Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Parallels RAS 17.1 以降では、Security Assertion Markup Language(SAML)認証メカニズムがサポートされています。SAML は XML ベースの認証です。組織同士の間でシングルサインオン(SSO)機能を利用できるので、ローカルの ID データベースを共有しないでユーザー認証を行うことが可能になります。
この SAML SSO プロセスでは、新しい RAS 登録サーバーが Microsoft 認証局(CA)と通信し、ユーザーに代わってデジタル証明書をリクエストしたり登録したり管理したりするので、ユーザーが認証のために自分の Active Directory 資格情報を入力する必要はありません。サービスプロバイダーも、多くの子会社を抱える大企業も、内部の ID 管理ソリューションを維持したり、ドメイン/フォレストの複雑な信頼関係を構築したりする必要はありません。サードパーティの ID プロバイダーとの統合によって、顧客やパートナーがエンドユーザーに快適な SSO 環境を提供することも可能になります。
RAS 登録サーバー
Windows Server 2012 R2 から Windows Server 2022 まで
RD セッションホスト
Windows Server 2012 R2(x64 ビットバージョン)から Windows Server 2022 まで
デスクトップオペレーティングシステム(ゲスト VM とリモート PC)
Windows 7 から Windows 11 まで
32 ビットのオペレーティングシステムはサポートされていません。
Parallels Client
Parallels Client バージョン 18 または 19 が必要です。
サポート対象プラットフォームは Windows、Mac、Linux、iOS、Android です。
Security Assertion Markup Language(SAML)は XML ベースの認証です。組織同士の間でシングルサインオン(SSO)機能を利用できるので、ローカルの ID データベースを共有しないでユーザー認証を行うことが可能になります。Parallels RAS 17.1 以降では、SAML 認証メカニズムがサポートされています。
Parallels RAS 17.1 で導入された SAML(2.0)SSO は、HTML5 を介した認証をサポートし、Web Client または Parallels Client for Windows を使用できます。Parallels RAS 18 は、OS 標準のブラウザー、または Parallels Client に組み込まれたブラウザーの使用など SAML 認証を開始するクライアントのサポートを拡張します。
この SAML SSO プロセスでは、新しい RAS 登録サーバーが Microsoft 認証局(CA)と通信し、ユーザーに代わってデジタル証明書をリクエストしたり登録したり管理したりするので、ユーザーが認証のために自分の Active Directory 資格情報を入力する必要はありません。サービスプロバイダーも、多くの子会社を抱える大企業も、内部の ID 管理ソリューションを維持したり、ドメイン/フォレストの複雑な信頼関係を構築したりする必要はありません。サードパーティの ID プロバイダーとの統合によって、顧客やパートナーがエンドユーザーに快適な SSO 環境を提供することも可能になります。
サポートされている提供オプションは以下の通りです。
Web Client
Windows の Web Client で SAML を起点として利用する
Mac および Linux の Web Client で SAML を起点として利用する
Android、iOS および iPadOS の Web Client で SAML を起点として利用する
Parallels Client for Windows で SAML 認証を起点として利用する
Parallels Client for Mac で SAML 認証を起点として利用する
Parallels Client for Linux で SAML 認証を起点として利用する
Parallels Client for iOS/iPadOS で SAML 認証を起点として利用する
Parallels Client for Android で SAML 認証を起点として利用する
以下の概要レベルの論理ダイアグラムは、Parallels RAS 環境内の SAML 認証およびログインプロセスを示しています。
上図の SAML 認証およびログインの手順は以下の通りです。
RAS Secure Gateway は Parallels Client のログイン要求を IdP サイトにリダイレクトします。
ユーザー認証が IdP で行われます。
IdP はユーザーを SAML アサーションを使用して RAS Secure Gateway にリダイレクトします。
SAML アサーションを使用してユーザーが認証され、ユーザーはログインします。
利用可能な RAS の公開済みリソースのリストを取得します。
ユーザーは公開済みリソースを選択し、Parallels Client から起動します。
ユーザーからの起動要求がサーバー側に送信され、利用可能なサーバー上でリソースが起動されます。
Parallels RAS セッションが確立されます。
ユーザーの証明書が次のように処理されます。
証明書が要求されます。
証明書が作成されます。
証明書を使用して暗号化が行われます。
スマートカードでログオンします。
ID プロバイダーの側では、以下の手順を実行する必要があります。
対象の IdP プラットフォームにログインし、Parallels RAS 環境で使用する SAML ベースの汎用のアプリケーションまたは RAS 固有のアプリケーションを作成します。
そのアプリケーションを構成し、後で Parallels RAS に追加する以下の構成プロパティをメモします。
エンティティ ID
ログオン URL
ログアウト URL
証明書(base64)
あるいは、メタデータファイルをエクスポートして Parallels RAS にインポートするという方法もあります。詳細については、「IdP の例とヒント」を参照してください。
