動します。

6. [タスク] > [追加] をクリックします。

7. 登録サーバーの FQDN または IP アドレスを入力して、[次へ] をクリックします。

8. 画面上の指示に従って、サーバーをファームに追加します。

登録キーの取得とコピー

RAS インストーラーを使用して手動でインストールを実行する場合は、登録サーバーのホストに登録キーファイルを配置する必要があります。RAS Console を使用して RAS 登録サーバーエージェントをリモートから展開した場合は、この手順は不要です。

まず、以下の手順を実行して登録キーファイルを取得する必要があります。

1. RAS Console を開いて、[ファーム] > [サイト] > [登録サーバー] に移動します。

2. [タスク] > [登録キーをエクスポート] をクリックします。

3. registration.crt という名前のファイルにキーを保存します。

registration.crt ファイルを作成したら、RAS 登録サーバーのインストール先になっているサーバー上のフォルダーにそのファイルをコピーします。デフォルトでは以下のパスになります。

C:\Program Files (x86)\Parallels\ApplicationServer\x64

注: 登録キーファイルの名前は必ず”registration.crt”にしてください。

構成 の の統合

RAS Console で RAS 登録サーバーを追加したら、以下のようにして AD 統合を構成する必要があります。

1. RAS コンソールで ファーム / [サイト] > [登録] [サーバー] に移動します。

2. AD を選択します [統合] タブ。

3. [認証局（CA）] セクションで、新しい証明書テンプレート（PrlsEnrollmentAgent と PrlsSmartcardLogon）を作成したエンタープライズ CA の構成文字列を指定します。以下の形式で指定してください。

   CAhostname.domain\issuing CA name
6. [AD 統合設定 の の統合 [設定] ボタンをクリックして、入力情報が有効かどうか確認してください。

コンピューター管理ツールの使用

登録エージェントテンプレートを作成するには、以下の手順を実行します。

1. 認証局サーバーの管理ツールから認証局管理コンソール（MMC）を起動します。

2. CA を展開し、[証明書テンプレート] フォルダーを右クリックし、[管理] を選択します。

3. 登録エージェントテンプレートを右クリックして [テンプレートの複製] を選択します。新しいテンプレートプロパティウィンドウが表示されます。[全般] タブで以下のプロパティを構成します。

   • テンプレート表示名: PrlsEnrollmentAgent

   • テンプレート名: PrlsEnrollmentAgent

   • 有効期間: 2 年以内

   • 更新期間: 6 週間

   • Active Directory の証明書を発行する: ON

   • Active Directory に重複する証明書がある場合、自動的に再登録しない: OFF

1. [暗号化] タブを選択して、以下の値を設定します。

   • プロバイダーのカテゴリ: レガシ暗号化サービスプロバイダー（読み取り専用）

   • アルゴリズム名: CSP によって設定

   • 最小キーサイズ: 4096 ビットまでの任意の最小キーサイズ

[要求で使用できる暗号化サービスプロバイダーを選択してください] セクションで [以下のプロバイダーのうちいずれか 1 つ] を選択します。以下のプロバイダーのリストから、任意のプロバイダーを選択してください。

1. [セキュリティ] タブを選択して、以下の手順を実行します。

• [追加] をクリックします。

• 登録エージェントユーザーアカウントを追加します。

• ”読み取り”と”登録”のアクセス許可を選択します。[適用] をクリックし、[OK] をクリックします。

証明書テンプレートの発行

作成した証明書テンプレートを発行するには、以下のようにします。

1. 認証局を再び実行し、[証明書テンプレート] を右クリックして [発行する証明書テンプレート] をクリックします。

2. 前の手順で作成した証明書テンプレート（Prls Enrollment Agent）を選択して、[OK] をクリックします。

3. その証明書テンプレートが [証明書テンプレート] リストに表示されます。

スマートカードログオン証明書テンプレートを作成するには、以下の手順を実行します。

1. 認証局サーバーの管理ツールから認証局管理コンソール（MMC）を起動します。

2. CA を展開し、[証明書テンプレート] フォルダーを右クリックし、[管理] を選択します。

3. ”スマートカードログオン”証明書テンプレートを右クリックして [複製] を選択します。

4. 新しいテンプレートプロパティが [全般] タブに表示されます。テキストボックスにテンプレート名を入力します。スペースのない実際の名前が 2 番目のテキストボックスに自動的に表示されます。その名前を覚えてください。後で SAML 機能を構成するときにその名前が必要になります。このタブのオプションを以下のように構成してください。

   • テンプレート表示名: PrlsSmartcardLogon

   • テンプレート名: PrlsSmartcardLogon

   • 有効期間: 1 年以内

   • 更新期間: 6 週間

   • Active Directory の証明書を発行する: OFF

   • Active Directory に重複する証明書がある場合、自動的に再登録しない: OFF

1. [暗号化] タブを選択して、以下の値を設定します。

• プロバイダーのカテゴリ: レガシ暗号化サービスプロバイダー（読み取り専用）

• アルゴリズム名: CSP によって設定

• 最小キーサイズ: 4096 ビットまでの任意の最小キーサイズ

[要求で使用できる暗号化サービスプロバイダーを選択してください] セクションで [以下のプロバイダーのうちいずれか 1 つ] を選択します。以下のプロバイダーのリストから、任意のプロバイダーを選択してください。

1. [発行の要件] タブを選択して、以下の値を設定します。

• CA 証明書マネージャーの許可: OFF

• 次の数の認証署名: 1

• 署名に必要なポリシーの種類: アプリケーションポリシー

• アプリケーションポリシー: 証明書の要求エージェント

• 登録と同じ要件: ON

1. [セキュリティ] タブを選択して、以下の手順を実行します。

• [追加] をクリックします。

• 登録エージェントユーザーアカウントを追加します。

• ”読み取り”と”登録”のアクセス許可を選択します。[適用] をクリックし、[OK] をクリックします。

証明書テンプレートの発行

作成した証明書テンプレートを発行するには、以下のようにします。

1. 認証局を再び実行し、[証明書テンプレート] を右クリックして [発行する証明書テンプレート] をクリックします。

2. 前の手順で作成した証明書テンプレート（Prls Smarcard Logon）を選択して、[OK] をクリックします。

3. その証明書テンプレートが [証明書テンプレート] リストに表示されます。