借助無影云電腦企業版的登錄方式設置和安全設置能力,您可以控制終端用戶登錄時可用的登錄方式,以及提高云電腦使用過程中各個環節的安全性。例如,單點登錄SSO、多因素設備認證、客戶端登錄校驗等能力,可以確保在登錄之前對終端用戶進行嚴格的身份驗證;客戶端超時自動退出登錄的能力,可有效控制數據意外泄露的風險。本文介紹各項登錄安全設置能力及其使用方法。
使用和管理組織ID
初始的組織ID是由系統自動生成的8位隨機唯一標識符,僅包含大寫英文字母(不含I、O等容易與數字混淆的字母)和數字。使用組織ID登錄無影終端,可以訪問所有辦公網絡下的云電腦。
組織ID和辦公網絡ID的區別
終端用戶登錄無影終端時,可以選擇使用辦公網絡ID或者組織ID登錄。使用組織ID登錄時,可以訪問所有辦公網絡下的云電腦。無影終端對組織ID的支持范圍是:
如果是便捷賬號,所有無影終端均支持使用組織ID登錄。
如果是企業AD賬號,則支持使用組織ID登錄的無影終端包括:Windows客戶端和macOS客戶端(V6.4及以上版本)、硬件終端(V6.8及以上版本)。
您可以為組織ID或辦公網絡ID開啟多種登錄方式和安全驗證方式,但兩者的支持范圍有所差異。下表以便捷辦公網絡為例介紹具體差異。
AD辦公網絡支持的安全驗證方式為多因素認證和SSO。
對比項 | 組織ID | 辦公網絡ID |
概念 | 組織ID是代表企業身份的唯一標識,開通無影云電腦服務時,系統自動創建組織ID。 如果您的阿里云主賬號已經通過企業實名認證,您可以將自動生成的組織ID修改為自定義的組織ID。具體操作,請參見修改組織ID。 | 辦公網絡ID是辦公網絡的唯一標識,由系統自動生成,不可修改。 |
設置生效范圍 | 在組織ID層面完成的登錄設置及其安全配置對全部云電腦生效。 | 在辦公網絡層面完成的登錄設置及其安全配置,僅針對該辦公網絡下的云電腦生效。 |
無影便捷賬號賬密登錄 | 支持 | 支持 |
企業AD賬號賬密登錄 | 支持 | 支持 |
自動登錄 | 支持 | 不支持 |
超時自動退出登錄 | 支持 | 不支持 |
終端登錄數量限制 | 支持 | 不支持 |
短信驗證碼登錄 | 支持 | 不支持 |
多因素設備認證MFA | 支持 | 支持 |
客戶端登錄校驗 | 支持 | 支持 |
可信設備認證 | 支持 | 支持 |
單點登錄SSO | 支持 | 支持 |
設置登錄驗證方式
您可以分別為組織ID和辦公網絡設置登錄驗證方式,兩者互相獨立,互不影響。
如果使用組織ID登錄無影終端,則遵循為組織ID設置的驗證登錄方式。
如果使用辦公網絡ID登錄無影終端,則遵循為辦公網絡ID設置的驗證登錄方式。
管理組織ID下的登錄方式
若為組織ID配置了多種登錄方式,您可以按照以下步驟設置這些登錄方式在無影終端界面上的可見性以及顯示順序。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在登錄頁面的通用配置頁簽上,按需將登錄方式區域的各種登錄方式打開或關閉,也可以單擊操作列的上移或下移來調整它們在無影終端界面上的顯示順序。
修改組織ID
當您的阿里云賬號通過企業實名認證之后,方可基于企業實名信息申請修改組織ID。關于企業實名認證的詳細信息,請參見企業實名認證。
登錄無影云電腦企業版控制臺。
選擇一個操作入口:
在總覽頁面修改
在左側導航欄,單擊總覽。
在總覽頁面上的我的云電腦區域,單擊當前組織ID右側的圖標。
在懸浮面板上單擊修改組織ID。
說明若您的阿里云賬號尚未完成企業實名認證,請在確認對話框中單擊去認證。
在登錄設置頁面修改
在左側導航欄,選擇。
在登錄頁面的通用配置頁簽上,單擊組織ID右側的設置。
在修改組織ID對話框中,按照界面提示輸入符合要求的組織ID。
說明組織ID的要求:長度為5~15個字符,可包含英文字母(不限制大小寫)、數字和特殊符號,且特殊符號不能放在開頭。
單擊提交審批并按照界面提示完成操作。
說明組織ID在15天內僅允許修改1次。
登錄通用配置
自動登錄
該配置項控制終端用戶能否在無影終端登錄界面上啟用自動登錄,已經在啟用的情況下,可以在登錄成功后的多長時間內免去重新輸入登錄憑證的步驟。您可以設置為由終端用戶配置,也可以按照以下步驟設置為由管理員配置,并設置具體的自動登錄有效期。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在登錄頁面的通用配置頁簽上,單擊登錄配置右側的修改登錄配置。
在修改登錄配置面板上完成以下配置,并單擊確定。
配置項
說明
自動登錄
可選項包括:
終端用戶自定義:終端用戶可以在無影終端上自行啟用或禁用自動登錄,而且可以自行設置自動登錄的持續時間。
管理員管控:管理員在無影云電腦企業版控制臺上配置自動登錄功能,終端用戶在無影終端上沒有修改權限。
自動登錄設置
當自動登錄設為管理員管控時,該選項可見。您可以開啟或關閉該選項。
說明該功能目前處于邀測中,如需體驗,請提交工單申請開通。
自動登錄有效期
當自動登錄設為管理員管控,且自動登錄設置已開啟時,您可以設置自動登錄的持續時間。
重要如果您將某個便捷賬號的密碼有效期設置為有限的值(30天~365天)而非永久有效,并且此處設置的自動登錄有效期大于該便捷賬號的剩余密碼有效期,則可能會導致該便捷賬號在自動登錄有效期內無法自動登錄。關于如何設置便捷賬號的密碼有效期,請參見創建便捷賬號。
超時自動退出登錄
該功能默認關閉。開啟后,若終端用戶登錄了您指定類型的無影終端,但沒有連接任何云資源(包括云電腦、云應用、云手機、企業網盤等),則當達到您在此處設置的超時時長,無影終端將自動退出登錄,從而有效保護云資源的數據安全。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在登錄頁面的通用配置頁簽上,單擊登錄配置右側的修改登錄配置。
在修改登錄配置面板上完成以下配置,并單擊確定。
配置項
說明
超時自動退出登錄
可以開啟或關閉。
超時時長
終端用戶未在無影終端上連接任何云資源的時長。當超時自動退出登錄已開啟時,該選項可見。
生效終端
該功能對哪些無影終端生效。
說明若選擇無影自研硬件終端,請注意,僅對V7.5及以上版本的硬件終端生效;若該硬件終端配置了免密登錄,則超時自動退出登錄不生效。
說明設置客戶端超時自動退出登錄后,終端用戶下次登錄客戶端時生效。
在即將達到超時時長之前,終端用戶將收到提醒,終端用戶可以選擇終止該流程,但如果終端用戶不采取任何操作,則客戶端將自動退出登錄。
終端登錄數量限制
默認情況下,終端用戶可以同時登錄任意數量的無影終端。您可以在此配置終端登錄數量的上限,超過該上限時,終端用戶最早登錄的無影終端將自動退登。
該功能目前處于邀測中,如需體驗,請提交工單申請開通。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在登錄頁面的通用配置頁簽上,單擊登錄配置右側的修改登錄配置。
在修改登錄配置面板上完成以下配置,并單擊確定。
配置項
說明
終端登錄數量限制
可以開啟或關閉。
用戶可登錄終端/客戶端數量
終端用戶可以同時登錄的無影終端最大數量(1~10)。當終端登錄數量限制已開啟時,該選項可見。
短信驗證碼登錄
該配置默認關閉。開啟后,終端用戶可以通過所綁定的手機號碼獲取驗證碼,通過輸入驗證碼即可登錄無影終端。
僅使用組織ID登錄時支持通過短信驗證碼登錄。該功能目前處于邀測中,如需體驗,請提交工單申請開通。
前提條件
該功能需要使用手機號碼獲取驗證碼,所以在使用該功能之前您需要為相應的便捷賬號綁定手機號碼。為避免終端用戶無法獲取驗證碼,請確保綁定的手機號碼正確無誤。您可以通過以下兩種方式綁定手機號碼:
在創建便捷賬號時綁定手機號碼。具體操作,請參見創建便捷賬號。
如果您已創建便捷賬號,可以在用戶與組織頁面的用戶頁簽上找到目標用戶,并在手機列設置或修改手機號碼。
開啟步驟
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在登錄頁面的通用配置頁簽上,單擊登錄配置右側的修改登錄配置。
