单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。无影云电脑和飞书之间可以基于SAML配置SSO,实现使用飞书扫码登录无影终端的效果,为终端用户免去了记忆用户名和密码的麻烦。本文介绍具体的实现方法。
准备工作
引导式教学
请查看以下引导式教学,了解如何快速实现飞书单点登录无影云电脑企业版。为获得最佳体验,请在新窗口中打开查看。
步骤一:配置SSO
无影云电脑支持以下两种SSO方案:
方案A:为办公网络配置SSO
登录无影终端后,可以访问该办公网络下的所有云电脑,不能访问其他办公网络下的云电脑。
方案B:为组织ID配置SSO
登录无影终端后,可以访问阿里云账号下的所有云电脑,不论云电脑属于哪个办公网络。
为办公网络配置SSO
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在顶部菜单栏左上角处选择目标地域。
在办公网络上找到需要开启SSO的办公网络,并单击办公网络ID。
在办公网络详情页面最底部的其他信息区域,单击右上角的展开,并在应用元数据右侧单击下载应用元数据文件。
用文本编辑器打开下载的元数据文件,并复制
Location的值(不含双引号),后续步骤将用到该值。登录飞书集成平台单点登录管理页面,单击新建SSO应用。在弹出的对话框中搜索无影,然后单击阿里云无影卡片。
在基本配置页签上输入飞书SSO应用的应用名称和应用描述,选中已阅读并同意《单点登录数据处理协议》,然后单击新建应用。
在登录配置页签的单点登录URL文本框中粘贴此前复制的
Location的值(不含双引号),选择一种登录帐号类型,然后单击保存并启用。说明您可以选择用邮箱名、手机号或工号作为登录帐号类型,用于对应无影便捷账号的用户名。
在登录配置页签右下角单击下载元数据文档,以获取飞书的SAML元数据。
回到办公网络详情页面最底部的其他信息区域,单击IdP元数据右侧的上传文件,并上传从飞书获取的SAML元数据文件,然后打开SSO设置开关。
为组织ID配置SSO
登录飞书集成平台单点登录管理页面,单击新建SSO应用。在弹出的对话框中搜索无影,然后单击阿里云无影卡片。
在基本配置页签上输入飞书SSO应用的应用名称和应用描述,选中已阅读并同意《单点登录数据处理协议》,然后单击新建应用。
在登录配置页签右下角单击下载元数据文档,以获取飞书的SAML元数据。
登录无影云电脑企业版控制台。
在左侧导航栏,选择,并在用户与组织页面上单击企业身份源页签。
在企业身份源页面上,根据您的情况执行以下操作之一:
若此前从未添加过任何企业身份源,则直接单击页面上的SAML卡片。
若此前已添加过企业身份源,则单击页面左上角的新增企业身份源,并在新增企业身份源面板上单击SAML卡片。
在新增企业身份源面板上填写以下配置信息,并单击确定。
配置项
描述
示例值
企业身份源名称
用于识别企业IdP的名称。
飞书
企业身份源类型
选择SAML。
SAML
IdP元数据
单击上传文件,上传企业IdP提供的元数据文件。
飞书SAML元数据文档
账号类型
选择便捷账号,用于映射飞书帐号。
便捷账号
在企业身份源页面上找到刚才添加的企业身份源,在操作列单击编辑。
在编辑企业身份源面板上单击应用元数据下方的下载文件,以获取无影云电脑的应用元数据文件。
用文本编辑器打开下载的元数据文件,并复制
Location的值(不含双引号),后续步骤将用到该值。回到飞书单点登录应用的登录配置页签,在单点登录URL文本框中粘贴此前复制的
Location的值(不含双引号),选择一种登录帐号类型,然后单击保存并启用。说明您可以选择用邮箱名、手机号或工号作为登录帐号类型,用于对应无影便捷账号的用户名。
步骤二:创建同名便捷账号
除了配置SSO,您还需要在无影云电脑企业版控制台创建与飞书帐号同名的便捷账号。
请根据您在飞书单点登录应用中配置的登录帐号类型来决定便捷账号的用户名。例如,如果您选择的是邮箱名,则必须将邮箱名作为便捷账号的用户名。
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在用户与组织页面的用户页签上单击创建用户,然后按需选择以下一种方式创建便捷账号。
