Dieser Artikel ist eine Schritt-für-Schritt-Anleitung zur Konfiguration der Single Sign-On-Authentifizierung (SSO) mit dem Authentifizierungsmechanismus Security Assertion Markup Language (SAML). SAML ist ein XML-basierter Authentifizierungsmechanismus, der SSO-Funktionen zwischen verschiedenen Unternehmen bereitstellt, indem er die Benutzerauthentifizierung ohne gemeinsame Nutzung der lokalen Identitätsdatenbank ermöglicht. Als Teil des SAML SSO-Prozesses kommuniziert der neue Parallels®Remote Application Server (RAS) Registrierungsserver mit der Microsoft Certificate Authority (CA), um digitale Zertifikate im Namen des Benutzers anzufordern, zu registrieren und zu verwalten, um die Authentifizierung abzuschließen, ohne dass die Benutzer ihre Active Directory-Anmeldeinformationen (AD) eingeben müssen.
Dienstanbieter und Unternehmen mit mehreren Tochtergesellschaften (Akquisitionen) müssen somit keine eigenen internen Identitätsmanagementlösungen oder komplexe Domänen oder Gesamtstruktur-Vertrauenswürdigkeit pflegen. Die Integration externer Identitätsanbieter (IdP) ermöglicht den Endbenutzern von Kunden und Partnern eine echte SSO-Erfahrung.
Als Beispiel werden wir hier den Prozess der Konfiguration von Azure als Identitätsanbieter untersuchen:
Voraussetzungen
1. Lokal installiertes Active Directory:
- Ein lokales AD-Benutzerkonto zur Verwendung als Enrollment Agent (CA-Terminologie).
- Ein lokales AD-begrenztes Benutzerkonto für die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA).
2. Microsoft-Zertifizierungsberechtigung im Enterprise-Modus (weitere Details unter Microsoft TechNet):
- Vorlage für das Zertifikat des Enrollment Agent
- Vorlage für Smartcard-Anmeldezertifikate
3. Externer Identitätsanbieter (Microsoft Azure, Okta, Ping Identity, Gemalto etc.):
- Hier sollten sich die Benutzerkonten befinden und mit dem externen SAML-Identitätsanbieter synchronisiert werden.
- Die lokale AD wird typischerweise über einen Active Directory Connector mit dem externen IdP synchronisiert. Bitte wenden Sie sich an den Anbieter, um zu erfahren, wie Sie die Benutzer ordnungsgemäß synchronisieren können.
4. Domain Controller (DC) müssen über Domain-Controller-Zertifikate verfügen. Die Zertifikate auf den DC müssen die Smartcard-Authentifizierung unterstützen. Zertifikate, die mit der Microsoft CA-Zertifikatvorlage „Domänencontrollerauthentifizierung“ erstellt wurden, unterstützen Smartcards. Manuell erstellte DC-Zertifikate funktionieren unter Umständen nicht.
5. Da es sich bei SAML um eine webbasierte Authentifizierung handelt, benötigen Sie einen Browser, mit dem Sie sich am HTML5-Portal anmelden und eine Liste der Anwendungen abrufen können. Der native Parallels Client für Windows wird verwendet, um Remotedesktopprotokoll-Sitzungen (RDP) zu starten.
6. Aus Sicherheitsgründen muss der Enrollment Server (ES) ein separater Server sein und darf nicht auf einem Publishing Agent-Server installiert sein. Der Enrollment-Server sollte auf einem sicheren, eigenständigen Server installiert werden, auf dem keine weiteren Komponenten und Rollen installiert sind.
So richten Sie die Windows Server-Seite zur Einhaltung der Parallels RAS SAML-Voraussetzungen ein
Konfigurieren Sie unter den oben genannten Voraussetzungen Microsoft Certification Authority und Zertifikatsvorlagen und fügen Sie die erforderlichen Benutzerkonten hinzu. Eine Anleitung hierzu finden Sie im KB-Artikel Nr. 124813.
So wird der RAS Registrierungsserver-Agent hinzugefügt
Installieren Sie den Parallels RAS Enrollment Server Agent entweder manuell oder über die Parallels RAS-Konsole.
- In der Parallels RAS-Konsole > Registrierungsserver > klicken Sie auf das Symbol „+“, um einen neuen Agent hinzuzufügen.
- Im Falle einer manuellen ES-Installation (RASInstaller.msi > Custom) ist es notwendig, den ES-Host-Registrierungsschlüssel in den folgenden Ordner zu verschieben: %installation_path%\Parallels\ApplicationServer\x64.
- Um den Registrierungsschlüssel zu exportieren, öffnen Sie die Parallels RAS-Konsole > ES > Aufgaben > Registrierungsschlüssel exportieren > registration.crt (Remote-Push macht dies automatisch).
