本文介绍Azure AD(Azure Active Directory)与无影云桌面进行单点登录SSO的配置流程。配置SSO后,当终端用户登录云桌面客户端时,只需在Azure AD侧进行登录验证,实现安全统一的登录管理。

背景信息

单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。相关的基本概念如下:
  • 身份提供商IdP:提供身份管理服务,负责收集存储用户身份信息(用户名、密码等),在登录时验证用户身份。常见的企业IdP包括AD FS、Shibboleth等。
  • 服务提供商SP:通过与IdP建立互信关系,利用IdP的身份管理功能,为对应用户提供具体的服务。
  • 安全断言标记语言SAML:实现企业级用户身份认证的标准协议,可以在IdP和SP之间交换身份验证和授权数据。
无影云桌面支持基于SAML协议的SSO功能,如果您之前使用Azure AD管理用户账号,可以配置无影云桌面的便捷用户与Azure AD用户进行SSO。此时,无影云桌面作为服务提供商SP,Azure AD作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以安全使用Azure AD内部的访问凭据来登录云桌面客户端。
说明 目前仅软终端(Windows客户端、macOS客户端)和硬件终端(阿里云云终端)支持SSO功能;移动终端(iOS客户端、Android客户端)和Web客户端暂不支持SSO功能。

准备工作

您需要在无影云桌面侧创建一个便捷工作区,并开启该工作区的SSO功能。
  • 如果没有便捷工作区,请登录无影云桌面控制台创建便捷工作区。具体操作,请参见创建便捷工作区
  • 已有便捷工作区时,您可以在总览页面,单击工作区ID进入工作区详情页面,然后开启SSO功能。
工作区详情

步骤一:在无影云桌面侧创建与Azure AD用户同名的便捷用户

对于要使用无影云桌面的Azure AD用户,您需要在无影云桌面侧创建与Azure AD用户同名的便捷用户。创建便捷用户时,支持手动录入和批量录入两种方式录入用户信息。批量录入用户信息的操作步骤如下:
说明 如果用户数量较少,可直接在无影云桌面控制台手动录入用户信息。录入时,输入的便捷用户名需与Azure AD用户名保持一致(字母大小写不敏感)。具体操作,请参见创建便捷用户
  1. 在Azure AD中下载包含用户信息的CSV文件。
    1. 登录Azure AD控制台
    2. 在左侧导航栏,单击用户
    3. 所有用户(预览版)页面,确认用户信息是否符合要求。

      在无影云桌面侧创建与Azure AD用户同名的便捷用户时,需确保无影便捷用户的用户名与Azure AD的用户名保持一致(字母大小写不敏感)。因此Azure AD的用户名需符合无影的用户名格式要求,如果不符合要求,您需要进行修改,否则无法创建对应的便捷用户。

      无影便捷用户的用户名格式要求为:
      • 长度至少3位,最长24位。
      • 支持小写字母、数字和特殊字符,其中特殊字符包括短划线(-)、下划线(_)和半角句号(.)。
      • 必须以小写字母作为开头,即数字和特殊字符不能作为开头。
    4. 单击顶部的批量操作,然后选择下载用户
      批量下载
    5. 按照页面提示完成下载操作。
      下载用户信息
  2. 使用Excel打开下载的CSV文件,按无影便捷用户录入文件的格式要求调整用户信息,然后保存为CSV文件。
    调整用户信息时,请注意以下事项:
    • 录入文件的格式要求为:第一列为用户名(必填),第二列为邮箱(必填),第三列为手机号(可选)。
    • Azure AD下载的用户信息CSV文件中,userPrincpleName列是用户名@域名的格式,可以提取其前缀作为无影便捷用户的用户名;如果userPrincpleName刚好是实际的用户邮箱,则userPrincpleName列可以作为无影便捷用户的邮箱列,如果实际的用户邮箱与userPrincpleName不一致,请自行录入邮箱信息。
  3. 在无影云桌面控制台创建便捷用户。
    1. 登录无影云桌面控制台
    2. 在左侧导航栏,单击用户管理
    3. 用户管理页面,单击创建用户
    4. 创建用户面板,单击批量导入页签。
    5. 单击选择文件,选择步骤2准备的用户信息CSV文件。
      系统将自动导入文件中的用户信息。导入完成后,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。
    6. 单击关闭
      创建完成后 ,您可以在用户管理页面查看用户信息。

步骤二:在Azure AD侧创建应用程序并分配用户

在Azure AD侧,您需要创建无影云桌面对应的应用程序,并将其分配给要使用无影云桌面的Azure AD用户。操作步骤如下:

  1. 在Azure AD控制台的左侧导航栏,单击企业应用程序
  2. 所有应用程序页面,单击新建应用程序
  3. 在顶部菜单栏,单击创建你自己的应用程序
  4. 在弹出面板中,输入应用名称,选择集成未在库中找到的任何其他应用程序(非库),然后单击创建
    创建应用程序
  5. 刷新页面,单击新创建的应用程序名称。
  6. 在应用程序详情页面的左侧导航栏,单击用户和组,然后单击添加用户/组
  7. 在弹出的添加分配页面,选择用户,然后单击分配
    分配用户

步骤三:在Azure AD侧将无影云桌面配置为可信SAML SP

将无影云桌面提供的元数据文件上传到Azure AD,可以实现在Azure AD侧将无影云桌面配置为可信SAML SP。操作步骤如下:

  1. 在无影云桌面侧,获取SP元数据文件。
    1. 总览页面,找到便捷工作区,单击工作区ID。
    2. 在工作区详情页面的元数据文件处,单击下载文件
      下载的元数据文件将自动保存到本地的下载路径下。
  2. 在Azure AD侧为无影云桌面对应的应用程序配置单一登录。
    1. 在Azure AD控制台,打开步骤二创建的应用程序。
    2. 在应用程序详情页面的左侧导航栏,单击单一登录,然后选择SAML
    3. 单击上传元数据文件
    4. 选择在无影云桌面控制台下载的SP元数据文件,单击添加
    5. 基本SAML配置面板中,确认标识符和回复URL是否正确,然后单击保存
      说明 上传SP元数据文件后,如果没有自动读取标识符和回复URL,请自行输入。
      SAML配置
      打开本地保存的SP元数据文件,确认标识符和回复URL是否正确:
      • 标识符(实体ID):对应SP元数据文件中,md:EntityDescriptor标签中的entityID值。标识符
      • 回复URL(断言使用者服务URL):对应SP元数据文件中,md:AssertionConsumerService标签中的Location值。回复URL

步骤四:在无影云桌面侧将Azure AD配置为可信SAML IdP

将Azure AD提供的元数据文件上传到无影云桌面,可以实现在无影云桌面侧将Azure AD配置为可信SAML IdP。操作步骤如下:

  1. 在Azure AD侧,获取IdP元数据文件。
    1. 在Azure AD控制台,打开步骤二创建的应用程序。
    2. 在应用程序详情页面的左侧导航栏,单击单一登录
    3. SAML 签名证书区域,单击联合元数据XML对应的下载
      下载的元数据文件将自动保存到本地的下载路径下。下载Idp
  2. 在无影云桌面侧,上传Azure AD提供的IdP元数据文件。
    1. 总览页面,找到便捷工作区,单击工作区ID。
    2. 在工作区详情页面的元数据文件处,单击上传文件
    3. 双击选择IdP元数据文件,单击确认

步骤五:验证能否通过SSO功能登录云桌面客户端

打开云桌面客户端,如果登录配置页面设置的工作区开启了SSO功能,则将自动跳转到配置的企业IdP侧进行登录验证。目前仅软终端(Windows客户端、macOS客户端)和硬件终端(阿里云云终端)支持SSO功能。以Windows客户端为例,验证的操作步骤如下:

  1. 打开Windows客户端。
  2. 登录配置页面,设置工作区ID并选择网络接入方式,单击下一步
    工作区ID为准备工作中开启了SSO功能的便捷工作区ID;网络接入方式请选择通过阿里云网络接入
  3. 在跳转打开的Azure登录页面,按照页面提示输入Azure AD用户的信息,进行身份验证。
    登录
    • 如果成功登录客户端,则表示配置成功。登录成功
      说明 实现SSO功能后,您可以使用Azure AD用户账号登录云桌面客户端,默认情况下,该用户账号下没有云桌面资源。如果想要连接使用云桌面,请登录无影云桌面控制台创建云桌面,并将其分配给同名的便捷用户。具体操作,请参见创建云桌面查看和分配用户
    • 如果在Azure登录页面出现报错,请根据错误信息进行排查。
      例如:以下错误信息表示没有把无影云桌面对应的应用程序分配给用户,您可以参考步骤二进行分配。报错
    • 如果无影云桌面客户端提示认证失败,请检查SSO相关配置是否有误。认证失败
    • 如果无影云桌面客户端提示内部错误,请确认无影云桌面侧是否有与Azure AD用户同名的便捷用户。内部错误

后续操作

如果有新的用户要使用无影云桌面,请按以下流程进行操作:
  1. 在Azure AD控制台新建用户,将无影云桌面对应的应用程序分配给该用户。
  2. 在无影云桌面控制台创建与Azure AD用户同名的便捷用户。
  3. 创建云桌面,并将云桌面分配给新建的便捷用户。