手动创建
单击手动录入页签,完成以下配置,并单击创建用户。
配置项
是否必填
说明
用户类型
是
便捷账号的类型,包括用户激活和管理员激活两种。
用户名称
是
用于登录无影终端的用户名。长度3~25个字符,必须以小写字母或数字开头。可包括:小写字母、数字、短划线(-)、下划线(_)、点号(.)。用户名称不能仅含数字,不能使用操作系统预留的内置账号名称,详细信息,请参见便捷用户名称规范。
显示名
否
用于辨识的显示名,终端用户不会看到该名称。
联系方式
是
邮箱或手机号码用于接收云电脑分配信息、登录信息、初始密码或重置密码等通知,请务必填写正确的联系信息,邮箱或手机号码至少填写一项。
所属组织
否
按需选择账号所属的组织结构。您可以在此选择,也可以在创建便捷账号之后按需为其添加组织。
用户密码
是
若为管理员激活类型的用户,则必须填写用户密码。用户密码的长度不少于10位,且至少包含以下字符类型中的三类:大写字母,小写字母,数字,特殊符号(除空格外)。
密码有效期
否
密码默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。
账号锁定时间
若为管理员激活类型的用户,则可按需选择账号锁定时间。便捷账号锁定后,终端用户无法使用该便捷账号登录无影终端。
授权本地管理员
否
备注
否
按需填写账号的补充信息。
批量创建
单击批量录入页签,完成以下配置,并单击关闭。
配置项
是否必填
说明
用户类型
是
便捷账号的类型,包括用户激活和管理员激活两种。
密码有效期
否
密码默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。
账号锁定时间
否
若为管理员激活类型的用户,则可按需选择账号锁定时间。便捷账号锁定后,终端用户无法使用该便捷账号登录无影终端。
授权本地管理员
否
新建的便捷账号默认授予本地管理员权限。如果不赋予该权限,请选择不授予。
说明获得本地管理员权限的用户账号可以在云电脑中自行安装软件,或者修改某些系统设置。
添加或取消本地管理员权限的操作,都将在云电脑重启后生效。
上传文件
是
单击下载模板,下载并打开模板,按照格式录入用户信息后保存。
如果是用户激活,录入用户信息时,第一列
Username是用户名,第二列Email是用户邮箱,均为必填项。如果是管理员激活,录入用户信息时,第一列
Username是用户名,第四列Password是密码,均为必填项。如需为新建的便捷账号指定所属组织结构,可以在模板的最后一列
OrgId中填写目标组织结构ID。如需查询OrgId,请将鼠标光标悬停在组织结构上,并在气泡中查看。
单击上传本地文件,选择已录入用户信息的模板文件并按照提示完成操作,系统将自动导入文件中的用户信息。
导入完成后,创建用户面板提示创建成功,此时单击查看账号,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。
单击关闭。
创建完成后 ,您可以在用户页签查看到相应的便捷账号信息,且用户的状态为正常。
说明成功创建便捷账号后,系统不会发送通知。只有为便捷账号分配云电脑或多台共享型云电脑后,才会向相应联系方式发送通知。
创建便捷账号后,请为便捷账号分配云电脑,否则当终端用户使用飞书扫码登录无影终端后,将会看不到任何可用的云电脑。具体操作,请参见为云电脑添加用户。
步骤三:验证飞书SSO登录效果
配置SSO并且创建同名便捷账号之后,飞书组织内的账号就可以实现单点登录无影终端了。
本文以Windows客户端7.2.2版为例。
打开Windows客户端,在顶部选择企业版&商业版,在底部选中我已阅读并同意《隐私政策》,并输入已配置SSO的办公网络ID或组织ID,然后单击图标。
(条件)如果您输入的是组织 ID,则需要选择一种企业身份源。此处选择之前添加的飞书企业身份源,并单击图标。
在飞书SSO登录界面上,用飞书移动端扫码,并在移动端上确认登录。
说明请确保使用在飞书组织内的飞书帐号扫码。
登录成功,已分配给当前便捷账号的云电脑将显示在云资源列表界面上。