のセクションでは、以下の内容を説明します。
Microsoft Active Directory で登録エージェントユーザーと NLA ユーザーを作成する必要があります。ここでは、それらのユーザーの作成方法を説明します。
登録エージェントユーザーアカウント
登録エージェントユーザーアカウントは、認証ユーザーの代わりに RAS 登録サーバーによって証明書を登録するために必要です。登録エージェントのユーザーには、RAS 登録サーバーエージェントがインストールされているマシンのログオン権限が必要です。
NLA ユーザーアカウント
NLA ユーザーは、RD セッションホストや VDI ゲストとの NLA 接続を開始するときに必要になります。NLA ユーザーには、セッションホストへのログオン権限が必要です。
NLA ユーザーは、Remote Desktop Users グループのメンバーでなければならず、このユーザーには [リモートデスクトップサービスを使ったログオンを許可] の権限を与える必要があります。その一方で、NLA ユーザーに対して、リモートデスクトップサービスを使ったログオンを禁止しなければなりません。
NLA ユーザーアカウントを除外するために、ユーザー権限、[リモートデスクトップサービスを使ったログオンを拒否] をそのアカウントに割り当ててください。
その両方の目的を達成するために、ローカルまたはドメインの GPO(OU またはドメイン全体にリンクした GPO)を使用できます。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。アカウントのユーザー権限の割り当てを変更すると、そのアカウントの所有者が次回ログオンしたときに、その変更が有効になります。
グループポリシー設定は、GPO によって以下の順序で適用され、その結果、グループポリシーの次回の更新時にローカルコンピューターの設定が上書きされます。
ローカルポリシー設定
サイトポリシー設定
ドメインポリシー設定
OU ポリシー設定
以下のようにして、新しい GPO を作成するか、既定のドメインポリシー GPO を使用します。
グループポリシー管理コンソール(GPMC)を開きます。
RDSH オブジェクトまたは VDI オブジェクトが入っている OU にリンクされている GPO を開くか、作成します。
[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを許可] オプションを開きます。
ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。
注: このオプションによって既定の設定が上書きされるので(ワークステーションとサーバーでは管理者とリモートデスクトップユーザー、ドメインコントローラーでは管理者)、ローカル管理者グループやドメイン管理者グループなどを忘れずに追加してください。
[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権限の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを拒否] オプションを開きます。
ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。
このセクションでは、以下の内容を説明します。
登録エージェントテンプレートを作成するには、以下の手順を実行します。
認証局サーバーの管理ツールから認証局管理コンソール(MMC)を起動します。
CA を展開し、[証明書テンプレート] フォルダーを右クリックし、[管理] を選択します。
登録エージェントテンプレートを右クリックして [テンプレートの複製] を選択します。新しいテンプレートプロパティウィンドウが表示されます。[全般] タブで以下のプロパティを構成します。
テンプレート表示名: PrlsEnrollmentAgent
テンプレート名: PrlsEnrollmentAgent
有効期間: 2 年以内
更新期間: 6 週間
Active Directory の証明書を発行する: ON
Active Directory に重複する証明書がある場合、自動的に再登録しない: OFF
注: 表示名はどんな名前でも構いませんが、テンプレート名は上記の名前にする必要があります。
[暗号化] タブを選択して、以下の値を設定します。
プロバイダーのカテゴリ: レガシ暗号化サービスプロバイダー(読み取り専用)
アルゴリズム名: CSP によって設定
最小キーサイズ: 4096 ビットまでの任意の最小キーサイズ
[要求で使用できる暗号化サービスプロバイダーを選択してください] セクションで [以下のプロバイダーのうちいずれか 1 つ] を選択します。以下のプロバイダーのリストから、任意のプロバイダーを選択してください。
[セキュリティ] タブを選択して、以下の手順を実行します。
[追加] をクリックします。
登録エージェントユーザーアカウントを追加します。
”読み取り”と”登録”のアクセス許可を選択します。[適用] をクリックし、[OK] をクリックします。
作成した証明書テンプレートを発行するには、以下のようにします。
認証局を再び実行し、[証明書テンプレート] を右クリックして [発行する証明書テンプレート] をクリックします。
前の手順で作成した証明書テンプレート(Prls Enrollment Agent)を選択して、[OK] をクリックします。
その証明書テンプレートが [証明書テンプレート] リストに表示されます。
注: 登録エージェントテンプレートとスマートカードログオンテンプレート(後述)を作成したら、Windows で [Active Directory 証明書サービス] サービスを再起動する必要があります。
スマートカードログオン証明書テンプレートを作成するには、以下の手順を実行します。
認証局サーバーの管理ツールから認証局管理コンソール(MMC)を起動します。
CA を展開し、[証明書テンプレート] フォルダーを右クリックし、[管理] を選択します。
”スマートカードログオン”証明書テンプレートを右クリックして [複製] を選択します。
