为实现跨工作区快速登录云桌面和统一查看云桌面所在工作区的登录验证方式,无影云桌面支持自定义组织ID,组织ID将作为企业身份的唯一标识用于终端用户登录无影云桌面。本文为您介绍组织ID的使用流程和相关操作。

前提条件

说明 该功能目前处于邀测中,如需体验,请提交工单申请。

背景信息

为了帮助您更好地使用组织ID功能,您需要了解以下概念:
概念说明
安全断言标记语言(SAML 2.0)实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
OpenLDAPOpenLDAP是LDAP轻型目录访问协议的开源实现,常用于管理企业内的用户、计算机、网络等资源。由于被广泛使用,OpenLDAP也常被简称为LDAP。
服务提供商(SP)利用IdP的身份管理功能,为用户提供具体服务的应用。SP会使用IdP提供的用户信息。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
身份提供商(IdP)一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。企业本地IdP:Microsoft Active Directory Federation Service(AD FS)以及Shibboleth等。Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。

功能介绍

通过使用组织ID,终端用户可以一键登录多个工作区下的云桌面;管理员可快速查看已配置验证登录方式的工作区并设置组织ID的登录验证方式。

orgID

组织ID与工作区ID管控登录的比较

以下表格从组织维度和工作区维度对比两种方式在登录云桌面和管控登录安全设置时的异同。

对比项组织ID工作区ID
终端用户跨工作区登录支持。

一次登录便可在多工作区下的云桌面之间快速切换。

不支持。

一次只能登录一个地域下的云桌面。

管理员跨工作区管控支持。

可以从组织ID维度管控多个工作区下的云桌面。

不支持

工作区维度管控云桌面。

多因素设备认证、客户端登录校验、SSO设置支持支持
无影账号认证支持不支持
硬终端免输入组织ID支持不支持
ID记忆难度

自定义设置,无记忆负担。

系统自动生成,有记忆压力。

说明 硬终端免输组织ID登录开启后,终端用户使用硬件终端登录云桌面时无需输入组织ID。
使用硬件终端登录云桌面免输组织ID需要满足以下两个条件:
  • 硬件终端已在控制台录入SN。具体操作,请参见添加终端
  • 硬件终端与终端用户形成绑定关系。具体操作,请参见为终端绑定用户

使用限制

使用组织ID功能前,您需要仔细阅读以下限制信息:
  • 仅便捷账号有权限设置组织ID,AD账号不支持。
  • 组织ID功能支持Windows客户端Mac客户端iOS客户端安卓客户端Web客户端无影盒式零终端AS01无影23.8寸一体机US01Windows客户端Mac客户端请确保为5.0及以上版本。
  • 设置组织ID后,不支持删除。

创建组织ID

下文为您介绍创建组织ID的操作步骤。

  1. 登录无影云桌面控制台
  2. 在左侧导航栏,选择桌面 > 工作区
  3. 工作区页面的右上角,单击设置组织ID
    初次登录无影云桌面的控制台,会弹出请您设置组织ID的引导提示框,此时您可以根据需要选择去设置不再提醒
  4. 设置组织ID面板,输入符合要求的组织ID。
  5. 根据需要选择是否开启无影硬终端免输组织ID登录
    开启后,终端用户通过硬件终端登录云桌面时无需输入组织ID。
  6. 单击确定
    成功设置组织ID后,会弹出设置成功的提示框,同时系统会自动下发邮件通知。此时界面会弹出是否迁移工作区配置的提示框,您可以根据需要选择是否迁移已开启验证登录方式的工作区。更多信息,请参见迁移工作区至组织ID

配置组织ID登录验证方式

组织ID的登录验证方式和工作区的登录验证方式各自独立,互不影响。如果使用组织ID登录客户端,则遵循组织ID设置的验证登录方式;如果使用工作区ID登录客户端,则遵循工作区本身设置的验证登录方式。已配置登录验证方式的工作区迁移至组织ID后,该工作区本身的登录验证方式仍然生效。

