通过SAML集成IDaaS - 无影云桌面

背景信息

单点登录SSO（Single Sign On）是一种帮助用户快速访问多个应用系统的安全通信技术，也称为身份联合登录，可以实现在多个系统中，只需要登录一次，就可以访问其他相互信任的系统。相关的基本概念如下：

身份提供商IdP：提供身份管理服务，负责收集存储用户身份信息（用户名、密码等），在登录时验证用户身份。常见的企业IdP包括AD FS、Shibboleth等。
服务提供商SP：通过与IdP建立互信关系，利用IdP的身份管理功能，为对应用户提供具体的服务。
安全断言标记语言SAML：实现企业级用户身份认证的标准协议，可以在IdP和SP之间交换身份验证和授权数据。

阿里云应用身份服务IDaaS，是阿里云为企业用户提供的一套集中式身份、权限、应用管理服务。IDaaS支持EIAM、CIAM等多种产品，其中EIAM适用于内部员工的身份管理，可以帮助您整合部署在本地或云端的内部办公系统、业务系统及三方SaaS系统的所有身份，实现一个账号打通所有应用的服务。更多信息，请参见什么是IDaaS。

无影云桌面支持基于SAML协议的SSO功能，如果您之前使用IDaaS中的EAIM管理用户账号，可以配置无影云桌面的便捷用户与IDaaS用户进行SSO。此时，无影云桌面作为服务提供商SP，IDaaS作为身份提供商IdP，两者基于SAML协议，互相交换元数据文件，即可实现SSO。配置SSO后，您可以安全使用IDaaS的访问凭据来登录云桌面客户端。

说明目前仅软终端（Windows客户端、macOS客户端）和硬件终端（阿里云云终端）支持SSO功能；移动终端（iOS客户端、Android客户端）和Web客户端暂不支持SSO功能。

准备工作

您需要在无影云桌面侧创建一个便捷工作区，并开启该工作区的SSO功能。

如果没有便捷工作区，请登录无影云桌面控制台创建便捷工作区。具体操作，请参见创建便捷工作区，
已有便捷工作区时，您可以在总览页面，单击工作区ID进入工作区详情页面，然后开启SSO功能。

步骤一：在无影云桌面侧创建与IDaaS用户账户同名的便捷用户

对于要使用无影云桌面的IDaaS用户，您需要在无影云桌面侧创建与IDaaS用户账户同名的便捷用户。创建便捷用户时，支持手动录入和批量录入两种方式录入用户信息。批量录入用户信息的操作步骤如下：

说明如果用户数量较少，可直接在无影云桌面控制台手动录入用户信息。录入时，输入的便捷用户的用户名需与IDaaS用户的账户名称保持一致（字母大小写不敏感）。具体操作，请参见创建便捷用户。

在IDaaS控制台导出用户信息。
1. 登录IDaaS控制台。
2. 在EIAM实例列表页面，单击实例ID。
3. 在左侧导航栏，选择账户 > 机构及组。
4. 选择组织机构，在右侧账户列表中，确认账户名称是否符合要求。
  在无影云桌面侧创建与IDaaS用户同名的便捷用户时，需确保无影便捷用户的用户名与IDaaS用户的账户名称保持一致（字母大小写不敏感）。因此IDaaS用户的账户名称需符合无影的用户名格式要求，如果不符合要求，您需要重建重新创建符合要求的账户，否则无法创建对应的便捷用户。
  无影便捷用户的用户名格式要求为：
  - 长度至少3位，最长24位。
  - 支持小写字母、数字和特殊字符，其中特殊字符包括短划线（-）、下划线（_）和半角句号（.）。
  - 必须以小写字母作为开头，即数字和特殊字符不能作为开头。
5. 单击账户列表上方菜单中的导出，然后单击Excel下的账户。
6. 在弹出的对话框中，单击确定。
  导出的包含IDaaS用户账户信息的Excel文件将保持到本地的下载路径下。
打开Excel文件，按无影便捷用户录入文件的格式要求调整用户信息，然后保存为CSV文件。
调整用户信息时，请注意以下事项：
- 录入文件的格式要求为：第一列为用户名（必填），第二列为邮箱（必填），第三列为手机号（可选）。
- IDaaS导出的用户信息Excel文件中，可以使用username列作为无影便捷用户的用户名列，使用email列作为无影便捷用户的邮箱列，如果email列中有空缺，请补齐邮箱信息。
在无影云桌面控制台创建便捷用户。
1. 登录无影云桌面控制台。
2. 在左侧导航栏，单击用户管理。
3. 在用户管理页面，单击创建用户。
4. 在创建用户面板，单击批量导入页签。
5. 单击选择文件，选择步骤2准备的用户信息CSV文件。
  系统将自动导入文件中的用户信息。导入完成后，可以查看各个用户数据的导入情况。如果导入失败，请检查文件中的用户信息是否符合格式要求。
6. 单击关闭。
  创建完成后，您可以在用户管理页面查看用户信息。