新しいテンプレートプロパティが [全般] タブに表示されます。テキストボックスにテンプレート名を入力します。スペースのない実際の名前が 2 番目のテキストボックスに自動的に表示されます。その名前を覚えてください。後で SAML 機能を構成するときにその名前が必要になります。このタブのオプションを以下のように構成してください。
テンプレート表示名: PrlsSmartcardLogon
テンプレート名: PrlsSmartcardLogon
有効期間: 1 年以内
更新期間: 6 週間
Active Directory の証明書を発行する: OFF
Active Directory に重複する証明書がある場合、自動的に再登録しない: OFF
注: 表示名はどんな名前でも構いませんが、テンプレート名は上記の名前にする必要があります。
[暗号化] タブを選択して、以下の値を設定します。
プロバイダーのカテゴリ: レガシ暗号化サービスプロバイダー(読み取り専用)
アルゴリズム名: CSP によって設定
最小キーサイズ: 4096 ビットまでの任意の最小キーサイズ
[要求で使用できる暗号化サービスプロバイダーを選択してください] セクションで [以下のプロバイダーのうちいずれか 1 つ] を選択します。以下のプロバイダーのリストから、任意のプロバイダーを選択してください。
[発行の要件] タブを選択して、以下の値を設定します。
CA 証明書マネージャーの許可: OFF
次の数の認証署名: 1
署名に必要なポリシーの種類: アプリケーションポリシー
アプリケーションポリシー: 証明書の要求エージェント
登録と同じ要件: ON
[セキュリティ] タブを選択して、以下の手順を実行します。
[追加] をクリックします。
登録エージェントユーザーアカウントを追加します。
”読み取り”と”登録”のアクセス許可を選択します。[適用] をクリックし、[OK] をクリックします。
作成した証明書テンプレートを発行するには、以下のようにします。
認証局を再び実行し、[証明書テンプレート] を右クリックして [発行する証明書テンプレート] をクリックします。
前の手順で作成した証明書テンプレート(Prls Smarcard Logon)を選択して、[OK] をクリックします。
その証明書テンプレートが [証明書テンプレート] リストに表示されます。
注: スマートカードログオンテンプレートと登録エージェントテンプレート(前述)を作成したら、Windows で [Active Directory 証明書サービス] サービスを再起動する必要があります。
Security Assertion Markup Language(SAML)は、ID プロバイダーとサービスプロバイダーが認証情報をやりとりするための標準規格です。SAML 認証はシングルサインオンのメカニズムであり、中央の ID プロバイダー(IdP)がユーザー認証を行う一方で、サービスプロバイダー(SP)は、認証の結果に基づいてアクセス制御だけを行うという仕組みです。
SAML 認証の主なメリットを以下にまとめます。
サービスプロバイダーが独自のユーザーデータベースを維持する必要はありません。ユーザー情報は、ID プロバイダー側の中央データベースで保管されます。ユーザーの追加や削除が必要になった場合でも、1 つのデータベースで操作を行うだけで十分です。
サービスプロバイダーは、ユーザー確認を独自に行わなくてよいので、 サービスプロバイダーの側でセキュアな認証を実装する必要がありません。
シングルサインオンなので、ユーザーのログオンは 1 回だけで済みます。その後のサインオン(ユーザーが別のアプリケーションを起動するときのサインオン)はすべて自動的に行われます。
サインインのときにユーザーが資格情報を入力する必要はありません。
ユーザーがパスワードを記憶したり更新したりする必要はありません。
脆弱なパスワードが存在しません。
シングルサインオンのプロセス
SAML シングルサインオンは、サービスプロバイダーの側からも、ID プロバイダーの側からも開始できます。その 2 つのシナリオを以下にまとめます。
サービスプロバイダーの側から SAML シングルサインオンのプロセスを開始する場合は、以下のような流れになります。
ユーザーは Parallels Client(のいずれか)を開き、サービスプロバイダーに接続します。
サービスプロバイダーが ID プロバイダーにメッセージを送り、ユーザー認証を依頼します。
ID プロバイダーがユーザーにユーザー名とパスワード入力を求めます。
ユーザーの資格情報が正しければ、認証応答(アサーション)がクライアントに送られ、その後サービスプロバイダーに渡されます。その応答には、ユーザーのログインが成功したことや、ID プロバイダーがアサーションに署名したことを示すメッセージが含まれています。
ユーザーに公開アプリケーションのリストが表示されます。ユーザーがアプリケーションを起動するときに、資格情報を入力する必要はありません。
ID プロバイダーの側からシングルサインオンを開始する場合の基本的な流れは、以下の通りです。
ユーザーがウェブブラウザーから ID プロバイダーにログインすると、社内向けアプリケーション(Parallels RAS など)のリストが表示されます。
Parallels RAS を選択すると、アサーションがクライアントに送られ、その後 Parallels RAS で設定されているサービスプロバイダーに渡されます。
ユーザーに RAS の公開アプリケーションのリストが表示されます。
ユーザーがアプリケーションを起動するときに、資格情報を入力する必要はありません。
Parallels RAS で SAML を構成するには、以下のものが必要です。
以下の 2 つのユーザーアカウントが存在する Microsoft Active Directory。
登録エージェントユーザー: 認証ユーザーの代わりに RAS 登録サーバー(ES)によって証明書を登録するときに使用します。
NLA ユーザー: RD セッションホストや VDI ゲストとの NLA 接続を開始するときに使用します。
必要な権限や委任については、を参照してください。Azure Active Directory Domain Services(AADDS)は、SAML SSO との併用には対応していないことに注意してください。
以下のテンプレートが含まれている Microsoft エンタープライズ認証局(CA)。
登録エージェント証明書テンプレート
スマートカードログオン証明書テンプレート
サードパーティの ID プロバイダー(IdP)(Azure、Okta、Ping Identity、Gemalto SafeNet など)。ここでユーザーアカウントが保管されます。IdP にあるユーザーアカウントは、Microsoft Active Directory 環境と同期していなければなりません。ユーザーを正しく同期する方法については、プロバイダーに問い合わせてください。
ドメインコントローラーには、ドメインコントローラー証明書が必要です。ドメインコントローラーにある証明書は、スマートカード認証をサポートしていなければなりません。証明書を作成するときには、”ドメインコントローラーの認証”という名前の Microsoft CA 証明書テンプレートを使用します。手動で作成したドメインコントローラー証明書は、正しく機能しないことがあります。”要求はサポートされていません”というエラーが表示される場合は、ドメインコントローラー証明書を再作成しなければならない可能性があります。信頼されているルート認証局のストアに含まれている CA から発行されたルート証明書が RD セッションホストと VDI にあることを確認してください。
64 ビットの OS で稼働する RD セッションホストや VDI のワークロードがある Parallels RAS ファーム。
セキュリティ上の理由から、RAS 登録サーバーを専用のホストにインストールすることをお勧めします。ホストは、他のコンポーネントやロールがインストールされていないスタンドアロンのサーバーでなければなりません。
SAML の構成と RAS 登録サーバーの構成はどちらも、RAS 環境内のサイトごとの設定になります。RAS 管理者は、”サイト情報の表示を許可”と”サイトの変更を許可”の権限の委任を受けていなければなりません。
注: 上記のタスクの中には、Microsoft Active Directory とグループポリシーの設定に関する知識が必要になるタスクもあります。 Azure Active Directory Domain Services(AADDS)および Azure Virtual Desktop へのアクセスは、現在 Parallels RAS SAML SSO でサポートされていません。
各種認証プロバイダーと Parallels RAS を統合する事例については、Parallels のウェブサイト()で利用できる、**「SAML SSO 認証の例」**ガイドを参照してください。
IdP でユーザー認証が実行されると、Active Directory にあるユーザーアカウントの属性と IdP にある属性がそれぞれ比較されます。IdP 側でも RAS Console でも比較対象の属性を構成できます。詳細については、を参照してください。
RAS 登録サーバーは、Parallels RAS 環境で Microsoft 認証局(CA)と通信し、ユーザーに代わって SSO 認証のデジタル証明書をリクエストしたり登録したり管理したりします。
注: セキュリティ上の理由から、RAS 登録サーバーは、Active Directory ドメインコントローラーや認証局と同じように、他の Parallels RAS コンポーネントがインストールされていないセキュアな専用サーバーにインストールしてください。
セットアップ コストを 構成 RAS 登録 サーバー
RAS Console を使用して、RAS 登録サーバーエージェントを指定のサーバーにリモートからインストールできます。対象のサーバーで標準の RAS インストーラーを実行してエージェントをインストールすることも可能です。
RAS 登録サーバーをリモートからインストールするには、以下の手順を実行します。
RAS Console で、[ファーム] > [サイト] > [登録サーバー] に移動します。
[タスク] > [追加] をクリックします。
RAS 登録サーバーエージェントをインストールするサーバーの FQDN または IP アドレスを指定します。
[次へ] をクリックします。
[登録サーバーエージェント情報] ダイアログで [インストール] をクリックし、画面上の指示に従います。
Parallels RAS インストーラーを使用して RAS 登録サーバーをインストールするには、以下の手順を実行します。
RAS 登録サーバーエージェントをインストールするサーバーで Parallels RAS インストーラーを実行します。
[インストールタイプの選択] ページで、[カスタム] を選択し、[次へ] をクリックします。
Parallels RAS 登録サーバーコンポーネントを選択し、他のコンポーネントをすべてクリアします。
[次へ] をクリックし、画面上の指示に従います。
RAS 登録サーバーをインストールしたら、RAS Console を開いて、[ファーム] > [サイト] > [登録サーバー] に移動します。
[タスク] > [追加] をクリックします。
登録サーバーの FQDN または IP アドレスを入力して、[次へ] をクリックします。
画面上の指示に従って、サーバーをファームに追加します。
登録キーの取得とコピー
RAS インストーラーを使用して手動でインストールを実行する場合は、登録サーバーのホストに登録キーファイルを配置する必要があります。RAS Console を使用して RAS 登録サーバーエージェントをリモートから展開した場合は、この手順は不要です。
まず、以下の手順を実行して登録キーファイルを取得する必要があります。
RAS Console を開いて、[ファーム] > [サイト] > [登録サーバー] に移動します。
[タスク] > [登録キーをエクスポート] をクリックします。
registration.crt という名前のファイルにキーを保存します。
registration.crt ファイルを作成したら、RAS 登録サーバーのインストール先になっているサーバー上のフォルダーにそのファイルをコピーします。デフォルトでは以下のパスになります。
C:\Program Files (x86)\Parallels\ApplicationServer\x64
注: 登録キーファイルの名前は必ず”registration.crt”にしてください。
構成 の の統合
