Blog

SSO Authentik und RAS

 Technische Dokumentation: Parallels RAS SAML SSO Integration (Status: Produktiv)   

 1. Systemübersicht   

Dieses System ermöglicht Benutzern den Zugriff auf Parallels RAS-Ressourcen mittels SAML-Authentifizierung. Authentik fungiert als Identity Provider (IdP). Nach erfolgreicher Anmeldung wird über den Enrollment Server ein Benutzerzertifikat ausgestellt, das ein lokales Anmelden am Parallels-System ohne erneute Passworteingabe ermöglicht.

 2. Architekturkomponenten   

  • Identity Provider (IdP): Authentik.
  • Connection Broker: Parallels RAS (Server: S2KIRRASGW & S2KIRRASGW02).
  • Enrollment Server: Dienst auf S2KIRRASGW & S2KIRRASGW02, verbunden mit der CA.
  • Microsoft CA: ares.software2eu.de.
  • Dienstkonto/Benutzer: svc_ras_enrollment (kommuniziert mit CA).

 3. Konfigurationsdetails   

 A. Authentik Provider (SAML)   

  • Property Mapping: Unter Customization > Property Mappings wird das  Property Mapping  „Parallels Domain Mapping“ angelegt. Hier wird das Format festgelegt, wie der Benutzer an Parallels RAS übergeben wird. Parallels RAS erfrägt mit diesem User in diesem Format den User am Domänenkontroller.



  • NameID wird mit dem Ausdruck „return user.username“ gemappt.



    Dieses Mapping übermittelt den Benutzernamen an Parallels RAS, welcher für die weitere AD-Zuordnung verwendet wird.
  • Provider erstellen:  Unter Application > Providers wird der SAML Provider für Parallels_RAS erstellt. Hiermit kann man sich über SSO an RAS anmelden.

  • Die Daten für den Connectionstring kommen aus der Connection-Konifguration unter SP (ServiceProvider) in Parallels RAS.


  • Ausfüllen des SAML Providers.


  • Advanced flow setting

  • Advanced protocpl settings
    Hier wird nun das erstellte Propperty Mapping „Parallels Property Mapping“ selektiert.

  • Hier wird Property Mapping als NameID Property Mapping aktiviert.

  • Nach dem Speichern der Daten erhält man die Daten für den Parallels RAS Connector



  • Die zuvoer erhaltenen Cnnector Daten werden in Parallels RAS eingegeben
    .


  • Fertig

 B. Parallels RAS: Authentifizierung   

  • Konfiguration einer neuen Connection unter Parallels RAS

  • Daten aus Authentik wie oben beschrieben

  • Konfigurationsdaten für Authentik
    Diese Daten werden in Authentik bei der Konfiguration des Providers eingeben.

  • Konfiguration des Attributs (Property Mapping)

                Das Attribut wird in Authentik unter Customization > Property Mappings angelegt.

  • In der Parallels RAS Konsole wurde unter SAML > Authentik Properties > Attributes die Option „Custom“ aktiviert.
  • SAML Attribute: http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • AD Attribute: sAMAccountName.

    Diese Konfiguration stellt sicher, dass der vom IdP übermittelte Benutzername korrekt gegen das Active Directory Attribut sAMAccountName gemappt wird.



  • Fertig

 C. Zertifikatsinfrastruktur (CA-Seite)  

  • Vorlage: Die Vorlage PrlsEnrollmentAgent ist auf der CA ares.software2eu.de zur Ausstellung registriert.
  • Berechtigung: Das Dienstkonto svc_ras_enrollment besitzt die Berechtigungen Lesen und Registrieren auf die Vorlage.
  • Agenten-Zertifikat: Das Konto svc_ras_enrollment verfügt über ein gültiges „Enrollment Agent“-Zertifikat mit der EKU „Zertifikatanforderungs-Agent“.

 D. Integration des Zertifikats auf dem Enrollment Server   S2KIRRASGW  

  • Speicherort: Das Zertifikat wurde in den lokalen Computer-Speicher (certlm.msc) unter Eigene Zertifikate > Zertifikate importiert.
  • Berechtigung: Dem Systemkonto bzw. dem Dienstkonto des Parallels RAS Enrollment Server wurden über „Private Schlüssel verwalten“ Leserechte auf den privaten Schlüssel erteilt.

 4. Validierung & Monitoring   

  • Status: Der Status „Connected“ in der Parallels-Konsole bestätigt, dass der Enrollment Server das Zertifikat des Dienstkontos korrekt geladen hat und die Kommunikation mit der CA steht.
  • Log-Analyse: Bei Unstimmigkeiten ist das Log unter C:\ProgramData\Parallels\RASLogs\EnrollServer.log die primäre Informationsquelle.

 5. Betriebshinweise   

  • Wartung: Das Passwort des Dienstkontos svc_ras_enrollment darf nicht ablaufen. Das Agenten-Zertifikat im lokalen Computerspeicher ist der kritische Punkt für die SSO-Funktionalität.

Diese Dokumentation spiegelt den aktuellen, produktiven Zustand wider. Alle Komponenten sind erfolgreich synchronisiert.