In der Parallels RAS-Konsole > Registrierungsserver > Registerkarte „AD Integration“ geben Sie die CA- und Benutzerkonten für den Registrierungsagenten und den von Ihnen konfigurierten NLA-Benutzer an und bestätigen Sie die Änderungen.
Abschließende Prüfungen
Vergewissern Sie sich, dass der Serverstatus des Registrierungsagenten OK ist.
Wechseln Sie zur Registerkarte „AD-Integration“ und klicken Sie auf „AD-Integrationseinstellungen überprüfen“ Stellen Sie sicher, dass alle Prüfungen bestanden sind.
Konfiguration auf Azure-Seite
Hier muss eine generische SAML-App erstellt werden.
1. Melden Sie sich beim Azure-Portal an und navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Erstellen Sie eine neue Anwendung, indem Sie auf die entsprechende Schaltfläche klicken. Geben Sie den Namen ein und klicken Sie auf Hinzufügen.
2. Wählen Sie Nicht-Kataloganwendung, geben Sie einen Namen ein und klicken Sie auf Hinzufügen, um die Anwendung zu erstellen.
3. Fügen Sie auf dem Blatt der erstellten Anwendungen Benutzer hinzu, die für die Verwendung von SAML SSO erforderlich sind. Das können Sie in der Ansicht Benutzer und Gruppen erledigen.
Konfiguration der Azure-Anwendung für die Arbeit mit Parallels RAS
1. Öffnen Sie im Azure-Portal das Blatt „SAML-Anwendung“ und wechseln Sie zur Single Sign-on-Ansicht > SAML.
2. In Abschnitt 3, SAML-Unterschriftszertifikat, kopieren Sie die URL der App Federation Metadata.
Hinweis: Für die manuelle Konfiguration können Sie Zertifikat (Base64) und Federation Metadata XML herunterladen.
3. Öffnen Sie Parallels RAS-Konsole > Verbindung Registerkarte SAML > klicken Sie dann auf Hinzufügen
4. Importieren Sie im geöffneten Assistenten Identitätsanbieter hinzufügen die Metadaten aus der Datei oder geben Sie deren URL an. Wählen Sie ein HTML5-Schema, mit dem der Identitätsanbieter verknüpft werden soll.
5. Auf der nächsten Seite sollten die Details über das Zertifikat und die Anmelde-/Abmelde-URLs automatisch ausgefüllt werden. Wenn alles ordnungsgemäß eingetragen wurde, klicken Sie auf Fertigstellen.
Hinweis: Aktivieren Sie „Unverschlüsselte Assertion zulassen“, wenn Sie sie nicht in Azure konfiguriert haben.
6. Klicken Sie mit der rechten Maustaste auf den Identitätsanbieter, den Sie gerade erstellt haben > Eigenschaften > Registerkarte SP. Merken Sie sich diese Informationen.
7. Wechseln Sie zurück zur SAML-Anwendung im Azure-Portal. Geben Sie die Werte in Abschnitt 1 Standard-SAML-Konfiguration gemäß der Registerkarte SP in der Parallels RAS-Konsole ein.
8. Konfigurieren Sie Attribute, um die Benutzer des Identitätsanbieters mit AD-Benutzern abzugleichen. So können Sie beispielsweise Azure AD Connect verwenden, um Benutzer über die unveränderliche ID wie folgt abzugleichen:
Erstellen Sie in AD ein Attribut:
Name | Unveränderliche ID |
Quelle | Attribut |
Quellattribut | user.onpremisesecurityidentifier |
Weitere Informationen dazu finden Sie auf docs.microsoft.com
In unserem Beispiel verwenden wir, da dies die Laborumgebung ist, einfach ein benutzerdefiniertes Attribut mit folgenden Einstellungen:
- Im Azure-Portal > SAML-Anwendung > Einmaliges Anmelden offener Abschnitt 2 „Benutzerattribute und Ansprüche“
- Kopieren Sie den „Anspruchsnamen“ von user.userprincipalname value:
- In der Parallels RAS-Konsole suchen Sie das Fenster Identitätsanbieter hinzufügen wechseln dann auf die Registerkarte „Attribute“ und fügen ein neues mit dem Namen Benutzerdefiniert hinzu. Aktivieren Sie dieses Attribut und wenden Sie die Einstellungen an.
Konnektivität testen
1. Öffnen Sie die Seite des HTML5-Portals in Ihrem Webbrowser.
Hinweis: Verwenden Sie das Design, das Sie der SAML-App zugeordnet haben.
2. Wenn alles in Ordnung ist, werden Sie sofort zu login.microsoft.online weitergeleitet. Melden Sie sich an.
Was this article helpful?
Tell us how we can improve it.