如何通过SAML集成ADFS_无影云桌面-阿里云帮助中心

本文介绍AD场景下，通过AD FS（AD用户）与无影云桌面（便捷用户）进行单点登录SSO的配置流程。配置SSO后，当终端用户登录云桌面客户端时，只需在AD FS侧进行登录验证，实现安全统一的登录管理。

背景信息

单点登录SSO（Single Sign On）是一种帮助用户快速访问多个应用系统的安全通信技术，也称为身份联合登录，可以实现在多个系统中，只需要登录一次，就可以访问其他相互信任的系统。相关的基本概念如下：

身份提供商IdP：提供身份管理服务，负责收集存储用户身份信息（用户名、密码等），在登录时验证用户身份。常见的企业IdP包括AD FS、Shibboleth等。
服务提供商SP：通过与IdP建立互信关系，利用IdP的身份管理功能，为对应用户提供具体的服务。
安全断言标记语言SAML：实现企业级用户身份认证的标准协议，可以在IdP和SP之间交换身份验证和授权数据。

无影云桌面支持基于SAML协议的SSO功能，如果您的企业已使用AD（Active Directory）域服务来管理用户账号信息，则可以配合使用AD FS（Active Directory Federation Services）实现单点登录SSO。此时，无影云桌面作为服务提供商SP，AD FS作为身份提供商IdP，两者基于SAML协议，互相交换元数据文件，即可实现SSO。配置SSO后，您可以使用AD FS提供的访问凭据来登录云桌面客户端。

本文主要介绍如何通过AD FS，实现AD用户与无影便捷用户进行SSO。如果您已创建AD工作区，完成AD与无影云桌面之间的对接，可直接配置AD用户进行SSO。具体操作，请参见为AD用户设置单点登录SSO。

说明目前仅Windows客户端、macOS客户端无影23.8寸一体机US01盒式云电脑终端AS01或卡片式云电脑终端ASC01支持SSO。

操作流程

AD FS（AD用户）和无影云桌面（便捷用户）之间配置SSO的操作流程如下：

准备工作

您需要在无影云桌面侧创建一个便捷工作区，并开启该工作区的SSO功能。

如果没有便捷工作区，请登录无影云桌面控制台创建便捷工作区。具体操作，请参见创建或销毁便捷工作区。
已有便捷工作区时，您可以在工作区页面，单击工作区ID进入工作区详情页面，然后开启SSO功能。

步骤一：在无影云桌面侧创建与AD用户同名的便捷用户

AD场景下，如果您不想在无影云桌面侧创建AD工作区来对接AD（该方式无影云桌面会获取AD信息），则可以配置AD用户与无影便捷用户进行SSO，实现登录无影云桌面客户端仅需在AD FS侧验证用户信息。配置时，您需要在无影云桌面侧创建与AD用户同名的便捷用户。创建便捷用户时，支持手动录入和批量录入两种方式录入用户信息。批量录入用户信息的操作步骤如下：

说明如果用户数量较少，可直接在无影云桌面控制台手动录入用户信息。录入时，输入的便捷用户名需与AD用户名保持一致（字母大小写不敏感）。具体操作，请参见创建便捷用户。

在AD域服务器中，创建包含AD用户信息的CSV文件。
1. 确认已有AD用户信息是否符合要求。
  在无影云桌面侧创建与AD用户同名的便捷用户时，需确保无影便捷用户的用户名与AD用户的用户名保持一致（字母大小写不敏感）。因此AD用户的用户名需符合无影便捷用户的用户名格式要求，如果不符合要求，您需要进行修改，否则无法创建对应的便捷用户。
  无影便捷用户的用户名格式要求为：
  - 长度至少3位，最长24位。
  - 支持小写字母、数字和特殊字符，其中特殊字符包括短划线（-）、下划线（_）和半角句号（.）。
  - 必须以小写字母作为开头，即数字和特殊字符不能作为开头。
2. 在PowerShell中执行Get-ADUser命令，导出包含AD用户信息的CSV文件。
  请根据需要调整命令参数，导出相应的CSV文件。例如：获取所有AD用户信息导出CSV文件并保存到指定路径，可以执行以下命令：
```
Get-ADUser -filter * |export-csv 文件保存路径 -Encoding utf8
```
  假设保存到C:\Users下，文件命名为test.csv，则命令如下：
```
Get-ADUser -filter * |export-csv C:\Users\test.csv -Encoding utf8
```
打开CSV文件，按无影便捷用户录入文件的格式要求调整用户信息，然后保存。
调整用户信息时，请注意以下事项：
- 无影便捷用户录入文件的格式要求为：第一列为用户名（必填），第二列为邮箱（必填），第三列为手机号（可选）。
- 导出的CSV文件中，SamAccountName列可以作为无影便捷用户的用户名列，UserPrincipalName列可以作为无影便捷用户的邮箱列，如果实际的用户邮箱与userPrincpleName不一致，请自行录入邮箱信息。
在无影云桌面控制台创建便捷用户。
1. 登录无影云桌面控制台。
2. 在左侧导航栏，单击用户。
3. 在用户管理页面选择用户面板，然后单击创建用户。
4. 在创建用户面板，单击批量录入页签。
5. 根据需要选择管理员激活或者用户激活。
6. 单击选择文件，选择准备好的用户信息CSV文件。
  系统将自动导入文件中的用户信息。导入完成后，可以查看各个用户数据的导入情况。如果导入失败，请检查文件中的用户信息是否符合格式要求。
7. 单击关闭。
  创建完成后，您可以在用户管理页面查看用户信息。