RAS Console で RAS 登録サーバーを追加したら、以下のようにして AD 統合を構成する必要があります。
RAS コンソールで ファーム / [サイト] > [登録] [サーバー] に移動します。
AD を選択します [統合] タブ。
[認証局(CA)] セクションで、新しい証明書テンプレート(PrlsEnrollmentAgent と PrlsSmartcardLogon)を作成したエンタープライズ CA の構成文字列を指定します。以下の形式で指定してください。
CAhostname.domain\issuing CA name
[...] ボタンをクリックして CA を選択することも可能です。構成の詳細については、「認証局テンプレートの構成」を参照してください。
登録エージェントセクションで 登録 Agent のユーザー名とパスワードを指定します。構成の詳細については、「Active Directory のユーザーアカウントの設定」を参照してください。
NLA ユーザーセクション で、 NLA のユーザー名とパスワードを指定します。構成の詳細については、「Active Directory のユーザーアカウントの設定」を参照してください。
[AD 統合設定 の の統合 [設定] ボタンをクリックして、入力情報が有効かどうか確認してください。
コンピューター管理ツールの使用
RAS Console から、RAS 登録サーバーホストをホスティングしているサーバーで標準的なコンピューター管理タスクを直接実行できます。このタスクには、リモートデスクトップ接続、PowerShell、コンピューター管理、サービス管理、イベントビューアー、IPconfig、再起動などが含まれます。[ツール] メニューにアクセスするには、[タスク] をクリックし、[ツール] をクリックして目的のツールを選択します。要件と使用方法については、「コンピューター管理ツール」を参照してください。
クライアント側で直接 SAML SSO オプションを指定するができます。また RAS Console の Parallels Client ポリシーを介してそれらを設定することもできます。このためには、次の操作を実行します。
RAS Console で [ポリシー] カテゴリーを選択します。
ポリシーのプロパティを開き、[セッション] > [接続] > [プライマリ接続] に移動します。
[認証タイプ] ドロップダウンリストで [ウェブ] を選択します。
[セッション] > [接続] > [ウェブ認証] に移動します。
[既定の OS ブラウザーを使用] オプションを有効または無効にします。このオプションを有効化すると、SAML SSO のログインダイアログがクライアント側の既定のブラウザーで開きます。このオプションを解除すると、Parallels Client に組み込まれているブラウザーが使用されます。
注: Parallels RAS Console 19.3 以降を使用している場合、内蔵ブラウザーで SAML SSO ログインダイアログを起動するには、Parallels RAS Client for Windows 19.3 以降を使用します。
「Parallels Client の構成」も参照してください。
構成済みの SAML SSO 認証がある場合、次に説明する手順でテストを実行することができます。
サービスプロバイダーが認証を開始しました
ウェブブラウザーを使用して、RAS Web Client を開き(またはプラットフォームに対応する Parallels Client を使用して)、割り当てた ID プロバイダーのテーマを指定します。
公開済みのアプリケーションを起動します。アプリケーションセッションが正常に起動したことを確認します。
もう 一つ の テーマを作成し、 もう 一つ の IdP プロバイダーを追加して、 特定の 新しい テーマ を 接続 します。 別の アプリケーションを 起動します。
ID プロバイダーが認証を開始しました
ウェブブラウザー を使用 して ID プロバイダー ポータルに 接続します。
公開済みの アプリケーションを 起動 します。 アプリケーション セッション が 正常に 起動 していることを 確認 します。
高可用性のために、各サイトに複数の登録サーバー(ES)を追加できます。有効になっている確認済みのすべての ES がアクティブ/アクティブモードで使用されます。ユーザーのログオン時には、ワークロード VM(RD セッションホストや VDI など)からの要求が、使用可能な ES の間で均等に分散されます。1 つの ES で障害が発生すると、次に使用可能な ES が選択され、SAML SSO 認証プロセスが続行されます。複数の ES の手動展開が必要な場合は特に、同じサイトにあるすべての ES が同じ登録キーを共有することを覚えておいてください。その登録キーは、「RAS 登録サーバーの構成」セクションで説明されているパスに配置する必要があります。
注: 複数の ES が共通の証明書リポジトリストアを共有することはありません。ES ごとにすべての証明書が分離されています。従って、複数の ES がある場合は、同じユーザーでも、ES ごとに別々の証明書を使用することが可能になります。
Parallels Web Client
追加の構成は必要ありません。
Parallels Client for Windows
「Windows 用 Parallels Client ユーザーガイド」を参照してください。
Parallels Client for Mac
SAML SSO 認証用に Parallels Client for Mac を構成するには:
接続を選択(または新しい接続を作成)して、そのプロパティを開きます。
[接続] タブの [ログイン] セクションで、認証タイプとして [ウェブ] を選択します。
[詳細] タブを選択して、[既定の OS ブラウザーを使用] オプション(**[ウェブ認証]**セクション)を有効または無効にします。このオプションを有効化すると、SAML SSO のログインダイアログが既定のブラウザーで開きます。このオプションを解除すると、Parallels Client に組み込まれているブラウザーが使用されます。
ダイアログを閉じて、接続のプロパティを保存します。