创建组织ID后,您无法删除组织ID,可以根据需要开启组织ID的验证登录方式。具体操作如下:
  1. 单击无影云桌面控制台工作区页面右上角的管理组织ID
  2. 组织ID管理页面,根据需要修改以下配置项。
    配置项说明
    组织ID单击修改,根据需求修改组织ID。
    说明 修改组织ID后系统会下发邮件或短信通知,终端用户可以根据通知指引登录云桌面。
    硬终端免输入组织ID默认关闭。开启后,终端用户使用已录入SN的无影硬终端登录云桌面时无需输入组织ID。
    客户端登录校验默认关闭。开启后,终端用户在更换登录设备时需进行邮箱验证码校验,校验通过后才可进行登录。
    说明
    • 客户端登录校验仅适用于公网连接的接入方式。
    • 为避免校验冲突,如果开启客户端登录校验,则无法开启多因素设备认证SSO设置
    多因素设备认证默认关闭。开启后,终端用户需要通过二次认证才可以成功登录云桌面。第一次安全认证为用户名和密码,第二次安全认证为虚拟MFA设备生成的验证码,例如绑定阿里云App并获取的验证码。
    说明 为避免校验冲突,如果开启多因素设备认证,则无法开启客户端登录校验SSO设置。如果您需要开启SSO设置,请先关闭多因素设备认证
    可信设备认证默认关闭。开启后,该工作区仅允许终端用户通过当前绑定的硬件终端设备进行登录。使用此功能前,需要先绑定硬件终端 和终端用户。具体操作,请参见管理硬件终端
    SSO设置默认关闭。开启后,终端用户可以使用已经配置SSO的联合身份登录云桌面。即可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。支持通过SAML和LDAP协议实现SSO。
    说明 为避免校验冲突,如果开启SSO设置,则无法开启客户端登录校验多因素设备认证
    无影账号认证默认关闭。开启SSO设置后,建议您开启无影账号认证,这样终端用户可以选择无影便捷账号登录云桌面。
    IdP管理
    • 新增IdP
      说明 最多支持添加10个IdP服务商。
      1. 单击新增IdP
      2. 新增IdP面板,输入IdP名称并选择协议。
        支持的协议类型有:SAMLLDAP
        说明 如果选择LDAP协议,您需要配置LDAP。具体操作,请参见通过LDAP实现SSO
      3. 单击确定

        此时创建的IdP名称无法直接实现SSO,您需要配置后才能实现SSO功能。具体操作,请参见通过SAML实现SSO

    • 编辑IdP
      1. 在列表中找到待编辑的IdP名称,单击操作列的查看详情
      2. 编辑IdP面板,在IdP名称中编辑IdP名称,然后单击确认
      3. 根据需要下载或上传SSO元数据文件。
      4. 单击确定
    • 删除IdP
      1. 在列表中找到待删除的IdP名称,单击操作列的删除
      2. 在弹出的确认删除?对话框中,确认待删除信息,然后单击确认
    • 禁用IdP

      在列表中找到待禁用的IdP名称,单击操作列的禁用

    • 启用IdP

      在列表中找到待启用的IdP名称,单击操作列的启用

迁移工作区至组织ID

创建组织ID后,系统会自动获取已开启验证登录方式的工作区信息,此时如果将已开启登录验证方式的工作区迁移至组织ID,便可快速查看多个工作区的登录验证方式。

前提条件

迁移工作区前,您需要确保待迁移工作区已经开启并配置验证登录方式,例如多因素设备认证、登录客户端校验或者SSO设置。
说明
  • 您可以在无影云桌面控制台的概览页面,根据需要选择无影云桌面无影云桌面组页签,然后单击待迁移工作区ID,在安全设置中查看多因素设备认证、SSO设置和客户端登录校验是否开启。
  • 多因素设备认证、登录客户端校验或者SSO设置三者之间互斥,您如果开启其中一种验证登录方式则无法开启其他验证登录方式。

