本文介绍应用身份服务IDaaS(Alibaba Cloud Identity as a Service)与无影云桌面进行单点登录SSO的配置流程。配置SSO后,当终端用户登录云桌面客户端时,只需在IDaaS侧进行登录验证,实现安全统一的登录管理。

背景信息

单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。相关的基本概念如下:
  • 身份提供商IdP:提供身份管理服务,负责收集存储用户身份信息(用户名、密码等),在登录时验证用户身份。常见的企业IdP包括AD FS、Shibboleth等。
  • 服务提供商SP:通过与IdP建立互信关系,利用IdP的身份管理功能,为对应用户提供具体的服务。
  • 安全断言标记语言SAML:实现企业级用户身份认证的标准协议,可以在IdP和SP之间交换身份验证和授权数据。

阿里云应用身份服务IDaaS,是阿里云为企业用户提供的一套集中式身份、权限、应用管理服务。IDaaS支持EIAM、CIAM等多种产品,其中EIAM适用于内部员工的身份管理,可以帮助您整合部署在本地或云端的内部办公系统、业务系统及三方SaaS系统的所有身份,实现一个账号打通所有应用的服务。更多信息,请参见什么是IDaaS

无影云桌面支持基于SAML协议的SSO功能,如果您之前使用IDaaS中的EAIM管理用户账号,可以配置无影云桌面的便捷用户与IDaaS用户进行SSO。此时,无影云桌面作为服务提供商SP,IDaaS作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以安全使用IDaaS的访问凭据来登录云桌面客户端。
说明 目前仅软终端(Windows客户端、macOS客户端)和硬件终端(阿里云云终端)支持SSO功能;移动终端(iOS客户端、Android客户端)和Web客户端暂不支持SSO功能。

准备工作

您需要在无影云桌面侧创建一个便捷工作区,并开启该工作区的SSO功能。
  • 如果没有便捷工作区,请登录无影云桌面控制台创建便捷工作区。具体操作,请参见创建便捷工作区
  • 已有便捷工作区时,您可以在总览页面,单击工作区ID进入工作区详情页面,然后开启SSO功能。
工作区详情

步骤一:在无影云桌面侧创建与IDaaS用户账户同名的便捷用户

对于要使用无影云桌面的IDaaS用户,您需要在无影云桌面侧创建与IDaaS用户账户同名的便捷用户。创建便捷用户时,支持手动录入和批量录入两种方式录入用户信息。批量录入用户信息的操作步骤如下:
说明 如果用户数量较少,可直接在无影云桌面控制台手动录入用户信息。录入时,输入的便捷用户的用户名需与IDaaS用户的账户名称保持一致(字母大小写不敏感)。具体操作,请参见创建便捷用户
  1. 在IDaaS控制台导出用户信息。
    1. 登录IDaaS控制台
    2. EIAM实例列表页面,单击实例ID。
    3. 在左侧导航栏,选择账户 > 机构及组
    4. 选择组织机构,在右侧账户列表中,确认账户名称是否符合要求。

      在无影云桌面侧创建与IDaaS用户同名的便捷用户时,需确保无影便捷用户的用户名与IDaaS用户的账户名称保持一致(字母大小写不敏感)。因此IDaaS用户的账户名称需符合无影的用户名格式要求,如果不符合要求,您需要重建重新创建符合要求的账户,否则无法创建对应的便捷用户。

      无影便捷用户的用户名格式要求为:
      • 长度至少3位,最长24位。
      • 支持小写字母、数字和特殊字符,其中特殊字符包括短划线(-)、下划线(_)和半角句号(.)。
      • 必须以小写字母作为开头,即数字和特殊字符不能作为开头。
    5. 单击账户列表上方菜单中的导出,然后单击Excel下的账户
    6. 在弹出的对话框中,单击确定
      导出的包含IDaaS用户账户信息的Excel文件将保持到本地的下载路径下。
  2. 打开Excel文件,按无影便捷用户录入文件的格式要求调整用户信息,然后保存为CSV文件。
    调整用户信息时,请注意以下事项:
    • 录入文件的格式要求为:第一列为用户名(必填),第二列为邮箱(必填),第三列为手机号(可选)。
    • IDaaS导出的用户信息Excel文件中,可以使用username列作为无影便捷用户的用户名列,使用email列作为无影便捷用户的邮箱列,如果email列中有空缺,请补齐邮箱信息。
  3. 在无影云桌面控制台创建便捷用户。
    1. 登录无影云桌面控制台
    2. 在左侧导航栏,单击用户管理
    3. 用户管理页面,单击创建用户
    4. 创建用户面板,单击批量导入页签。
    5. 单击选择文件,选择步骤2准备的用户信息CSV文件。
      系统将自动导入文件中的用户信息。导入完成后,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。
    6. 单击关闭
      创建完成后 ,您可以在用户管理页面查看用户信息。