Parallels RAS に接続すると、ウェブブラウザーでダイアログが開き、資格情報を入力するように求められます。これは、ID プロバイダーによって検証されます。資格情報が有効な場合、公開されたアプリケーションのリストが Parallels Client に表示されます。
Parallels Client for Linux
SAML SSO 認証用に Parallels Client for Linux を構成するには:
接続を選択(または新しい接続を作成)して、そのプロパティを開きます。
[接続] タブの [ログイン] セクションで、認証タイプとして [ウェブ] を選択します。
追加で構成する場合は、次の操作を実行します。
QtWebEngine ライブラリをインストールします。
[詳細設定] タブを選択し、[接続の詳細設定] ボタンをクリックします。
[Web 認証] セクションの [既定の OS ブラウザーを使用] オプションを選択またはクリアします。このオプションを有効化すると、SAML SSO のログインダイアログが既定のブラウザーで開きます。このオプションを解除すると、Parallels Client に組み込まれているブラウザーが使用されます。
ビルトインのブラウザーを使用している場合は、[ウェブ認証] セクションの [ブラウザーのウィンドウを開いてログアウトを完了] オプションを選択またはクリアしてください。このオプションを選択すると、SAML からのログアウトを実行するための URL が開きます。デフォルトでは、この Web ページは表示されませんが、ブラウザーでの操作が必要な場合は、このオプションを有効にすることができます。
ダイアログを閉じて、接続のプロパティを保存します。
セキュリティ上の理由から、CA で登録エージェントの制限を構成し、ユーザーの代わりに証明書を登録する権限を、新しく作成した登録エージェントユーザーだけに与えるようにしてください。そのためには、以下の手順を実行します。
認証局スナップインを開き、CA の名前を右クリックして [プロパティ] をクリックします。
[登録エージェント] タブをクリックし、[登録エージェントを制限する] をクリックし、表示されるメッセージで [OK] をクリックします。
[登録エージェント] の下にある [追加] をクリックし、前の手順で作成した登録エージェントユーザーの名前を入力し、[OK] をクリックします。[すべてのユーザー] をクリックし、[削除] をクリックします。
[証明書テンプレート] の下にある [追加] をクリックし、作成したテンプレート(PrlsEnrollmentAgent と PrlsSmartcardLogon)を選択し、[OK] をクリックします。証明書テンプレートの名前を追加する作業が終わったら、<All> をクリックし、[削除] をクリックします。
[権限] の下にある [追加] をクリックし、名前またはグループ(SAML を使用して RAS 環境にログインするユーザーまたはグループ)を入力し、[OK] をクリックします。[すべてのユーザー] をクリックし、[削除] をクリックします。
他のユーザーやコンピューターやグループの証明書を登録エージェントが管理できないようにブロックする場合は、[アクセス許可] の下でそのユーザーやコンピューターやグループを選択し、[拒否] をクリックします。
登録エージェントの制限の構成が完了したら、[OK] または [適用] をクリックします。
注: 登録エージェントの制限が適用されているユーザーやグループは、登録エージェントの制限付きのアクセス許可が構成されていてもいなくても、CA の有効な登録エージェント証明書を持っていなければ、登録エージェントとして機能できません。
サービスプロバイダー側(Parallels RAS 側)では、ウェブ(SAML)認証を有効にして、ID プロバイダーを RAS ファームに追加する必要があります。
ウェブ(SAML)認証の有効化
RAS Console で [接続] > [認証] に移動します。
[許可された認証タイプ] セクションで [ウェブ(SAML)] オプションを選択します。
IdP を RAS ファームに追加する方法
IdP を追加するには、以下の手順を実行します。
RAS Console で [接続] > [SAML] に移動します。タブページが無効になっている場合は、ウェブ(SAML)が有効になっていることを確認してください(上記参照)。
[タスク] > [追加] をクリックします。
[ID プロバイダーの追加] ウィザードでプロバイダーの名前を指定します。
[テーマと一緒に使用する] ドロップダウンリストで、IdP に割り当てる [テーマ] を選択します。まだテーマがない場合は、デフォルトのテーマを使用するか、[<使用しない>] を選択して後からテーマを指定できます。同じ RAS ファームに複数の IdP を構成することは可能です。ただし、1 つのテーマには 1 つの IdP しか割り当てられません。
ウィザードで IdP 情報を取得するための方法を選択してください。
公開済み IdP メタデータのインポート: インターネット上に公開されている XML 文書からインポートします。IdP 側の構成から取得した文書の URL を指定してください。
ファイルから IdP メタデータをインポートする: IdP アプリケーションからダウンロードしたローカル XML ファイルからインポートします。該当するフィールドでファイル名とパスを指定してください。
IdP 情報を手動で入力します: このオプションを選択すると、ウィザードの次のページで情報を手入力できます。
[次へ] をクリックします。
前の手順で構成をインポートした場合は、XML ファイルから取得したデータが次のページに取り込まれます。IdP データを手動で入力するオプションを選択した場合は、次の値を自分で入力してください。
IdP エンティティ ID: ID プロバイダーのエンティティ ID。
IdP 証明書: ID プロバイダーの証明書データ。このフィールドに値を設定するには、IdP 側から証明書をダウンロードし、ダウンロードしたファイルを開き、その内容をコピーしてこのフィールドに貼り付けます。
ログオン URL: ログオン URL。
ログアウト URL: ログアウト URL。
必要に応じて、[暗号化されていないアサーションを許可する] オプションを選択します。