在登錄配置面板上,將短信驗證碼登錄設置為開啟。
登錄安全配置
多因素設備認證MFA
開啟多因素認證MFA(Multi-Factor Authentication)后,終端用戶登錄無影終端時,不僅需要輸入用戶名和密碼,還需要輸入多因素認證的動態口令或驗證碼,從而增加一層額外的安全防護。詳細信息,請參見設置登錄多因素認證MFA。
客戶端登錄校驗
該配置默認關閉。開啟后,終端用戶從新的設備登錄無影終端時需完成短信或郵箱驗證碼校驗,校驗通過后方可成功登錄。
僅便捷賬號且網絡接入方式為公網連接時生效。
為組織ID開啟客戶端登錄校驗
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在登錄頁面的安全配置頁簽上,將客戶端登錄校驗設為開啟。
為辦公網絡開啟客戶端登錄校驗
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上找到目標辦公網絡,單擊辦公網絡ID。
在辦公網絡詳情頁面最底部的其他信息區域打開客戶端登錄校驗開關。
說明SSO設置、多因素認證和客戶端登錄校驗三者之間為互斥關系。同一時間只能為一個辦公網絡開啟其中一種登錄驗證方式。對于組織ID,上述三者之間沒有互斥關系,可以同時開啟。
可信設備認證
該配置默認關閉。開啟后,僅允許終端用戶通過已添加的限定登錄終端登錄。
該功能僅適用于便捷賬號。
前提條件
開啟步驟
為組織ID開啟可信設備認證
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在登錄頁面的安全配置頁簽上,將可信設備認證設置為開啟。
為辦公網絡開啟可信設備認證
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上找到目標辦公網絡,單擊辦公網絡ID。
在辦公網絡詳情頁面最底部的其他信息區域打開可信設備認證開關。
單點登錄SSO
單點登錄SSO(Single Sign On)是一種幫助用戶快速訪問多個應用系統的安全通信技術,也稱為身份聯合登錄,可以實現在多個系統中,只需要登錄一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份提供商IdP:一個包含有關外部身份提供商元數據的實體,提供身份管理服務,負責收集存儲用戶身份信息(例如用戶名、密碼等),在登錄時驗證用戶身份。
常見的身份提供商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:阿里云應用身份服務 、Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供商SP:利用IdP的身份管理功能,通過與IdP建立互信關系,為用戶提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供商稱作IdP的信賴方。
安全斷言標記語言SAML 2.0:實現企業級用戶身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
開啟SSO設置并配置SSO之后,終端用戶登錄無影終端時將通過SSO方式登錄。對于辦公網絡,SSO設置默認關閉。對于組織ID,默認開啟SSO設置,不需要打開任何開關,也不支持關閉SSO設置。
開啟步驟
您可以按照以下步驟為辦公網絡開啟SSO設置。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上找到目標辦公網絡,單擊辦公網絡ID。
在辦公網絡詳情頁面最底部的其他信息區域打開SSO設置開關。
說明SSO設置、多因素認證和客戶端登錄校驗三者之間為互斥關系。同一時間只能為一個辦公網絡開啟其中一種登錄驗證方式。對于組織ID,上述三者之間沒有互斥關系,可以同時開啟。
相關文檔
關于如何基于SAML配置SSO,請參見基于SAML配置SSO。
關于云電腦與企業身份提供商IdP的最佳實踐,請參見單點登錄SSO。