日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關(guān)鍵字查找
首頁 無影云電腦企業(yè)版 實踐教程 單點登錄SSO Azure AD和無影云電腦實現(xiàn)SSO的示例

Azure AD和無影云電腦實現(xiàn)SSO的示例

更新時間:
產(chǎn)品詳情
我的收藏

本文介紹Azure AD(Azure Active Directory)與無影云電腦的SSO配置流程。配置SSO后,當(dāng)終端用戶訪問云電腦時,驗證Azure AD的用戶信息進(jìn)行登錄,就可以實現(xiàn)安全統(tǒng)一的登錄管理。

背景信息

單點登錄SSO(Single Sign On)是一種幫助用戶快速訪問多個應(yīng)用系統(tǒng)的安全通信技術(shù),也稱為身份聯(lián)合登錄,可以實現(xiàn)在多個系統(tǒng)中,只需要登錄一次,就可以訪問其他相互信任的系統(tǒng)。

相關(guān)概念如下:

  • 身份提供商IdP:一個包含有關(guān)外部身份提供商元數(shù)據(jù)的實體,提供身份管理服務(wù),負(fù)責(zé)收集存儲用戶身份信息(例如用戶名、密碼等),在登錄時驗證用戶身份。

    常見的身份提供商IdP有:

    • 企業(yè)本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。

    • Cloud IdP:阿里云應(yīng)用身份服務(wù) Azure AD、Google Workspace、Okta以及OneLogin等。

  • 服務(wù)提供商SP:利用IdP的身份管理功能,通過與IdP建立互信關(guān)系,為用戶提供具體服務(wù)的應(yīng)用。一些非SAML協(xié)議的身份系統(tǒng)(例如:OpenID Connect),也把服務(wù)提供商稱作IdP的信賴方。

  • 安全斷言標(biāo)記語言SAML 2.0:實現(xiàn)企業(yè)級用戶身份認(rèn)證的標(biāo)準(zhǔn)協(xié)議,它是SP和IdP之間實現(xiàn)溝通的技術(shù)實現(xiàn)方式之一。SAML已經(jīng)是目前實現(xiàn)企業(yè)級SSO的一種事實標(biāo)準(zhǔn)。

操作步驟

如果您使用Azure AD管理用戶賬號,可以配置無影云電腦的便捷賬號與Azure AD用戶進(jìn)行SSO。此時,無影云電腦作為服務(wù)提供商SP,Azure AD作為身份提供商IdP,兩者基于SAML協(xié)議,互相交換元數(shù)據(jù)文件,即可實現(xiàn)SSO。配置SSO后,您可以安全使用Azure AD內(nèi)部的訪問憑據(jù)連接云電腦。

步驟一:在無影云電腦控制臺創(chuàng)建與Azure AD用戶同名的便捷賬號

對于待使用云電腦的Azure AD用戶,您需要在無影云電腦控制臺創(chuàng)建與Azure AD用戶同名的便捷賬號。

創(chuàng)建便捷賬號時,您可以在手動錄入頁簽或者批量錄入頁簽錄入用戶信息。如果用戶數(shù)量較少,可直接在手動錄入頁簽錄入用戶信息;如果用戶數(shù)量較多,建議您在批量錄入頁簽錄入用戶信息。

重要

錄入用戶信息時,輸入的便捷賬號的用戶名需要和Azure AD用戶的用戶名保持一致(字母大小寫不敏感)。

批量錄入頁簽錄入用戶之前,您需要參考下文描述,準(zhǔn)備好符合便捷賬號格式要求的CSV文件。

  1. 在Azure AD中下載包含用戶信息的CSV文件。

    1. 登錄Azure AD控制臺

    2. 在左側(cè)導(dǎo)航欄,單擊用戶

    3. 所有用戶(預(yù)覽版)頁面,確認(rèn)用戶信息是否符合要求。

      Azure AD的用戶名需符合無影云電腦的便捷賬號用戶名格式要求,如果不符合要求,您需要進(jìn)行修改,否則無法創(chuàng)建對應(yīng)的便捷賬號。

      便捷賬號的用戶名格式要求為:

      • 長度要求為3~24位。

      • 支持小寫字母、數(shù)字和特殊字符,其中特殊字符包括短劃線(-)、下劃線(_)和半角句號(.)。

      • 必須以小寫字母作為開頭,即數(shù)字和特殊字符不能放在開頭。

    4. 單擊頂部的批量操作,然后選擇下載用戶

      批量下載

    5. 按照頁面提示完成下載操作。

      下載用戶信息

  2. 使用Excel打開下載的CSV文件,按便捷賬號錄入文件的格式要求調(diào)整用戶信息,然后保存為CSV文件。

    說明

    調(diào)整用戶信息時,您需要注意以下事項:

    • 錄入文件的格式要求為:

      • 用戶激活的便捷賬號:第一列為用戶名(必填),第二列為郵箱(必填),第三列為手機(jī)號(可選)。

      • 管理員激活的便捷賬號:第一列為用戶名(必填),第二列為郵箱(可選),第三列為手機(jī)號(可選),第四列為密碼(必填)。

    • Azure AD下載的用戶信息CSV文件中,userPrincipalName列是用戶名@域名的格式,可以提取其前綴作為便捷賬號的用戶名;如果userPrincipalName恰好是實際的用戶郵箱,則userPrincipalName列可以作為便捷賬號的郵箱列,如果實際的用戶郵箱與userPrincipalName不一致,請自行錄入郵箱信息。

準(zhǔn)備好CSV文件后,在無影云電腦控制臺的批量錄入頁簽創(chuàng)建便捷賬號。具體操作,請參見創(chuàng)建便捷賬號

重要

新建便捷賬號后,請及時為便捷賬號分配云電腦。具體操作,請參見管理便捷賬號

步驟二:在Azure AD側(cè)創(chuàng)建應(yīng)用程序并分配用戶

在Azure AD側(cè),您需要創(chuàng)建無影云電腦對應(yīng)的應(yīng)用程序,并將其授權(quán)給待使用無影云電腦的Azure AD用戶。操作步驟如下:

  1. 在Azure AD控制臺的左側(cè)導(dǎo)航欄中單擊企業(yè)應(yīng)用程序

  2. 所有應(yīng)用程序頁面上單擊新建應(yīng)用程序

  3. 在頂部菜單欄中單擊創(chuàng)建你自己的應(yīng)用程序

  4. 在彈出面板中輸入應(yīng)用名稱,選擇集成未在庫中找到的任何其他應(yīng)用程序(非庫),然后單擊創(chuàng)建

    創(chuàng)建應(yīng)用程序

  5. 刷新頁面,單擊新創(chuàng)建的應(yīng)用程序名稱。

  6. 在應(yīng)用程序詳情頁面的左側(cè)導(dǎo)航欄,單擊用戶和組,然后單擊添加用戶/組

  7. 在彈出的添加分配頁面選擇用戶,然后單擊分配

    分配用戶

步驟三:在Azure AD側(cè)將無影云電腦配置為可信SAML SP

無影云電腦提供的元數(shù)據(jù)文件上傳到Azure AD,可以實現(xiàn)在Azure AD側(cè)將無影云電腦配置為可信SAML SP。操作步驟如下:

  1. 無影云電腦控制臺獲取SP元數(shù)據(jù)文件。

    下文指導(dǎo)您如何獲取辦公網(wǎng)絡(luò)的元數(shù)據(jù)文件,實際業(yè)務(wù)中您也可以按需獲取組織ID的元數(shù)據(jù)文件。具體操作,請參見基于SAML配置SSO

    1. 登錄無影云電腦企業(yè)版控制臺

    2. 在左側(cè)導(dǎo)航欄,選擇網(wǎng)絡(luò)與存儲 > 辦公網(wǎng)絡(luò)

    3. 在頂部菜單欄左上角處選擇目標(biāo)地域。

    4. 辦公網(wǎng)絡(luò)頁面上找到待開啟SSO的辦公網(wǎng)絡(luò)并單擊辦公網(wǎng)絡(luò)ID

    5. 在頁面底部的其他信息區(qū)域,單擊應(yīng)用元數(shù)據(jù)右側(cè)的下載應(yīng)用元數(shù)據(jù)文件

      下載的元數(shù)據(jù)文件會自動保存到本地的下載路徑。

  2. 在Azure AD側(cè)為無影云電腦對應(yīng)的應(yīng)用程序配置單一登錄。

    1. 在Azure AD控制臺,打開步驟二中創(chuàng)建的應(yīng)用程序。

    2. 在應(yīng)用程序詳情頁面的左側(cè)導(dǎo)航欄中單擊單一登錄,然后選擇SAML

    3. 單擊上傳元數(shù)據(jù)文件

    4. 選擇在無影云電腦控制臺下載的SP元數(shù)據(jù)文件,單擊添加

    5. 基本SAML配置面板上確認(rèn)標(biāo)識符和回復(fù)URL是否正確,然后單擊保存

      說明

      打開本地保存的SP元數(shù)據(jù)文件,確認(rèn)標(biāo)識符和回復(fù)URL是否正確:

      • 標(biāo)識符(實體ID):對應(yīng)SP元數(shù)據(jù)文件中md:EntityDescriptor標(biāo)簽中的entityID值。標(biāo)識符

      • 回復(fù)URL(斷言使用者服務(wù)URL):對應(yīng)SP元數(shù)據(jù)文件中md:AssertionConsumerService標(biāo)簽中的Location值。回復(fù)URL

      重要

      上傳SP元數(shù)據(jù)文件后,如果沒有自動讀取標(biāo)識符和回復(fù)URL,請自行輸入。

      SAML配置

步驟四:在無影云電腦控制臺將Azure AD配置為可信SAML IdP

將Azure AD提供的元數(shù)據(jù)文件上傳到無影云電腦控制臺,可以實現(xiàn)在無影云電腦控制臺將Azure AD配置為可信SAML IdP。操作步驟如下:

  1. 在Azure AD側(cè),獲取IdP元數(shù)據(jù)文件。

    1. 在Azure AD控制臺,打開步驟二中創(chuàng)建的應(yīng)用程序。

    2. 在應(yīng)用程序詳情頁面的左側(cè)導(dǎo)航欄,單擊單一登錄

    3. SAML簽名證書區(qū)域,單擊聯(lián)合元數(shù)據(jù)XML對應(yīng)的下載

      下載的元數(shù)據(jù)文件將自動保存到本地的下載路徑。下載Idp

  2. 無影云電腦控制臺上傳從Azure AD獲取的IdP元數(shù)據(jù)文件。

    下文指導(dǎo)您如何在辦公網(wǎng)絡(luò)中上傳IdP元數(shù)據(jù)文件,實際業(yè)務(wù)中您也可以按需在組織ID中上傳IdP元數(shù)據(jù)文件。具體操作,請參見基于SAML配置SSO

    1. 登錄無影云電腦企業(yè)版控制臺

    2. 在左側(cè)導(dǎo)航欄,選擇網(wǎng)絡(luò)與存儲 > 辦公網(wǎng)絡(luò)

    3. 在頂部菜單欄左上角處選擇目標(biāo)地域。

    4. 辦公網(wǎng)絡(luò)頁面上找到待開啟SSO的辦公網(wǎng)絡(luò)并單擊辦公網(wǎng)絡(luò)ID

    5. 在頁面底部的其他信息區(qū)域開啟SSO并上傳IdP元數(shù)據(jù)文件。

      • SSO:按需開啟SSO功能的開關(guān)。

        此功能默認(rèn)為關(guān)閉,此時SSO配置不生效。

      • IdP元數(shù)據(jù):單擊上傳文件,上傳已獲取的IdP元數(shù)據(jù)文件。

        IdP元數(shù)據(jù)的狀態(tài)顯示為完成,則說明企業(yè)IdP配置為可信的SAML IdP。

后續(xù)步驟

配置完SSO后,終端用戶可以通過驗證身份提供商IdP的身份信息訪問云電腦。下文以Windows客戶端為例介紹如何通過SSO連接云電腦。

  1. 打開Windows客戶端

  2. 企業(yè)版登錄頁面輸入辦公網(wǎng)絡(luò)ID或組織ID。

  3. 在Azure AD登錄頁面,輸入并校驗Azure AD的用戶信息。

    成功登錄客戶端后,您可以在云電腦展示頁面找到目標(biāo)云電腦卡片,并單擊連接云電腦

常見問題

  • 如果在Azure登錄頁面出現(xiàn)報錯,請根據(jù)錯誤信息進(jìn)行排查。

    例如:以下錯誤信息表示沒有把無影云電腦對應(yīng)的應(yīng)用程序分配給用戶,您可以參考步驟二進(jìn)行分配。報錯

  • 如果無影終端提示認(rèn)證失敗,請聯(lián)系您的管理員檢查SSO設(shè)置,請檢查SSO相關(guān)配置是否有誤。認(rèn)證失敗

  • 如果無影終端提示內(nèi)部錯誤,請聯(lián)系您的管理員,請確認(rèn)無影云電腦是否有與Azure AD用戶同名的便捷賬號。內(nèi)部錯誤