無影云電腦支持與Azure AD(Azure Active Directory)、應用身份服務IDaaS(Alibaba Cloud Identity as a Service)、AD FS(AD用戶)和釘釘進行單點登錄,從而實現快速連接云電腦。
SSO簡介
單點登錄SSO(Single Sign On)是一種幫助用戶快速訪問多個應用系統的安全通信技術,也稱為身份聯合登錄,可以實現在多個系統中,只需要登錄一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份提供商IdP:一個包含有關外部身份提供商元數據的實體,提供身份管理服務,負責收集存儲用戶身份信息(例如用戶名、密碼等),在登錄時驗證用戶身份。
常見的身份提供商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:阿里云應用身份服務 、Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供商SP:利用IdP的身份管理功能,通過與IdP建立互信關系,為用戶提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供商稱作IdP的信賴方。
安全斷言標記語言SAML 2.0:實現企業級用戶身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
建立無影云電腦與企業身份提供商(IdP)之間的互信關系,需要分別在無影云電腦和企業IdP之間交換元數據。關于如何基于SAML配置SSO的具體操作,請參見基于SAML配置SSO。
無影終端限制
以下無影終端支持SSO:
Windows客戶端
macOS客戶端
Web客戶端
iOS客戶端
Android客戶端
盒式云電腦終端AS01
無影魔方AS05
無影23.8寸一體機US01
使用場景
您希望從無影云電腦的登錄頁面開始發起登錄,而非直接訪問您IdP的登錄頁面。此時可以考慮使用SSO登錄,具體采用哪種方式實現SSO,需要根據您實際的業務場景決定。下表為您列舉了常見的企業身份提供商(IdP)和無影云電腦實現SSO的使用場景和相關配置。
場景 | 說明 | 配置SSO的操作指導 |
通過IDaaS進行登錄驗證,實現快速登錄無影終端以連接云電腦。 | 如果您使用IDaaS中的EIAM管理用戶賬號,可以配置無影云電腦的便捷用戶或企業AD用戶與IDaaS用戶實現SSO。此時,無影云電腦作為服務提供商SP,IDaaS作為身份提供商IdP,兩者基于SAML協議,互相交換元數據文件,即可實現SSO。配置SSO后,您可以安全使用IDaaS的訪問憑據連接云電腦。 | |
通過LDAP進行登錄驗證,實現快速登錄無影終端以連接云電腦。 | 如果您使用LDAP服務器管理用戶賬號,可以配置LDAP和無影云電腦便捷用戶進行SSO。配置SSO后,終端用戶可以驗證LDAP的用戶信息連接云電腦。 | |
通過Azure AD進行登錄驗證,實現快速登錄無影終端以連接云電腦。 | 如果您使用Azure AD管理用戶賬號,可以配置無影云電腦的便捷用戶與Azure AD用戶進行SSO。此時,無影云電腦作為服務提供商SP,Azure AD作為身份提供商IdP,兩者基于SAML協議,互相交換元數據文件,即可實現SSO。配置SSO后,您可以安全使用Azure AD內部的訪問憑據連接云電腦。 | |
在無影云電腦集成IDaaS后,為IDaaS配置釘釘掃碼認證,從而實現通過釘釘登錄無影終端以連接云電腦。 | 無影云電腦與IDaaS配置SSO后,可通過IDaaS進行登錄驗證。 IDaaS支持多種外部認證源登錄,包括LDAP、釘釘掃碼等。因此在配置無影云電腦與IDaaS的SSO后,可以借助IDaaS的身份認證能力,為IDaaS配置釘釘掃碼認證,即可實現使用釘釘連接云電腦。 | |
對接企業AD時,通過配置AD FS(企業AD用戶)與無影云電腦的便捷用戶SSO。配置后,只需在AD FS側進行登錄驗證,實現快速登錄無影終端以連接云電腦。 | 如果您的企業已使用AD(Active Directory)域服務來管理用戶賬號信息,則可以配合使用AD FS(Active Directory Federation Services)實現單點登錄SSO。此時,無影云電腦作為服務提供商SP,AD FS作為身份提供商IdP,兩者基于SAML協議,互相交換元數據文件,即可實現SSO。配置SSO后,您可以使用AD FS提供的訪問憑據連接云電腦。 |