配置基于LDAP的SSO登录

如果您需要通过LDAP账户快速登录无影终端并连接云电脑,可以参考本文操作。文本介绍如何在无影云电脑控制台配置基于LDAP的SSO登录。

使用限制

仅组织ID支持基于LDAP的SSO,办公网络不支持基于LDAP的SSO。

前提条件

已搭建并完成LDAP服务器配置。

步骤一:创建基于LDAP的企业身份源

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择用户管理 > 用户与组织,并在用户与组织页面上单击企业身份源页签。

  3. 企业身份源页面,单击LDAP

    如果不是首次配置SSO,您需要先单击新增企业身份源,再选择LDAP。

  4. 新增企业身份源面板上设置以下配置项的参数,并单击确定

    配置项

    说明

    示例

    企业身份源名称

    输入企业身份源名称。

    LDAP身份源

    企业身份源类型

    选择企业身份源的类型。

    LDAP

    服务器类型

    LDAP所在的服务器地址,支持ldaps://ldap://协议。

    如果选择ldap://,为提高数据传输的安全性,建议您开启StartTLS(在LDAP中配置证书即可使用。详细信息,请参见证书验证)。

    说明
    • ldaps://一般使用636端口。

    • ldap://和StartTLS一般使用389端口。

    ldaps://127.0.0.1:636

    BASE DN

    Base DN是LDAP中某个节点的路径标识,默认为根节点。

    DN的格式为:ou=某组织, dc=example, dc=com。

    根节点的DN一般为dc=example, dc=com(即您的域)。

    dc=example, dc=com

    管理员DN

    无影云电脑使用该LDAP管理员账户读取LDAP信息来完成数据同步或委托认证,该账户需要至少拥有读权限,且该管理员需使用DN格式。

    cn=admin, cn=User, dc=example, dc=com

    管理员密码

    管理员DN的密码。

    Ytest001

    证书验证

    服务器类型ldap://且开启StartTLS时,或者服务器类型ldaps://时,建议您校验LDAP证书,通过录入LDAP的证书指纹,建立无影云电脑对LDAP的信任关系,避免LDAP被劫持或伪造。如果不对LDAP证书进行合法性校验,理论上存在安全风险。

    校验方法如下:

    1. 证书验证区域选择通过证书指纹验证

    2. 单击一键获取,即可自动输入证书。

      说明

      如果出现报错,请检查LDAP服务器配置是否正确。

    34fd9df0de731df621e48763fa1b5cd7a3f50e5a2050df1dee059c849e4b****

    用户登录标识(选填)

    使用LDAP服务器的用户登录无影终端时,您可以配置特定属性作为用户登录标识,无影云电脑将根据这些属性在LDAP服务器中查询用户标识并匹配密码,密码正确则允许终端用户登录。

    说明
    • 当使用半角逗号(,)对多个属性进行分隔时,多个属性之间的关系为“或”的关系,表示可以使用任一属性登录。

    • 请确保多个属性对应同一个LDAP用户,否则将无法登录。默认登录名属性名称为cn。

    cn,mail

    用户ObjectClass(选填)

    LDAP的ObjectClass是属性的集合。通过ObjectClass可以定义哪种类型的对象是用户,例如将查询结果中ObjectClass=user的对象视作用户。默认用户ObjectClass为posixAccount,inetOrgPerson,top。

    说明

    当使用半角逗号(,)对ObjectClass进行分隔时,多个属性之间的关系为“且”的关系。

    posixAccount,inetOrgPerson,top

步骤二:创建与LDAP账户同名的用户

创建了基于LDAP的企业身份源之后,还需要在无影云电脑控制台创建与LDAP账户同名的用户,从而在LDAP账户和无影云电脑之间建立信任关系。

  1. 在左侧导航栏,选择用户管理 > 用户与组织

  2. 用户与组织页面的用户页签上单击创建用户

  3. 创建用户面板上,选择一种方式创建与LDAP账户同名的用户信息。

    说明

    请确保输入的用户名与LDAP账户的用户名一致,此时输入的密码不要求和LDAP账户的用户名密码一致,这是云电脑用户的密码,您可按照页面提示输入任何符合要求的密码。

    手动创建

    1. 单击手动录入页签。

    2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

    3. 填写与LDAP账户中同名的用户名信息,然后单击创建用户

      重复上述操作可录入多个用户信息。

    批量创建

    1. 单击批量录入页签。

    2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

    3. 选择以下一种方式制作用户信息文件。

      • 单击下载模板,下载并打开模板,按照格式录入用户信息后保存。

        说明
        • 如果是用户激活,录入用户信息时,第一列Username是用户名,第二列Email是用户邮箱,均为必填项。

        • 如果是管理员激活,录入用户信息时,第一列Username是用户名,第四列Password是密码,均为必填项。

      • 使用Excel录入用户信息,然后另存为CSV文件。

    4. 单击选择文件,选择已录入用户信息的文件并按照提示完成操作,系统将自动导入文件中的用户信息。

      导入完成后,创建用户面板提示创建成功,此时单击查看账号,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。

  4. 单击关闭

    创建完成后 ,您可以在用户页签查看到相应的便捷账号信息,且用户的状态为正常

    说明

    成功创建便捷账号后,系统不会发送通知。只有为便捷账号分配云电脑或云电脑池后,才会向相应联系方式发送通知。

后续步骤

如果您为组织ID配置了基于LDAP的SSO,终端用户登录无影终端时,只有在输入组织ID且LDAP身份验证通过后方可登录成功。

关于终端用户登录无影终端的步骤,请参见终端用户快速入门