步骤二：在IDaaS侧添加应用，将无影云桌面配置为可信SAML SP

在IDaaS侧，您需要添加无影云桌面对应的应用，将无影云桌面配置为可信SAML SP，然后将该应用授权给要使用无影云桌面的IDaaS用户，操作步骤如下：

在无影云桌面侧，获取SP元数据文件。
1. 在总览页面，找到便捷工作区，单击工作区ID。
2. 在工作区详情页面的元数据文件处，单击下载文件。
  下载的元数据文件将自动保存到本地的下载路径下。
在IDaaS侧，添加无影云桌面对应的应用，并将无影云桌面配置为可信SAML SP。
1. 在IDaaS控制台的左侧导航栏，选择应用 > 添加应用。
2. 在搜索框中输入SAML，找到SAML应用，单击对应操作列中的添加应用。
3. 在添加应用（SAML）面板，单击添加SigningKey。
4. 在添加SigningKey面板，按实际情况设置必填信息，然后单击提交。
  证书长度请选择2048。
5. 在添加应用（SAML）面板，找到新添加的SigningKey，单击选择。
6. 设置应用信息，然后单击提交。
  请参考以下说明设置必填信息：
  - 应用名称：默认已输入SAML，可输入自定义的名称，便于识别。
  - IDP IdentityId：自定义输入。
  - SP Entity ID：打开步骤1获取的SP元数据文件，输入md:EntityDescriptor标签中的entityID值。
  - SP ACS URL（SSO Location）：打开步骤1获取的SP元数据文件，md:AssertionConsumerService标签中的Location值。
  - NameIdFormat：选择urn:oasis:names:tc:SAML:2.0:nameid-format:transient。
  - Binding：选择POST。
  - 账户关联方式，选择账户映射。
将无影云桌面对应的应用授权给要使用无影云桌面的IDaaS用户。
1. 在应用列表页面，找到无影云桌面对应的SAML应用，单击对应操作列中的授权。
2. 在账户列表中，选中要授权的用户账户，然后单击保存。
3. 在弹出的对话框中，单击确定。

步骤三：在无影云桌面侧将IDaaS配置为可信SAML IdP

将IDaaS提供的元数据文件上传到无影云桌面，可以实现在无影云桌面侧将IDaaS配置为可信SAML IdP。操作步骤如下：

在IDaaS侧，获取IdP元数据文件。
1. 在IDaaS控制台的应用列表页面，找到无影云桌面对应的SAML应用，单击对应操作列中的详情。
2. 在应用信息区域，单击查看详情。
3. 在弹出面板，单击导出IDaaS SAML 元配置文件。
  下载的元数据文件将自动保存到本地的下载路径下。
在无影云桌面侧，上传IDaaS提供的IdP元数据文件。
1. 在总览页面，找到便捷工作区，单击工作区ID。
2. 在工作区详情页面的元数据文件处，单击上传文件。
3. 双击选择IdP元数据文件，单击确认。

步骤四：验证能否通过SSO功能登录云桌面客户端

打开无影云电脑客户端，如果登录配置页面设置的工作区开启了SSO功能，则将自动跳转到配置的企业IdP侧进行登录验证。目前仅软终端（Windows客户端、macOS客户端）和硬件终端（阿里云云终端）支持SSO功能。以Windows客户端为例，验证的操作步骤如下：

打开Windows客户端。
在登录配置页面，设置工作区ID，单击下一步。
工作区ID为准备工作中开启了SSO功能的便捷工作区ID；网络接入方式采用默认的公网接入，即不选中通过企业专网接入。
在跳转打开的IDaaS登录页面，按照页面提示输入IDaaS账户的信息，进行身份验证。
- 如果成功登录客户端，则表示配置成功。
  
  说明实现SSO功能后，您可以使用IDaaS账户登录云桌面客户端，默认情况下，该账户下没有云桌面资源。如果想要连接使用云桌面，请登录无影云桌面控制台创建云桌面，并将其分配给同名的便捷用户。具体操作，请参见创建云桌面和查看和分配用户。
- 如果在IDaaS登录页面出现报错，请根据错误信息进行排查。
  例如：以下错误信息表示没有把无影云桌面对应的应用程序授权给IDaaS用户账户，您可以参考步骤二中的第3步进行授权。
- 如果无影云桌面客户端提示认证失败，请检查SSO相关配置是否有误。
- 如果无影云桌面客户端提示内部错误，请确认无影云桌面侧是否有与IDaaS用户账户同名的便捷用户。

后续操作

如果有新的用户要使用无影云桌面，请按以下流程进行操作：

在IDaaS控制台新建用户账户，将无影云桌面对应的应用分配给该用户账户。
在无影云桌面控制台创建与IDaaS账户名称同名的便捷用户。
创建云桌面，并将云桌面分配给新建的便捷用户。