本文介绍AD场景下,通过AD FS(AD用户)与无影云电脑(专业版)(便捷用户)进行单点登录SSO的配置流程。配置SSO后,当终端用户访问云电脑时,验证AD FS的用户信息进行登录,实现安全统一的登录管理。
背景信息
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:阿里云应用身份服务 、Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
操作步骤
如果您的企业已使用AD(Active Directory)域服务来管理用户账号信息,则可以配置AD FS(Active Directory Federation Services)和无影云电脑实现SSO。此时,无影云电脑(专业版)作为服务提供商SP,AD FS作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。本文主要介绍如何通过AD FS,实现AD FS用户与无影云电脑(专业版)便捷用户进行SSO。
如果您已对接企业AD并创建AD办公网络,可直接配置AD用户进行SSO。具体操作,请参见AD FS和无影云电脑AD用户实现SSO。
步骤一:在无影云电脑(专业版)侧创建与AD用户同名的便捷用户
AD场景下,如果您不想在无影云电脑(专业版)侧创建AD办公网络来对接AD(该方式无影云电脑(专业版)会获取AD信息),则可以配置AD用户与无影云电脑便捷用户进行SSO,实现登录无影终端仅需在AD FS侧验证用户信息。配置时,您需要在无影云电脑(专业版)侧创建与AD用户同名的便捷用户。
创建便捷用户时,您可以在手动录入页签或者批量录入页签录入用户信息。如果用户数量较少,可直接在手动录入页签录入用户信息;如果用户数量较多,建议您在批量录入页签录入用户信息。
录入用户信息时,输入的便捷用户的用户名需要和AD用户的用户名保持一致(字母大小写不敏感)。
在批量录入页签录入用户之前,您需要参考下文描述,准备好符合无影云电脑便捷用户格式要求的CSV文件。
在AD域服务器中,创建包含AD用户信息的CSV文件。
确认已有AD用户信息是否符合要求。
AD用户名需符合无影云电脑便捷用户的用户名格式要求,如果不符合要求,您需要进行修改,否则无法创建对应的便捷用户。
无影云电脑便捷用户的用户名格式要求为:
长度要求为3~24位。
支持小写字母、数字和特殊字符,其中特殊字符包括短划线(-)、下划线(_)和半角句号(.)。
必须以小写字母作为开头,即数字和特殊字符不能放在开头。
在PowerShell中执行
Get-ADUser命令,导出包含AD用户信息的CSV文件。请根据需要调整命令参数,导出相应的CSV文件。例如:获取所有AD用户信息导出CSV文件并保存到指定路径,可以执行以下命令:
Get-ADUser -filter * |export-csv <文件保存路径> -Encoding utf8假设保存到
C:\Users下,文件命名为test.csv,则命令如下:Get-ADUser -filter * |export-csv C:\Users\test.csv -Encoding utf8
使用Excel打开CSV文件,按无影云电脑便捷用户录入文件的格式要求调整用户信息,然后保存。
调整用户信息时,请注意以下事项:
无影云电脑录入文件的格式要求为:
用户激活的便捷用户:第一列为用户名(必填),第二列为邮箱(必填),第三列为手机号(可选)。
管理员激活的便捷用户:第一列为用户名(必填),第二列为邮箱(可选),第三列为手机号(可选),第四列为密码(必填)。
导出的CSV文件中,SamAccountName列可以作为无影云电脑便捷用户的用户名列,UserPrincipalName列可以作为无影云电脑便捷用户的邮箱列,如果实际的用户邮箱与userPrincpleName不一致,请自行录入邮箱信息。
准备好CSV文件后,在无影云电脑(专业版)控制台的批量录入页签创建便捷用户。具体操作,请参见创建便捷用户。
新建便捷用户后,请及时为便捷用户分配云电脑。具体操作,请参见为便捷用户分配云电脑或云电脑池。
步骤二:在无影云电脑(专业版)侧将AD FS配置为SAML IdP
将AD FS提供的元数据文件上传到无影云电脑(专业版),可以实现在无影云电脑(专业版)将AD FS配置为可信SAML IdP。
下文指导您如何获取办公网络的元数据文件,实际业务中您也可以按需获取组织ID的元数据文件。获取组织ID元数据文件的具体操作,请参见基于SAML配置SSO。
在AD FS侧,获取Idp元数据文件并下载到本地。
IdP元数据文件的获取地址为:
https://<ADFS server>/FederationMetadata/2007-06/FederationMetadata.xml。其中<ADFS Server>为AD FS服务器的域名或者IP地址。在无影云电脑(专业版)侧,上传AD FS提供的IdP元数据文件。
登录无影云电脑控制台。
在左侧导航栏,选择网络与存储 > 办公网络(原工作区)。
在办公网络(原工作区)页面,找到目标开启SSO设置的办公网络并单击办公网络ID。
在办公网络详情页面的左侧导航栏,选择其他信息。
在其他信息区域,开启SSO并上传IdP元数据文件。
SSO:按需开启SSO功能的开关。
此功能默认为关闭,此时SSO配置不生效。
IdP元数据:单击上传文件,上传已获取的IdP元数据文件。
IdP元数据的状态显示为完成,则说明企业IdP配置为可信的SAML IdP。
步骤三:在AD FS侧将无影云电脑(专业版)配置为可信SAML SP
在AD FS侧,您需要上传无影云电脑(专业版)提供的元数据文件,实现在AD FS将无影云电脑(专业版)配置为可信SAML SP。
在无影云电脑(专业版)侧,获取SP元数据文件。
下文指导您如何获取办公网络的元数据文件,实际业务中您也可以按需获取组织ID的元数据文件。获取组织ID元数据文件的具体操作,请参见基于SAML配置SSO。
登录无影云电脑控制台。
在左侧导航栏,选择网络与存储 > 办公网络(原工作区)。
在办公网络(原工作区)页面,找到目标开启SSO设置的办公网络并单击办公网络ID。
在办公网络详情页面的左侧导航栏,选择其他信息。
在其他信息区域,应用元数据后单击下载应用元数据文件。
下载的元数据文件自动保存到本地的下载路径。
在AD FS侧,上传无影云电脑(专业版)提供的SP元数据文件,将无影云电脑(专业版)配置为信赖方信任。
登录AD FS所在服务器,打开服务器管理。
在右上角选择。
在AD FS对话框的左侧导航栏中,选择。
在右侧操作区域,单击添加信赖方信任。
按照向导完成添加信赖方信任。
选择数据源时请选择从文件导入有关信赖方的数据,导入第1步获取的SP元数据文件。其它步骤保持默认配置即可。
在AD FS侧,编辑信赖方信任的声明规则,为无影云桌面SP配置SAML断言属性。
在信赖方信任列表中,右键单击上一步添加的信赖方依赖,选择编辑声明规则。
在弹出的对话框中,单击添加规则。
按照向导完成规则配置。
配置说明如下:
选择规则类型时,声明规则模板选择转换传入声明。
配置声明规则时,传入声明类型选择UPN,传出声明类型选择名称 ID。
后续步骤
配置完SSO后,终端用户可以通过验证身份提供商IdP的身份信息访问云电脑。下文以Windows客户端为例,指导您如何通过SSO连接云电脑。
打开Windows客户端。
在专业版(旧版本中为企业版)页面,输入办公网络ID或组织ID。
在AD FS登录页面,输入并校验AD的用户信息。
成功登录客户端后,您可以在云电脑展示页面,找到目标云电脑卡片,单击连接云电脑。
- 本页导读 (0)