步骤二:在IDaaS侧添加应用,将无影云桌面配置为可信SAML SP

在IDaaS侧,您需要添加无影云桌面对应的应用,将无影云桌面配置为可信SAML SP,然后将该应用授权给要使用无影云桌面的IDaaS用户,操作步骤如下:

  1. 在无影云桌面侧,获取SP元数据文件。
    1. 总览页面,找到便捷工作区,单击工作区ID。
    2. 在工作区详情页面的元数据文件处,单击下载文件
      下载的元数据文件将自动保存到本地的下载路径下。
  2. 在IDaaS侧,添加无影云桌面对应的应用,并将无影云桌面配置为可信SAML SP。
    1. 在IDaaS控制台的左侧导航栏,选择应用 > 添加应用
    2. 在搜索框中输入SAML,找到SAML应用,单击对应操作列中的添加应用
    3. 添加应用(SAML)面板,单击添加SigningKey
    4. 添加SigningKey面板,按实际情况设置必填信息,然后单击提交
      证书长度请选择2048
    5. 添加应用(SAML)面板,找到新添加的SigningKey,单击选择
    6. 设置应用信息,然后单击提交
      上传SP
      请参考以下说明设置必填信息:
      • 应用名称:默认已输入SAML,可输入自定义的名称,便于识别。
      • IDP IdentityId:自定义输入。
      • SP Entity ID:打开步骤1获取的SP元数据文件,输入md:EntityDescriptor标签中的entityID值。标识符
      • SP ACS URL(SSO Location):打开步骤1获取的SP元数据文件,md:AssertionConsumerService标签中的Location值。回复URL
      • NameIdFormat:选择urn:oasis:names:tc:SAML:2.0:nameid-format:transient
      • Binding:选择POST
      • 账户关联方式,选择账户映射
  3. 将无影云桌面对应的应用授权给要使用无影云桌面的IDaaS用户。
    1. 应用列表页面,找到无影云桌面对应的SAML应用,单击对应操作列中的授权
    2. 在账户列表中,选中要授权的用户账户,然后单击保存
      IDaaS授权
    3. 在弹出的对话框中,单击确定

步骤三:在无影云桌面侧将IDaaS配置为可信SAML IdP

将IDaaS提供的元数据文件上传到无影云桌面,可以实现在无影云桌面侧将IDaaS配置为可信SAML IdP。操作步骤如下:

  1. 在IDaaS侧,获取IdP元数据文件。
    1. 在IDaaS控制台的应用列表页面,找到无影云桌面对应的SAML应用,单击对应操作列中的详情
    2. 应用信息区域,单击查看详情
    3. 在弹出面板,单击导出IDaaS SAML 元配置文件
      下载的元数据文件将自动保存到本地的下载路径下。导出idp元数据
  2. 在无影云桌面侧,上传IDaaS提供的IdP元数据文件。
    1. 总览页面,找到便捷工作区,单击工作区ID。
    2. 在工作区详情页面的元数据文件处,单击上传文件
    3. 双击选择IdP元数据文件,单击确认

步骤四:验证能否通过SSO功能登录云桌面客户端

打开无影云电脑客户端,如果登录配置页面设置的工作区开启了SSO功能,则将自动跳转到配置的企业IdP侧进行登录验证。目前仅软终端(Windows客户端、macOS客户端)和硬件终端(阿里云云终端)支持SSO功能。以Windows客户端为例,验证的操作步骤如下:

  1. 打开Windows客户端。
  2. 登录配置页面,设置工作区ID,单击下一步
    工作区ID为准备工作中开启了SSO功能的便捷工作区ID;网络接入方式采用默认的公网接入,即不选中通过企业专网接入
  3. 在跳转打开的IDaaS登录页面,按照页面提示输入IDaaS账户的信息,进行身份验证。
    登录
    • 如果成功登录客户端,则表示配置成功。登录成功
      说明 实现SSO功能后,您可以使用IDaaS账户登录云桌面客户端,默认情况下,该账户下没有云桌面资源。如果想要连接使用云桌面,请登录无影云桌面控制台创建云桌面,并将其分配给同名的便捷用户。具体操作,请参见创建云桌面查看和分配用户
    • 如果在IDaaS登录页面出现报错,请根据错误信息进行排查。
      例如:以下错误信息表示没有把无影云桌面对应的应用程序授权给IDaaS用户账户,您可以参考步骤二中的第3步进行授权。IDaaS报错
    • 如果无影云桌面客户端提示认证失败,请检查SSO相关配置是否有误。认证失败
    • 如果无影云桌面客户端提示内部错误,请确认无影云桌面侧是否有与IDaaS用户账户同名的便捷用户。内部错误

后续操作

如果有新的用户要使用无影云桌面,请按以下流程进行操作:
  1. 在IDaaS控制台新建用户账户,将无影云桌面对应的应用分配给该用户账户。
  2. 在无影云桌面控制台创建与IDaaS账户名称同名的便捷用户。
  3. 创建云桌面,并将云桌面分配给新建的便捷用户。