配置基于SAML的SSO時,為了建立無影云電腦與企業身份提供商IdP(下文簡稱為企業IdP)之間的互信關系,需要完成以無影云電腦作為SP的SAML配置和企業IdP的SAML配置,配置完成后終端用戶在登錄無影終端時才能使用SSO。本文介紹如何配置基于SAML 2.0的SSO。
背景信息
單點登錄SSO(Single Sign On)是一種幫助用戶快速訪問多個應用系統的安全通信技術,也稱為身份聯合登錄,可以實現在多個系統中,只需要登錄一次,就可以訪問其他相互信任的系統。
詳細信息,請參見配置登錄方式。
在辦公網絡中配置SSO
步驟一:在企業IdP側將無影云電腦配置為可信的SAML SP
在無影云電腦控制臺獲取SAML服務提供商的元數據文件。
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上,找到已開啟SSO設置的目標辦公網絡,并單擊其辦公網絡ID。
在辦公網絡詳情頁面最底部的其他信息區域,單擊右上角的展開,并在應用元數據右側單擊下載應用元數據文件。
在企業IdP中創建一個SAML服務提供商,并使用上述元數據文件,將無影云電腦配置為可信的SAML SP。
步驟二:在無影云電腦側將企業IdP配置為可信的SAML IdP
在辦公網絡詳情頁面最底部的其他信息區域,打開SSO設置開關。
打開SSO設置后,終端的賬密登錄頁面將替換為企業IdP登錄頁面。
在IdP元數據右側單擊上傳文件,并上傳由企業IdP提供的元數據文件。
說明元數據文件一般為XML格式,包含IdP的登錄服務地址以及X.509公鑰證書(用于驗證IdP所頒發的SAML斷言的有效性)。
步驟三:創建與企業IdP相匹配的用戶
在無影云電腦側創建與企業IdP匹配的用戶。具體操作,請參見創建便捷賬號或創建AD賬號。
創建用戶時,您可以自行設置用戶密碼,用戶密碼無需和企業IdP已知用戶名的密碼保持一致。
在組織ID中配置SSO
步驟一:在無影云電腦側將企業IdP配置為可信的SAML IdP
在左側導航欄,選擇,并在用戶與組織頁面上單擊企業身份源頁簽。
在企業身份源頁面上,根據您的情況執行以下操作之一:
若此前從未添加過任何企業身份源,則直接單擊頁面上的SAML卡片。
若此前已添加過企業身份源,則單擊頁面左上角的新增企業身份源,并在新增企業身份源面板上單擊SAML卡片。
在新增企業身份源面板上填寫以下配置信息,并單擊確定。
配置項
描述
企業身份源名稱
用于識別企業IdP的名稱。
企業身份源類型
選擇SAML。
IdP元數據
單擊上傳文件,上傳企業IdP提供的元數據文件。
賬號類型
支持便捷賬號和企業AD賬號。如果選擇企業AD賬號,還需要選擇AD域名稱。
步驟二:在企業IdP側將無影云電腦配置為可信的SAML SP
在無影云電腦控制臺獲取SAML服務提供商的元數據文件。
在左側導航欄,選擇,并在用戶與組織頁面上單擊企業身份源頁簽。
在企業身份源頁面上找到目標企業身份源,并在操作列單擊編輯。
在編輯企業身份源面板的應用元數據下方單擊下載文件。
在企業IdP中創建一個SAML服務提供商,并使用上述元數據文件將無影云電腦配置為可信的SAML SP。
步驟三:創建與企業IdP相匹配的用戶
在無影云電腦側創建與企業IdP匹配的用戶。具體操作,請參見創建便捷賬號或創建AD賬號。
創建用戶時,您可以自行設置用戶密碼,用戶密碼無需和企業IdP已知用戶名的密碼保持一致。
相關文檔
關于在無影云電腦和企業IdP之間實現SSO的最佳實踐,請參考: