單點登錄SSO(Single Sign On)是一種幫助用戶快速訪問多個應用系統的安全通信技術,也稱為身份聯合登錄,可以實現在多個系統中,只需要登錄一次,就可以訪問其他相互信任的系統。無影云電腦和飛書之間可以基于SAML配置SSO,實現使用飛書掃碼登錄無影終端的效果,為終端用戶免去了記憶用戶名和密碼的麻煩。本文介紹具體的實現方法。
準備工作
引導式教學
請查看以下引導式教學,了解如何快速實現飛書單點登錄無影云電腦企業版。為獲得最佳體驗,請在新窗口中打開查看。
步驟一:配置SSO
無影云電腦支持以下兩種SSO方案:
方案A:為辦公網絡配置SSO
登錄無影終端后,可以訪問該辦公網絡下的所有云電腦,不能訪問其他辦公網絡下的云電腦。
方案B:為組織ID配置SSO
登錄無影終端后,可以訪問阿里云賬號下的所有云電腦,不論云電腦屬于哪個辦公網絡。
為辦公網絡配置SSO
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡上找到需要開啟SSO的辦公網絡,并單擊辦公網絡ID。
在辦公網絡詳情頁面最底部的其他信息區域,單擊右上角的展開,并在應用元數據右側單擊下載應用元數據文件。
用文本編輯器打開下載的元數據文件,并復制
Location的值(不含雙引號),后續步驟將用到該值。登錄飛書集成平臺單點登錄管理頁面,單擊新建SSO應用。在彈出的對話框中搜索無影,然后單擊阿里云無影卡片。
在基本配置頁簽上輸入飛書SSO應用的應用名稱和應用描述,選中已閱讀并同意《單點登錄數據處理協議》,然后單擊新建應用。
在登錄配置頁簽的單點登錄URL文本框中粘貼此前復制的
Location的值(不含雙引號),選擇一種登錄帳號類型,然后單擊保存并啟用。說明您可以選擇用郵箱名、手機號或工號作為登錄帳號類型,用于對應無影便捷賬號的用戶名。
在登錄配置頁簽右下角單擊下載元數據文檔,以獲取飛書的SAML元數據。
回到辦公網絡詳情頁面最底部的其他信息區域,單擊IdP元數據右側的上傳文件,并上傳從飛書獲取的SAML元數據文件,然后打開SSO設置開關。
為組織ID配置SSO
登錄飛書集成平臺單點登錄管理頁面,單擊新建SSO應用。在彈出的對話框中搜索無影,然后單擊阿里云無影卡片。
在基本配置頁簽上輸入飛書SSO應用的應用名稱和應用描述,選中已閱讀并同意《單點登錄數據處理協議》,然后單擊新建應用。
在登錄配置頁簽右下角單擊下載元數據文檔,以獲取飛書的SAML元數據。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇,并在用戶與組織頁面上單擊企業身份源頁簽。
在企業身份源頁面上,根據您的情況執行以下操作之一:
若此前從未添加過任何企業身份源,則直接單擊頁面上的SAML卡片。
若此前已添加過企業身份源,則單擊頁面左上角的新增企業身份源,并在新增企業身份源面板上單擊SAML卡片。
在新增企業身份源面板上填寫以下配置信息,并單擊確定。
配置項
描述
示例值
企業身份源名稱
用于識別企業IdP的名稱。
飛書
企業身份源類型
選擇SAML。
SAML
IdP元數據
單擊上傳文件,上傳企業IdP提供的元數據文件。
飛書SAML元數據文檔
賬號類型
選擇便捷賬號,用于映射飛書帳號。
便捷賬號
在企業身份源頁面上找到剛才添加的企業身份源,在操作列單擊編輯。
在編輯企業身份源面板上單擊應用元數據下方的下載文件,以獲取無影云電腦的應用元數據文件。
用文本編輯器打開下載的元數據文件,并復制
Location的值(不含雙引號),后續步驟將用到該值。回到飛書單點登錄應用的登錄配置頁簽,在單點登錄URL文本框中粘貼此前復制的
Location的值(不含雙引號),選擇一種登錄帳號類型,然后單擊保存并啟用。說明您可以選擇用郵箱名、手機號或工號作為登錄帳號類型,用于對應無影便捷賬號的用戶名。
步驟二:創建同名便捷賬號
除了配置SSO,您還需要在無影云電腦企業版控制臺創建與飛書帳號同名的便捷賬號。
請根據您在飛書單點登錄應用中配置的登錄帳號類型來決定便捷賬號的用戶名。例如,如果您選擇的是郵箱名,則必須將郵箱名作為便捷賬號的用戶名。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在用戶與組織頁面的用戶頁簽上單擊創建用戶,然后按需選擇以下一種方式創建便捷賬號。
手動創建
單擊手動錄入頁簽。
按需選擇便捷賬號類型。
支持選擇用戶激活和管理員激活兩種類型。
根據賬號類型填寫相應的賬號信息。
重要郵箱或手機號碼用于終端用戶接收云電腦分配信息、登錄信息、初始密碼或重置密碼等通知,請務必填寫正確的聯系信息,郵箱或手機號碼至少填寫一項。
用戶激活:填寫用戶名、郵箱或手機號碼。
管理員激活:填寫用戶名和用戶密碼。
(可選)按需填寫賬號的補充信息。
(可選)按需選擇賬號所屬的組織節點。
您可以在此選擇,也可以在創建便捷賬號之后按需為其添加組織。
(可選)新建的便捷賬號默認開通本地管理員權限。如果不賦予該權限,請選擇否。
說明獲得本地管理員權限的用戶賬號可以在云電腦中自行安裝軟件,或者修改某些系統設置。
(可選)賬號的密碼有效期默認為永久有效。您也可以輸入30~365天的有效期。當密碼到期后,必須先修改密碼才能繼續登錄。
說明該功能目前處于邀測中,如需體驗,請提交工單申請開通。
(條件)如果是管理員激活的便捷賬號,可按需選擇賬號鎖定時間。
便捷賬號鎖定后,終端用戶無法使用該便捷賬號登錄無影終端。
批量創建
單擊批量錄入頁簽。
按需選擇便捷賬號類型。
支持選擇用戶激活和管理員激活兩種類型。
(可選)賬號的密碼有效期默認為永久有效。您也可以輸入30~365天的有效期。當密碼到期后,必須先修改密碼才能繼續登錄。
說明該功能目前處于邀測中,如需體驗,請提交工單申請開通。
選擇以下一種方式制作用戶信息文件。
單擊下載模板,下載并打開模板,按照格式錄入用戶信息后保存。
說明如果是用戶激活,錄入用戶信息時,第一列
Username是用戶名,第二列Email是用戶郵箱,均為必填項。如果是管理員激活,錄入用戶信息時,第一列
Username是用戶名,第四列Password是密碼,均為必填項。
使用Excel錄入用戶信息,然后另存為CSV文件。
單擊選擇文件,選擇已錄入用戶信息的文件并按照提示完成操作,系統將自動導入文件中的用戶信息。
導入完成后,創建用戶面板提示創建成功,此時單擊查看賬號,可以查看各個用戶數據的導入情況。如果導入失敗,請檢查文件中的用戶信息是否符合格式要求。
單擊關閉。
創建完成后 ,您可以在用戶頁簽查看到相應的便捷賬號信息,且用戶的狀態為正常。
說明成功創建便捷賬號后,系統不會發送通知。只有為便捷賬號分配云電腦或云電腦池后,才會向相應聯系方式發送通知。
創建便捷賬號后,請為便捷賬號分配云電腦,否則當終端用戶使用飛書掃碼登錄無影終端后,將會看不到任何可用的云電腦。具體操作,請參見將云電腦分配給用戶。
步驟三:驗證飛書SSO登錄效果
配置SSO并且創建同名便捷賬號之后,飛書組織內的賬號就可以實現單點登錄無影終端了。
本文以Windows客戶端7.2.2版為例。
打開Windows客戶端,在頂部選擇企業版,在底部選中我已閱讀并同意《隱私政策》,并輸入已配置SSO的辦公網絡ID或組織ID,然后單擊圖標。
(條件)如果您輸入的是組織 ID,則需要選擇一種企業身份源。此處選擇之前添加的飛書企業身份源,并單擊圖標。
在飛書SSO登錄界面上,用飛書移動端掃碼,并在移動端上確認登錄。
說明請確保使用在飛書組織內的飛書帳號掃碼。
登錄成功,已分配給當前便捷賬號的云電腦將顯示在云資源列表界面上。
