如果您的企業使用AD(Active Directory)域服務來管理用戶賬號信息,則可以將無影云電腦作為服務提供商SP,將AD FS(Active Directory Federation Services)作為身份提供商IdP,讓兩者基于SAML協議互相交換元數據文件來實現SSO。本文介紹具體的實現方法。
背景信息
單點登錄SSO(Single Sign On)是一種幫助用戶快速訪問多個應用系統的安全通信技術,也稱為身份聯合登錄,可以實現在多個系統中,只需要登錄一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份提供商IdP:一個包含有關外部身份提供商元數據的實體,提供身份管理服務,負責收集存儲用戶身份信息(例如用戶名、密碼等),在登錄時驗證用戶身份。
常見的身份提供商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:阿里云應用身份服務 、Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供商SP:利用IdP的身份管理功能,通過與IdP建立互信關系,為用戶提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供商稱作IdP的信賴方。
安全斷言標記語言SAML 2.0:實現企業級用戶身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
AD場景下,如果您不想在無影云電腦控制臺創建AD辦公網絡來對接AD(采用該方式時無影云電腦會獲取AD信息),也可以通過在無影云電腦控制臺創建與AD用戶同名的便捷賬號來實現SSO。
如果您已對接企業AD并創建AD辦公網絡,可直接配置AD用戶進行SSO。具體操作,請參見AD FS和無影云電腦AD用戶實現SSO。
準備工作
在無影云電腦控制臺上創建便捷賬號時,可以采用以下方法之一:
手動錄入:通過手動填寫用戶信息,逐一創建賬號。如果用戶數量較少,建議采用此方式。
重要錄入用戶信息時,輸入的便捷賬號的用戶名必須與AD用戶的用戶名保持一致(字母不區分大小寫)。
批量錄入:通過CSV文件導入用戶信息,批量創建賬號。如果用戶數量較多,建議采用此方式。
若采用批量錄入的方式,請按照以下步驟準備好符合便捷賬號格式要求的CSV文件。
在AD域服務器中,創建包含AD用戶信息的CSV文件。
確認已有AD用戶信息是否符合要求。
重要AD用戶名需符合便捷賬號的用戶名格式要求,如果不符合要求,您需要先修改,否則無法創建對應的便捷賬號。詳細信息,請參見便捷用戶名稱規范。
在PowerShell中執行
Get-ADUser命令,以導出包含AD用戶信息的CSV文件。請根據需要調整命令參數,導出相應的CSV文件。例如:獲取所有AD用戶信息導出CSV文件并保存到指定路徑,可以執行以下命令:
Get-ADUser -filter * |export-csv <文件保存路徑> -Encoding utf8假設保存到
C:\Users目錄,文件命名為test.csv,則命令如下:Get-ADUser -filter * |export-csv C:\Users\test.csv -Encoding utf8
使用電子表格處理軟件打開CSV文件,按便捷賬號錄入文件的格式要求調整用戶信息,然后保存。
調整用戶信息時,請注意以下事項:
錄入文件的格式要求為:
用戶激活的便捷賬號:第一列為用戶名(必填),第二列為郵箱(必填),第三列為手機號(可選)。
管理員激活的便捷賬號:第一列為用戶名(必填),第二列為郵箱(可選),第三列為手機號(可選),第四列為密碼(必填)。
導出的CSV文件中,SamAccountName列可以作為便捷賬號的用戶名列,UserPrincipalName列可以作為便捷賬號的郵箱列,如果實際的用戶郵箱與userPrincpleName不一致,請自行錄入郵箱信息。
步驟一:創建與AD用戶同名的便捷賬號
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在用戶與組織頁面的用戶頁簽上單擊創建用戶,然后按需選擇以下一種方式創建便捷賬號。
手動創建
單擊手動錄入頁簽。
按需選擇便捷賬號類型。
支持選擇用戶激活和管理員激活兩種類型。
根據賬號類型填寫相應的賬號信息。
重要郵箱或手機號碼用于終端用戶接收云電腦分配信息、登錄信息、初始密碼或重置密碼等通知,請務必填寫正確的聯系信息,郵箱或手機號碼至少填寫一項。
用戶激活:填寫用戶名、郵箱或手機號碼。
管理員激活:填寫用戶名和用戶密碼。
(可選)按需填寫賬號的補充信息。
(可選)按需選擇賬號所屬的組織節點。
您可以在此選擇,也可以在創建便捷賬號之后按需為其添加組織。
(可選)新建的便捷賬號默認開通本地管理員權限。如果不賦予該權限,請選擇否。
說明獲得本地管理員權限的用戶賬號可以在云電腦中自行安裝軟件,或者修改某些系統設置。
(可選)賬號的密碼有效期默認為永久有效。您也可以輸入30~365天的有效期。當密碼到期后,必須先修改密碼才能繼續登錄。
說明該功能目前處于邀測中,如需體驗,請提交工單申請開通。
(條件)如果是管理員激活的便捷賬號,可按需選擇賬號鎖定時間。
便捷賬號鎖定后,終端用戶無法使用該便捷賬號登錄無影終端。
批量創建
單擊批量錄入頁簽。
按需選擇便捷賬號類型。
支持選擇用戶激活和管理員激活兩種類型。
(可選)賬號的密碼有效期默認為永久有效。您也可以輸入30~365天的有效期。當密碼到期后,必須先修改密碼才能繼續登錄。
說明該功能目前處于邀測中,如需體驗,請提交工單申請開通。
選擇以下一種方式制作用戶信息文件。
單擊下載模板,下載并打開模板,按照格式錄入用戶信息后保存。
說明如果是用戶激活,錄入用戶信息時,第一列
Username是用戶名,第二列Email是用戶郵箱,均為必填項。如果是管理員激活,錄入用戶信息時,第一列
Username是用戶名,第四列Password是密碼,均為必填項。
使用Excel錄入用戶信息,然后另存為CSV文件。
單擊選擇文件,選擇已錄入用戶信息的文件并按照提示完成操作,系統將自動導入文件中的用戶信息。
導入完成后,創建用戶面板提示創建成功,此時單擊查看賬號,可以查看各個用戶數據的導入情況。如果導入失敗,請檢查文件中的用戶信息是否符合格式要求。
單擊關閉。
創建完成后 ,您可以在用戶頁簽查看到相應的便捷賬號信息,且用戶的狀態為正常。
說明成功創建便捷賬號后,系統不會發送通知。只有為便捷賬號分配云電腦或云電腦池后,才會向相應聯系方式發送通知。
步驟二:在無影云電腦控制臺將AD FS配置為可信SAML IdP
下文指導您如何獲取辦公網絡的元數據文件,實際業務中您也可以按需獲取組織ID的元數據文件。具體操作,請參見基于SAML配置SSO。
從AD FS獲取Idp元數據文件并下載到本地。
IdP元數據文件的獲取地址為:
https://<ADFS server>/FederationMetadata/2007-06/FederationMetadata.xml。其中<ADFS Server>為AD FS服務器的域名或者IP地址。在無影云電腦控制臺上傳AD FS提供的IdP元數據文件。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上找到需要開啟SSO的辦公網絡,并單擊辦公網絡ID。
在辦公網絡詳情頁面最底部的其他信息區域,單擊右上角的展開,然后打開SSO設置開關。
在IdP元數據右側單擊上傳文件,并上傳從AD FS獲取的IdP元數據文件。
步驟三:在AD FS中將無影云電腦配置為可信SAML SP
在無影云電腦控制臺獲取SP元數據文件。
下文指導您如何獲取辦公網絡的元數據文件,實際業務中您也可以按需獲取組織ID的元數據文件。具體操作,請參見基于SAML配置SSO。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上找到待開啟SSO的辦公網絡并單擊辦公網絡ID。
在頁面底部的其他信息區域,單擊應用元數據右側的下載應用元數據文件。
下載的元數據文件會自動保存到本地的下載路徑。
在AD FS中上傳無影云電腦提供的SP元數據文件。
登錄AD FS所在服務器,打開服務器管理。
在右上角選擇。
在AD FS對話框的左側導航欄中,選擇。
在右側操作區域,單擊添加信賴方信任。
根據向導的指示完成后續操作。
選擇數據源時請選擇從文件導入有關信賴方的數據,導入從無影云電腦獲取的SP元數據文件。其他步驟中均保持默認配置即可。
在AD FS中編輯信賴方信任的聲明規則,為無影云電腦SP配置SAML斷言屬性。
在信賴方信任列表中,右鍵單擊上一步添加的信賴方信任,選擇編輯聲明規則。
在彈出的對話框中,單擊添加規則。
按照向導完成規則配置。
配置說明如下:
選擇規則類型時,聲明規則模板選擇轉換傳入聲明。
配置聲明規則時,傳入聲明類型選擇UPN,傳出聲明類型選擇名稱 ID。
步驟四:驗證效果
下文以Windows客戶端7.2.2版為例。
打開Windows客戶端,在頂部選擇企業版,在底部選中同意協議的復選框,并輸入登錄憑證中的組織ID或辦公網絡ID,然后單擊圖標。
在AD FS登錄頁面,輸入并校驗AD的用戶信息。
登錄成功后,您可以在客戶端的云資源列表界面找到目標云電腦卡片,在卡片上單擊開機和連接云電腦即可。