注: デフォルトでは、[暗号化されていないアサーションを許可する] オプションは無効になっています。IdP 構成でアサーションの暗号化が設定されていることを確認するか、RAS 構成内でデフォルト設定を変更してください。
この時点で、IdP 側(IdP ポータル)でインポートするサービスプロバイダー(SP)の構成を行います。今すぐに行うことも、後で行うこともできます。今すぐに行うには、以下の手順に従います。後で実行するには、[完了] をクリックし、必要になったときに、ID プロバイダーオブジェクトのプロパティを開き、[SP] タブを選択して、以下に説明するのと同じ手順を実行します。
SP の設定を行うには、[サービスプロバイダー情報] ボタンをクリックします。
ダイアログが開いたら、ホストアドレスを入力してください。IdP がそのアドレスにリダイレクトされるので、そのアドレスは、エンドユーザーのブラウザーからアクセスできるアドレスでなければなりません。
その他のフィールド([SP エンティティ ID]、[リプライ URL]、[ログオン URL]、[ログアウト URL] など)には、ホストアドレスに基づく値があらかじめ設定されています。SP 証明書が自動生成されます。
次に、上記の値に基づいて IdP 構成を完成させます。値を手動でコピーすることも、メタデータファイル(XML)としてエクスポートすることも可能です。[SP メタデータをファイルにエクスポート] リンクをクリックします。メタデータを XML ファイルとして保存します。その XML ファイルを IdP にインポートします。
ダイアログを閉じて、[完了] をクリックします。
ユーザーアカウントの属性の構成
IdP でユーザー認証が実行されると、Active Directory にあるユーザーアカウントの属性が、IdP のユーザーデータベースにある対応属性と比較されます。どの属性を比較するかを構成できます。その方法については、下記の説明を参照してください。
使用可能な属性を次の表にまとめます。
* [SAML 名] 列の属性は編集可能で、使用している IdP に基づいてカスタマイズできます。
属性を構成するには、以下の手順を実行します。
RAS Console で、前の手順で追加した IdP を右クリックします。
IdP の [プロパティ] ダイアログで [属性] タブを選択します。このタブで、比較用の属性を選択したりクリアしたりできます。カスタム属性を作成することも可能です。
選択した属性が比較されます。
必要に応じて、あらかじめ構成されているどの SAML 属性(IdP 側)の名前も、AD 属性に合わせて変更できます。
カスタム属性を使用して、任意の SAML 属性名をどの AD 属性値に対してもマッチングできます。デフォルトではメールアドレスになります。
必要に応じて、IdP 側で構成されている属性に基づいて対象の属性を構成して有効にします。
[OK] をクリックして、ダイアログを閉じます。
注 1: 属性が複数ある場合は、表示順で使用されます。1 つの属性が失敗した場合は、次に構成されている属性が使用されます。属性は 1 つずつ(「どちらか 1 つ」という方法で)使用されます。 注 2: 複数の AD ユーザーで同じ AD 属性が構成されていると、ユーザーのマッチングが失敗します。例えば、メールアドレス属性を選択した場合に、複数の AD ユーザーが同じメールアドレスを持っていると、IdP アカウントと AD ユーザーアカウントの間の属性のマッチングは失敗します。
属性の構成に関するヒント
可能なら、Active Directory と IdP の間のユーザー同期のために自動処理機能(Azure IdP 構成用の Microsoft Azure AD Connect など)を使用して、ユーザー識別管理のオーバーヘッドを最小化してください。
使用中の環境で固有のユーザー識別属性を選択します。可能なら、ユーザープリンシパル名(UPN)や Immutable ID(ObjectGuid)を使用してください。メールアドレスなどの固有の識別情報を使用することも可能です。その場合は、AD でユーザーオブジェクトの [メールアドレス] フィールドが構成されていることを確認してください。Microsoft Exchange Server を使用している場合は、[Exchange アドレス] タブと Exchange ポリシーを使用してください。
UPN を属性として使用する場合は、代替 UPN サフィックスも構成できます。この構成は、[Active Directory ドメインと信頼関係] で作成可能です(root > 右クリックで [プロパティ] ダイアログを開く)。新しい代替 UPN サフィックスを作成した後、Active Directory ユーザーとコンピューターから、ユーザーオブジェクトのプロパティで、UPN を変更できます。
アカウントの写真を追加する
Single SignOn でユーザーがログインする際に Windows ログオン画面に表示されるカスタムアカウント画像を追加して、パーソナライズ機能を強化できます。手順の詳細については、https://kb.parallels.com/en/129028 を参照してください。
SAML SSO 認証に何らかの問題があった場合、ウェブブラウザーにエラーメッセージが表示されます。
HTML5 事前読み込み
HTML5 事後読み込み
アプリケーションまたはデスクトップの起動後
RAS 名
SAML 名 *
AD 名
説明
UserPrincipalName
NameID
userPrincipalName
ユーザープリンシパル名(UPN)は、電子メール形式のシステムユーザー名です。
Immutable ID
ImmutableID
objectGUID
UUID(Universally Unique Identifier)。
SID
SID
objectSid
ObjectSID には、ドメインを一意に識別するドメインプレフィックス ID と、ドメイン内のセキュリティプリンシパルを一意に識別する相対 ID (RID)が含まれています。
sAMAccountName
sAMAccountName
sAMAccountName
sAMAccountName 属性は、旧バージョンの Windows(Windows NT 4.0 など)のクライアントとサーバーをサポートするために使用するログオン名です。
