この記事では、Security Assertion Markup Language(SAML)認証メカニズムを使用して、シングルサインオン(SSO)認証を構成するための詳細な手順を扱います。SAML は、異なる組織間でローカル ID データベースを共有せずにユーザー認証を可能にする、SSO 機能を提供する XML ベースの認証メカニズムです。SAML SSO プロセスの一部である新しい Parallels® Remote Application Server(RAS)登録サーバーは、Microsoft 認証局(CA)と通信を行い、ユーザーに代わってデジタル証明書のリクエスト、登録、および管理を実行します。これにより、ユーザーは Active Directory(AD)資格情報の入力を求められることなく、認証を完了することができます。
サービスプロバイダーおよび複数の子会社(買収先)を持つ企業は、独自の内部 ID 管理ソリューションや、複雑なドメインまたはフォレストの信頼を維持する必要がなくなります。サードパーティーの ID プロバイダー(IdP)との統合により、顧客およびパートナーのエンドユーザーに対して、SSO による確かなユーザーエクスペリエンスを提供できます。
一例として、ID プロバイダーである Azure の構成プロセスを確認してみましょう。
前提条件
1.ローカル Active Directory:
- 登録エージェント(CA 用語)として、ローカル AD のユーザーアカウントを使用します
- ローカル AD は、ユーザーにネットワークレベル認証(NLA)による認証を求めます。
2.エンタープライズモードの Microsoft 認証局(詳細は Microsoft TechNet を参照):
- 登録エージェント証明書テンプレート
- スマートカードログオン証明書テンプレート
3.サードパーティーの ID プロバイダー(Microsoft Azure、Okta、Ping Identity、Gemalto など):
- これは、ユーザーアカウントを配置すべき場所であり、サードパーティーの SAML ID プロバイダーに同期されます。
- 一般的にローカル AD は、Active Directory Connector を使用してサードパーティーの IdP に同期されます。正しくユーザーを同期する方法については、プロバイダーにお問い合わせください。
4.ドメインコントローラー(DC)には、ドメインコントローラー証明書が必要です。DC の証明書は、スマートカード認証をサポートしている必要があります。”Domain Controller Authentication”と呼ばれる Microsoft CA 証明書のテンプレートを使用して作成された証明書は、スマートカードをサポートします。手動で作成された DC 証明書は、動作しない場合があります。
5.SAML はウェブベースの認証であるため、HTML5 ポータルにログインして、アプリケーションの一覧を取得するためのブラウザーが必要です。ネイティブの Parallels Client for Windows は、Remote Desktop Protocol(RDP)セッションの起動に使用されます。
6.セキュリティ上の理由で、登録サーバー(ES)は独立したサーバーでなければならず、Publishing Agent サーバーにインストールすることはできません。ES は、他のコンポーネントやロールがインストールされていない、セキュアでスタンドアロンのサーバーにインストールする必要があります。
Parallels RAS SAML の前提条件を満たすように、Windows Server 側を設定する
上の前提条件に応じて、Microsoft 認証局と証明書テンプレートを構成し、必要なユーザーアカウントを追加します。詳しい手順については、KB 124813 を参照してください。
Parallels RAS 登録サーバーエージェントの追加
手動で、または Parallels RAS Console から、Parallels RAS 登録サーバーエージェントをインストールします。
- Parallels RAS Console で [登録サーバー] から、“[+]” アイコンをクリックして新しいエージェントに追加します
- マニュアルで ES を設定する場合(RASInstaller.msi > [カスタマイズ])は、ES ホストのレジストレーションキーを次のフォルダーに移動する必要があります: %installation_path%\Parallels\ApplicationServer\x64
- 登録キーをエクスポートするには、Parallels RAS Console で [登録サーバー] > [タスク] > [登録キーのエクスポート] > registration.crt を開きます(リモートプッシュではこれが自動的に処理されます)。
Parallels RAS Console の [登録サーバー] > [AD 統合] タブで、構成する登録エージェントと NLA ユーザーの CA およびユーザーアカウントを指定して、変更を適用します。
最終チェック
登録サーバーのステータスが”OK”であることを確認します。
[AD 統合] に切り替えて、[AD 統合設定の検証] をクリックします。すべてのチェックを確認します。
Azure 側の構成
ここで一般的な SAML アプリを作成する必要があります。
1.Azure ポータルにサインインして、[Azure Active Directory] > [企業アプリケーション] で、適切なボタンをクリックして新規アプリケーションを作成します。名前を指定して [追加] をクリックします。
2.[非ギャラリーアプリケーション] を選択し、名前を指定してから [追加] をクリックしてアプリケーションを作成します。
3.作成されたアプリケーションのブレードで、SAML SSO を使用する必要のあるユーザーを追加します。これは [ユーザーとグループ] ペインで実行できます。
Parallels RAS で動作させる Azure アプリケーションの構成
1.Azure ポータルで、SAML アプリケーションのブレードを開き、[シングルサインオン] ペインから [SAML] へ進みます
2.セクション 3 の [SAML 署名証明書] で、アプリのフェデレーションメタデータ URL をコピーします。
注: 手動構成の場合、証明書(Base64)とフェデレーションメタデータ XML をダウンロードできます。
3.Parallels RAS Console で [接続] > [SAML] タブから [追加] をクリックします。
4.開いた [アイデンティティプロバイダーの追加] ウィザードで、ファイルからメタデータをインポートするか、その URL を指定します。IdP と連携する HTML5 テーマを選択します。
5.次のページに、証明書の詳細とログオン/ログアウト URL が自動的に表示されます。間違いがなければ、[完了] をクリックします。
注: Azure で構成していない場合、”暗号化されていないアサーションを許可する”にチェックを入れます。
6.先ほど作成した IdP を右クリックして、[プロパティ] > [SP] タブを開きます。この情報をメモします。
7.Azure ポータルの SAML アプリケーションに戻ります。Parallels RAS Console の [SP] タブに従い、セクション #1 の基本 SAML 構成で値を指定します。
8.属性を構成して、IdP ユーザーと AD ユーザーをマッチングします。インスタンスでは、Azure AD 接続を利用して、次に示すように Immutable ID 経由でユーザーのマッチングを行います。
AD で次の属性を作成します。
| 名前 | ImmutableID |
| ソースの | 属性 |
| ソースの属性 | user.onpremisesecurityidentifier |
詳細については、docs.microsoft.com を参照してください。
この例ではラボ環境を使用しているため、カスタマイズされた属性を使用しています。設定方法は次の通りです。
- Azure ポータル > SAML アプリ > [シングルサインオン] から、セクション #2 “”ユーザー属性およびクレーム”を開きます。
- user.userprincipalname 値の “[クレーム名]” をコピーします。
- Parallels RAS Console で、[ID プロバイダーの追加] ウィンドウで、属性タブに移動し、[カスタム] という名前の新しい要素を追加します。有効化して設定を適用します。
テスト接続
1.HTML 5 ポータルページをウェブブラウザーで開きます。
注: SAML アプリと関連付けられたテーマを使用します。
2.間違いがなければ、すぐに login.microsoft.online にリダイレクトされます。サインインを続行します。
Was this article helpful?
Tell us how we can improve it.