通过LDAP实现SSO

使用限制

开始执行下文操作前您需要仔细阅读以下限制信息：

• 仅组织ID支持基于LDAP的SSO功能。工作区维度不支持通过LDAP的SSO功能。
• 仅Windows客户端6.2.0及以上版本支持通过LDAP实现SSO。

配置流程

通过LDAP实现SSO的相关配置主要包括以下四个流程。

步骤一：在组织ID开启SSO

下文介绍如何在组织ID中开启SSO的相关操作。

1. 登录无影云桌面控制台。
2. 在左侧导航栏，选择桌面 > 工作区。
3. 在工作区页面的右上角，单击管理组织ID。
4. 在管理组织ID页面，找到SSO设置，然后选择开启。
5. 可选：根据需要选择开启或关闭无影账号认证。
   如果选择开启无影账号认证，在登录无影云桌面客户端时，可以选择无影账号认证，此时仅在云桌面服务验证用户。如果关闭，在登录无影客户端时将不支持该选项。

步骤二：创建基于LDAP的IdP

下文为您介绍如何创建基于LDAP的IdP。

1. 在SSO设置详情面板，单击新增IdP。
2. 在新增IdP面板，设置以下配置项的参数。输入IdP名称并在SSO协议中选择LDAP。

   配置项	说明	示例
   请输入IdP名称	按需输入IdP名称。登录无影云桌面客户端时将展示该名称。	LDAP协议的IdP
   SSO协议	实现SSO时采用哪种协议。支持SAML和LDAP协议。	LDAP
   IdP类型	IdP的类型，支持OPENLDAP。	OPENLDAP
   服务器类型	LDAP所在的服务器地址，支持ldaps或ldap。 如果选择ldap建议您开启StartTLS（在LDAP中配置证书即可使用，更多信息请参见证书验证），开启StartTLS可以有效提高数据传输的安全性。 说明 ldaps一般使用636端口。 StartTLS和ldap一般使用389端口。	ldaps://127.0.0.1:636
   BASE DN	Base DN是LDAP中某个节点的路径标识，默认为根节点。 DN的格式为：ou=某组织,dc=example,dc=com。 根节点的DN一般为dc=example,dc=com（即您的域）。	dc=example,dc=com
   管理员DN	无影云桌面使用该LDAP管理员账户读取LDAP信息来完成数据同步或委托认证，该账户需要至少拥有读取权限，且该管理员需使用DN格式。	cn=admin,cn=User,dc=example,dc=com
   管理员密码	管理员DN的密码。	Ytest001
   证书验证	通过录入LDAP的证书指纹，建立无影云桌面对LDAP的信任关系，避免LDAP被劫持或伪造。 如果服务器类型选择为ldap且开启StartTLS，或者ldaps您需要校验LDAP证书。 通过证书指纹验证 单击一键获取，系统自动输入证书。 不验证 不对LDAP证书进行合法性校验，理论上存在安全风险。	34fd9df0de731df621e48763fa1b5cd7a3f50e5a2050df1dee059c849e4b****
   用户登录标识（选填）	使用LDAP用户登录无影云桌面的客户端时，您可以配置特定属性作为用户登录标识，无影云桌面将根据这些属性在LDAP中查询用户标识并匹配密码，密码正确则允许用户登录客户端。 说明 当使用半角逗号（,）对多个属性进行分割时，为或关系。即您可以使用任一属性登录。 请确保多个属性对应同一个LDAP用户，否则将无法登录。默认登录名属性名称为cn。	cn,mail
   用户ObjectClass（选填）	LDAP中的ObjectClass是attribute的集合。通过ObjectClass可以定义哪种类型的对象是用户，例如将查询结果中ObjectClass=user的对象视作用户。默认用户ObjectClass为posixAcccount,inetOrgPerson,top。 说明 当使用半角逗号（,）对ObjectClass进行分割，为且关系。	posixAccount,inetOrgPerson,top

3. 单击确定。

步骤三：创建与LDAP账户同名的用户

创建了基于LDAP的IdP后还不支持通过LDAP实现SSO，还需要LDAP账户和无影云桌面之间建立信任关系，此时您需要在无影云桌面创建与LDAP账户同名的用户。下文为您介绍具体的操作步骤。

1. 登录无影云桌面控制台。
2. 在左侧导航栏，单击用户。
3. 在用户管理页面，选择用户 > 创建用户。
4. 在创建用户页签，选择以下一种方式创建与LDAP账户中同名的用户名信息。
   • 手动录入
     1. 选择手动录入页签。
     2. 根据需要选择用户激活或管理员激活。
     3. 填写与LDAP账户中同名的用户名信息，然后单击创建用户。

        在此需要确保输入的用户名与LDAP账户的用户名一致，密码不做要求，您可以按需重新设置。

     4. 可选：重复上一步可继续创建用户。
   • 批量录入
     1. 选择批量录入页签。
     2. 根据需要选择用户激活或管理员激活。
     3. 选择以下一种方式准备用户信息文件。
        • 单击下载模板，然后打开下载的模板，按照格式录入与LDAP账户中同名的用户名信息并保存。
        • 使用Excel录入与LDAP账户中同名的用户名信息，然后另存为CSV文件。
        说明

        • 如果是用户激活，录入用户信息时，第一列为用户名，第二列为用户邮箱，且为必填项。
        • 如果是管理员激活，录入用户信息时，第一列为用户名，第四列为密码，且为必填项。此处输入的密码不同于LDAP的密码，这是云桌面用户的密码，您可以按照页面提示输入任何符号要求的密码。
     4. 单击选择文件，选择已录入用户信息的CSV文件。

        系统将自动导入文件中的用户信息。导入完成后，可以查看各个用户数据的导入情况。如果导入失败，请检查文件中的用户信息是否符合格式要求。

5. 单击关闭。
   创建完成后 ，您可以在用户管理页面查看到相应的用户信息，且用户的状态为正常。

步骤四：通过LDAP登录客户端

您可以通过LDAP快速登录客户端，连接并使用云桌面。下文以Windows客户端为例介绍相关步骤，业务中请以实际情况为准。

1. 下载并安装Windows客户端。
   下载Windows客户端地址：客户端下载页。
2. 根据邮件或短信通知获取客户端所需信息（组织ID、密码或网络接入方式等）。
3. 双击图标，打开云桌面的客户端。
4. 输入组织ID，然后单击。
5. 在选择账号类型下单击下拉框，选择步骤二中基于LDAP的IdP名称，然后单击。
   如果您在组织ID中开启SSO的时候，同时开启了无影账号认证，您也可以选择无影便捷账号登录。
6. 输入用户名和密码，然后单击。
   如果上一步选择的账号类型为基于LDAP的IdP名称，则需要输入LDAP账户的用户名和密码；如果选择的账号类型为无影便捷账号，则需要输入在无影云桌面创建的用户名和密码。