Voraussetzungen
Um SAML in Parallels RAS zu konfigurieren, benötigen Sie Folgendes:
- Microsoft Active Directory mit den folgenden zwei vorhandenen Benutzerkonten:
- Benutzer des Enrollment Agents: wird verwendet, um Zertifikate über den RAS Registrierungsserver (ES) im Namen des authentifizierten Benutzers zu registrieren.
- NLA-Benutzer: wird verwendet, um die NLA-Verbindung mit RD-Sitzungshosts und/oder VDI-Gästen zu initiieren.
Weitere Informationen über erforderliche Berechtigungen und Delegierungen finden Sie unter Konfiguration des Active Directory-Benutzerkontos. Beachten Sie, dass die Verwendung von Azure Active Directory Domain Services (AADDS) nicht in Verbindung mit SAML SSO unterstützt wird.
- Microsoft Enterprise Certification Authority (CA) einschließlich der folgenden Vorlagen:
- Vorlage für das Zertifikat des Enrollment Agent
- Vorlage für Smartcard-Anmeldezertifikate
- Externer Identitätsanbieter wie Azure, Okta, Ping Identity, Gemalto SafeNet und andere. Hier werden die Benutzerkonten untergebracht. Benutzerkonten im Identitätsanbieter müssen mit der Microsoft Active Directory-Umgebung synchronisiert werden. Bitte wenden Sie sich an den Anbieter, um zu erfahren, wie Sie die Benutzer ordnungsgemäß synchronisieren können.
- Domänencontroller müssen über Domänencontroller-Zertifikate verfügen. Die Zertifikate auf den Domänencontrollern müssen die Smartcard-Authentifizierung unterstützen. Zertifikate werden mit der Microsoft CA-Zertifikatvorlage Domänencontrollerauthentifizierung“ erstellt. Manuell erstellte Domänencontroller-Zertifikate funktionieren möglicherweise nicht. Wenn Sie die Fehlermeldung Request Not Supported“ (Anforderung nicht unterstützt) erhalten, müssen Sie möglicherweise Domänencontroller-Zertifikate neu erstellen. Stellen Sie sicher, dass RD-Sitzungshosts und VDIs über das von der CA ausgestellte Stammzertifikat im Speicher der Trusted Root Certification Authorities verfügen.
- Eine Parallels RAS-Farm mit RD-Sitzungshost und/oder VDI-Workloads (ausgeführt auf einem 64-Bit-Betriebssystem).
- Aus Sicherheitsgründen wird empfohlen, den RAS Registrierungsserver auf einem dedizierten Host zu installieren. Der Host sollte ein eigenständiger Server sein, auf dem keine anderen Komponenten und Rollen installiert sind.
- Sowohl SAML- als auch RAS-Registrierungsserver-Konfigurationen sind standortspezifische Einstellungen innerhalb der RAS-Umgebung. RAS-Administratoren müssen die Berechtigungen Zugriff auf Site-Informationen zulassen“ und Änderungen an Farm zulassen“ delegiert haben.