迁移至组织ID

  1. 登录无影云桌面控制台
  2. 在左侧导航栏,选择桌面 > 工作区
  3. 工作区页面的右上角,单击管理组织ID
  4. 组织ID管理页面,单击迁移工作区配置
  5. 迁移现有工作区设置至组织ID面板,在当前设置过MFA/客户端登录校验列表中选择一个或者多个待迁移的工作区ID,然后单击迁移至组织ID
  6. 当前设置过SSO登录校验列表中选择待迁移的工作区ID,然后单击操作列的迁移至组织ID
    迁移成功后界面会提示迁移成功
  7. 单击保持设置

通过SAML实现SSO

组织ID支持基于SAML和LDAP协议的SSO功能。下文基于IDaaS中的EIAM管理用户账号为您介绍如何通过组织ID配置云桌面的SSO。无影云桌面和IDaaS基于SAML协议,互相交换元数据文件,即可实现SSO,配置SSO后,终端用户可以安全使用IDaaS的访问凭据来登录无影云桌面客户端,并连接云桌面。

为组织开启SSO

  1. 登录无影云桌面控制台
  2. 在左侧导航栏,选择桌面 > 工作区
  3. 工作区页面的右上角,单击管理组织ID
  4. 管理组织ID页面,找到SSO设置,然后选择开启
  5. 可选:根据需要选择开启或关闭无影账号认证
  6. 单击新增IdP
  7. 新增IdP面板,输入IdP名称并选择SAML协议。
  8. 单击确定
    至此已经创建IdP,但是该IdP无法实现SSO功能,您需要配置IdP,具体操作请见下文。

创建SAML协议的IdP

  1. SSO设置详情面板,单击新增IdP
  2. 新增IdP面板,输入IdP名称并选择SAML协议。
  3. 单击确定
    至此已经创建IdP,但是该IdP无法实现SSO功能,您需要配置IdP,具体操作请见下文。

配置SAML协议的IdP

创建的IdP后无法直接实现SSO,您需要配置后才能实现SSO功能。以下为您介绍配置IdP的步骤。

  1. IDaaS管控台开通云身份服务实例。具体操作,请参见1. 免费开通实例
  2. 创建云身份服务账户。具体操作,请参见2. 创建账户
    说明 您需要在账户名中填写与无影云桌面便捷用户同名的账户名称。
  3. 添加无影应用。
    1. IDaaS管控台找到目标IDaaS实例并单击实例ID。
    2. 在左侧导航栏,单击应用
    3. 应用页面,单击添加应用
    4. 添加应用页面,选择应用时长页签,然后在搜索框中输入无影并按回车键。
    5. 阿里云 - 无影对话框中单击添加应用,然后按照界面提示完成。
  4. 完成单点登录配置。
    1. 应用页面,找到上一步添加的应用并单击应用名称。
    2. 选择访问登录 > 单点登录,并开启单点登录配置
      按照界面提示设置以下配置项。
      配置项说明
      工作区ID填入已在无影云桌面控制台开启SSO的工作区ID。

      在无影云桌面控制台的工作区页面找到目标工作区ID,单击工作区ID,在安全设置面板可查看该工作区是否开启SSO。

      应用账户指定无影云桌面单点登录时,使用IDaaS账户信息作为应用身份标识,按需选择即可。
      授权范围被授权方将可以访问无影云桌面,按需选择即可。
    3. 单击保存
  5. 应用配置信息面板中找到SAML 元数据文件并单击其后的下载下载元数据文件。
  6. 在无影云桌面控制台上传元数据文件。
    1. 无影云桌面控制台左侧导航栏选择桌面 > 工作区
    2. 工作区页面的右上角,单击管理组织ID
    3. SSO设置详情中找到待配置的IdP ID,单击操作列的查看详情
    4. 编辑IdP面板,单击上传文件,选择上一步下载的元数据文件并上传。
    5. 单击确定
      重要 如果提示配置未完成,单击下载文件即可。
    此时,您可以通过IDaaS用户名访问无影云桌面。