步骤二：在无影云桌面侧将AD FS配置为SAML IdP

将AD FS提供的元数据文件上传到无影云桌面，可以实现在无影云桌面将AD FS配置为可信SAML IdP。

在AD FS侧，获取Idp元数据文件并下载到本地。
IdP元数据文件的获取地址为：https://<ADFS server>/FederationMetadata/2007-06/FederationMetadata.xml。其中<ADFS Server>为AD FS服务器的域名或者IP地址。
在无影云桌面侧，上传AD FS提供的IdP元数据文件。
1. 在工作区页面，找到便捷工作区，单击工作区ID。
2. 在工作区详情页面的IdP元数据处，单击上传文件。
3. 双击选择IdP元数据文件，单击确认。

步骤三：在AD FS侧将无影云桌面配置为可信SAML SP

在AD FS侧，您需要上传无影云桌面提供的元数据文件，实现在AD FS将无影云桌面配置为可信SAML SP。

在无影云桌面侧，获取SP元数据文件。
1. 在工作区页面，找到便捷工作区，单击工作区ID。
2. 在工作区详情页面的应用元数据处，单击下载应用元数据文件。
  下载的元数据文件将自动保存到本地的下载路径下。
在AD FS侧，上传无影云桌面提供的SP元数据文件，将无影云桌面配置为信赖方信任。
1. 登录AD FS所在服务器，打开服务器管理。
2. 在右上角选择工具 > AD FS管理。
3. 在AD FS对话框的左侧导航栏中，选择信任关系 > 信赖方依赖。
4. 在右侧操作区域，单击添加信赖方信任。
5. 按照向导完成添加信赖方信任。
  选择数据源时请选择从文件导入有关信赖方的数据，导入第1步获取的SP元数据文件。其它步骤保持默认配置即可。
在AD FS侧，编辑信赖方信任的声明规则，为无影云桌面SP配置SAML断言属性。
1. 在信赖方信任列表中，右键单击上一步添加的信赖方依赖，选择编辑声明规则。
2. 在弹出的对话框中，单击添加规则。
3. 按照向导完成规则配置。
  配置说明如下：
  - 选择规则类型时，声明规则模板选择转换传入声明。
  - 配置声明规则时，传入声明类型选择UPN，传出声明类型选择名称 ID。

步骤四：验证能否通过SSO功能登录云桌面客户端

打开无影云电脑客户端，如果登录配置页面设置的工作区开启了SSO功能，则将自动跳转到配置的企业IdP侧进行登录验证。目前仅软终端（Windows客户端、macOS客户端）和硬件终端（阿里云云终端）支持SSO功能。以Windows客户端为例，验证的操作步骤如下：

打开Windows客户端。
在登录配置页面，设置工作区ID，单击下一步。
工作区ID为准备工作中开启了SSO功能的便捷工作区ID；网络接入方式采用默认的公网接入，即不选中通过企业专网接入。
在跳转打开的AD FS登录页面，输入AD用户信息，进行身份验证。
- 如果成功登录客户端，则表示配置成功。
  说明实现SSO功能后，即使没有创建AD工作区来对接AD，您也可以使用AD用户登录云桌面客户端，默认情况下，该账户下没有云桌面资源。如果想要连接使用云桌面，请登录无影云桌面控制台创建云桌面，并将其分配给同名的便捷用户。具体操作，请参见创建云桌面和将云桌面分配给用户。
- 如果提示内部错误，请排查ADFS是否配置正确。

后续操作

如果有新的用户要使用无影云桌面，请按以下流程进行操作：

在AD域服务器创建新的AD用户。
在无影云桌面控制台创建与AD用户同名的便捷用户。
创建云桌面，并将云桌面分配给新创建的便捷用户。