カスタム
メールアドレス
メール
カスタム属性を使用して、SAML 属性名を AD 属性値にマッチングできます。デフォルトではメールアドレスになります。
エラーメッセージ
注記
SAML アサーションをパースできません
SAML アサーションのパースと検証でエラーが発生しました。詳細については、HTML5 のログを参照してください。
一般的に次の原因が考えられます。
このユーザーに関する SAML 返信は有効ではありません。この問題の原因として、IDP の設定に問題があること(特にエンティティ ID URL)が考えられます。アサーションのエンティティ ID URL が、SP SAML 設定が提供するエンティティ ID と一致しません。
1 つのアサーションまたは 1 つの暗号化済みアサーションが予想されます。返信にアサーション/暗号化済みアサーションのタグが見つかりませんでした。IDP が非暗号化アサーションを送信している間、Web Client は、暗号化済みのアサーションについて待機します。これは、IDP 設定を変更して暗号化済みのアサーションを送信するか、[RAS Console ] > [接続] > [SAML] > [IDP 設定] から [暗号化されていないアサーションを許可する] のチェックボックスにチェックを入れることで修正できます。
SAML 返信がまだ有効になっていません。この問題は、RAS Gateway がインストールされているサーバーの時間が正しくなく、インスタンスが 4 秒間遅延している場合に発生する可能性があります。この場合アサーションのパースの前に、アサーションが作成されます。
SAML 返信が有効になりません。この問題は、RAS Gateway がインストールされているサーバーの時間設定が正しくない場合に発生する可能性があります。後で手動で設定する場合、アサーションの検証時に、未検証と見なされる可能性があります。
SAML アサーション本文が空です
返信に SAML アサーションが見つかりませんでした。詳細については、HTML5 のログを参照してください
SAML ログアウトリクエストを作成できません
SAML ログアウトリクエストの作成中にエラーが発生しました。詳細については、HTML5 のログを参照してください。
SAML ログアウトレスポンスを作成できません
ログアウト返信の作成中にエラーが発生しました詳細については、HTML5 のログを参照してください。
エラーコード
エラーメッセージ
注記
0x00000029
SAML IdP 設定が見つかりません。IdP Id:'xxx'
ID プロバイダーの設定を確認してください。IdP メタデータが正しくインポートされていることを確認してください。
0x0000002A
SAML IdP 情報キーの読み込みに失敗しました。IdP Id:'xxx'
IdP 設定に IdP 証明書が存在していることを確認してください。
0x0000002B
SAML テーマに整合性がありません
IdP 設定のテーマが正しく設定されていることを確認してください。
0x0000002C
SAML を使用するログオンに失敗しましたエラー: 0x00001
次のエラーが表示されます
0x00000029
利用可能な登録サーバーがありません
登録サーバーのステータスを確認してください
0x0000002A
NLA ユーザー構成が見つかりません
NLA ユーザーの詳細を入力します
0x00000003
SAML を使用するログオンに失敗しましたエラー: AD ユーザーのマッチングに失敗しました0x00000006
IdP プロパティの属性設定が正しいことを確認してください。
0x00000003
SAML を使用するログオンに失敗しましたエラー: 返信の検証および復号に失敗しました0x00000009
IdP 設定に IdP 証明書が存在していることを確認してください。
0x00000003
SAML を使用するログオンに失敗しましたエラー: アサーションが暗号化されませんでした0x0000001C
ログオンリクエストの IdP 設定が正しいことを確認してください。
0x00000003
SAML を使用するログオンに失敗しましたエラー: アサーションの復号に失敗しました0x0000001D
IdP 設定の SP 証明書が正しく設定されていることを確認してください。
0x00000003
SAML を使用するログオンに失敗しましたエラー: アサーションの検証に失敗しました0x0000001F
IdP 設定に IdP 証明書が存在していることを確認してください。
エラーメッセージ
説明と参照資料
ユーザー名またはパスワードが無効です
ユーザーの証明書は有効ですが、ドメインコントローラーの承認を受けられませんでした。ドメインコントローラーの Kerberos ログオンを確認してください。
ユーザーがシステムにログオンできません。お使いの資格情報を検証できませんでした。
ドメインコントローラーとの接続性、および適切な証明書がインストールされていることを確認してください。
リクエストはサポートされていません
”ドメインコントローラー”およびドメインコントローラーの”ドメインコントローラー認証”証明書は、すでに利用可能な状態であっても登録する必要があります。
ユーザーがシステムにログオンできません。認証に使用するスマートカード証明書の信頼性を確認できませんでした。
エラーが表示されたマシンに、中間証明書および root 証明書がインストールされていません。CA root 証明書およびすべての中間証明書を、ローカルコンピューターアカウントの”信頼済み root 証明書”に追加する必要があります。
ユーザーのアカウントでスマートカードログオンがサポートされていないため、ログオンできません。
ユーザーアカウントでの、スマートカードカードログオンの構成が不完全です。
有効なスマートカード証明書が見つかりませんでした。
PrlsSmartcardCertificate の構成を確認してください。拡張子が正しく設定されていないか、または RSA キーが 2048 ビットに満たない可能性があります。
不正なリクエスト
PrlsSmartcardCertificate の構成を確認してください。拡張子が正しく設定されていないか、または RSA キーが 2048 ビットに満たない可能性があります。