はじめに

Security Assertion Markup Language（SAML）は XML ベースの認証です。組織同士の間でシングルサインオン（SSO）機能を利用できるので、ローカルの ID データベースを共有しないでユーザー認証を行うことが可能になります。Parallels RAS 17.1 以降では、SAML 認証メカニズムがサポートされています。

Parallels RAS 17.1 で導入された SAML（2.0）SSO は、HTML5 を介した認証をサポートし、Web Client または Parallels Client for Windows を使用できます。Parallels RAS 18 は、OS 標準のブラウザー、または Parallels Client に組み込まれたブラウザーの使用など SAML 認証を開始するクライアントのサポートを拡張します。

この SAML SSO プロセスでは、新しい RAS 登録サーバーが Microsoft 認証局（CA）と通信し、ユーザーに代わってデジタル証明書をリクエストしたり登録したり管理したりするので、ユーザーが認証のために自分の Active Directory 資格情報を入力する必要はありません。サービスプロバイダーも、多くの子会社を抱える大企業も、内部の ID 管理ソリューションを維持したり、ドメイン/フォレストの複雑な信頼関係を構築したりする必要はありません。サードパーティの ID プロバイダーとの統合によって、顧客やパートナーがエンドユーザーに快適な SSO 環境を提供することも可能になります。

サポートされている提供オプションは以下の通りです。

• Web Client
• Windows の Web Client で SAML を起点として利用する
• Mac および Linux の Web Client で SAML を起点として利用する
• Android、iOS および iPadOS の Web Client で SAML を起点として利用する
• Parallels Client for Windows で SAML 認証を起点として利用する
• Parallels Client for Mac で SAML 認証を起点として利用する
• Parallels Client for Linux で SAML 認証を起点として利用する
• Parallels Client for iOS/iPadOS で SAML 認証を起点として利用する
• Parallels Client for Android で SAML 認証を起点として利用する

以下の概要レベルの論理ダイアグラムは、Parallels RAS 環境内の SAML 認証およびログインプロセスを示しています。

上図の SAML 認証およびログインの手順は以下の通りです。

1. RAS Secure Gateway は Parallels Client のログイン要求を IdP サイトにリダイレクトします。
2. ユーザー認証が IdP で行われます。
3. IdP はユーザーを SAML アサーションを使用して RAS Secure Gateway にリダイレクトします。
4. SAML アサーションを使用してユーザーが認証され、ユーザーはログインします。
5. 利用可能な RAS の公開済みリソースのリストを取得します。
6. ユーザーは公開済みリソースを選択し、Parallels Client から起動します。
7. ユーザーからの起動要求がサーバー側に送信され、利用可能なサーバー上でリソースが起動されます。
8. Parallels RAS セッションが確立されます。
9. ユーザーの証明書が次のように処理されます。
   • 証明書が要求されます。
   • 証明書が作成されます。
   • 証明書を使用して暗号化が行われます。
10. スマートカードでログオンします。