基于SAML实现飞书单点登录无影云电脑

单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。无影云电脑和飞书之间可以基于SAML配置SSO,实现使用飞书扫码登录无影终端的效果,为终端用户免去了记忆用户名和密码的麻烦。本文介绍具体的实现方法。

准备工作

  • 确认飞书版本

    由于本文的实现方法需要用到飞书单点登录应用,所以请确认您的飞书版本为商业专业版或更高版本,否则您将无法使用飞书集成平台创建飞书单点登录应用。关于飞书版本的详细信息,请参见飞书版本对比

  • 获取无影终端

    终端用户必须使用无影终端来访问云电脑,为验证飞书SSO登录效果,请先获取无影终端。如需获取,请前往无影客户端下载页

  • 确保账号同名

    您在飞书单点登录应用中选择的登录帐号类型(邮箱名、手机号或工号)必须与无影云电脑便捷账号的用户名保持一致,否则无法登录无影终端。您可以选择根据飞书帐号的相关属性去创建同名的便捷账号,或者根据现有便捷账号去修改飞书帐号的相关属性,总之保持二者一致即可。

引导式教学

请查看以下引导式教学,了解如何快速实现飞书单点登录无影云电脑企业版。为获得最佳体验,请在新窗口中打开查看

步骤一:配置SSO

无影云电脑支持以下两种SSO方案:

  • 方案A:为办公网络配置SSO

    登录无影终端后,可以访问该办公网络下的所有云电脑,不能访问其他办公网络下的云电脑。

  • 方案B:为组织ID配置SSO

    登录无影终端后,可以访问阿里云账号下的所有云电脑,不论云电脑属于哪个办公网络

办公网络配置SSO

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络

  3. 在顶部菜单栏左上角处选择目标地域。

  4. 办公网络上找到需要开启SSO的办公网络,并单击办公网络ID

  5. 办公网络详情页面最底部的其他信息区域,单击右上角的展开,并在应用元数据右侧单击下载应用元数据文件

    用文本编辑器打开下载的元数据文件,并复制Location的值(不含双引号),后续步骤将用到该值。

  6. 登录飞书集成平台单点登录管理页面,单击新建SSO应用。在弹出的对话框中搜索无影,然后单击阿里云无影卡片。

  7. 基本配置页签上输入飞书SSO应用的应用名称应用描述,选中已阅读并同意《单点登录数据处理协议》,然后单击新建应用

  8. 登录配置页签的单点登录URL文本框中粘贴此前复制的Location的值(不含双引号),选择一种登录帐号类型,然后单击保存并启用

    说明

    您可以选择用邮箱名、手机号或工号作为登录帐号类型,用于对应无影便捷账号的用户名。

  9. 登录配置页签右下角单击下载元数据文档,以获取飞书的SAML元数据。

  10. 回到办公网络详情页面最底部的其他信息区域,单击IdP元数据右侧的上传文件,并上传从飞书获取的SAML元数据文件,然后打开SSO设置开关。

为组织ID配置SSO

  1. 登录飞书集成平台单点登录管理页面,单击新建SSO应用。在弹出的对话框中搜索无影,然后单击阿里云无影卡片。

  2. 基本配置页签上输入飞书SSO应用的应用名称应用描述,选中已阅读并同意《单点登录数据处理协议》,然后单击新建应用

  3. 登录配置页签右下角单击下载元数据文档,以获取飞书的SAML元数据。

  4. 登录无影云电脑企业版控制台

  5. 在左侧导航栏,选择用户管理 > 用户与组织,并在用户与组织页面上单击企业身份源页签。

  6. 企业身份源页面上,根据您的情况执行以下操作之一:

    • 若此前从未添加过任何企业身份源,则直接单击页面上的SAML卡片。

    • 若此前已添加过企业身份源,则单击页面左上角的新增企业身份源,并在新增企业身份源面板上单击SAML卡片。

  7. 新增企业身份源面板上填写以下配置信息,并单击确定

    配置项

    描述

    示例值

    企业身份源名称

    用于识别企业IdP的名称。

    飞书

    企业身份源类型

    选择SAML

    SAML

    IdP元数据

    单击上传文件,上传企业IdP提供的元数据文件。

    飞书SAML元数据文档

    账号类型

    选择便捷账号,用于映射飞书帐号。

    便捷账号

  8. 企业身份源页面上找到刚才添加的企业身份源,在操作列单击编辑

  9. 编辑企业身份源面板上单击应用元数据下方的下载文件,以获取无影云电脑的应用元数据文件。

    用文本编辑器打开下载的元数据文件,并复制Location的值(不含双引号),后续步骤将用到该值。

  10. 回到飞书单点登录应用的登录配置页签,在单点登录URL文本框中粘贴此前复制的Location的值(不含双引号),选择一种登录帐号类型,然后单击保存并启用

    说明

    您可以选择用邮箱名、手机号或工号作为登录帐号类型,用于对应无影便捷账号的用户名。

步骤二:创建同名便捷账号

除了配置SSO,您还需要在无影云电脑企业版控制台创建与飞书帐号同名的便捷账号。

重要

请根据您在飞书单点登录应用中配置的登录帐号类型来决定便捷账号的用户名。例如,如果您选择的是邮箱名,则必须将邮箱名作为便捷账号的用户名。

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择用户管理 > 用户与组织

  3. 用户与组织页面的用户页签上单击创建用户,然后按需选择以下一种方式创建便捷账号。

    手动创建

    1. 单击手动录入页签。

    2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

    3. 根据账号类型填写相应的账号信息。

      重要

      邮箱或手机号码用于终端用户接收云电脑分配信息、登录信息、初始密码或重置密码等通知,请务必填写正确的联系信息,邮箱或手机号码至少填写一项。

      • 用户激活:填写用户名、邮箱或手机号码。

      • 管理员激活:填写用户名和用户密码。

    4. (可选)按需填写账号的补充信息。

    5. (可选)按需选择账号所属的组织节点。

      您可以在此选择,也可以在创建便捷账号之后按需为其添加组织。

    6. (可选)新建的便捷账号默认开通本地管理员权限。如果不赋予该权限,请选择

      说明

      获得本地管理员权限的用户账号可以在云电脑中自行安装软件,或者修改某些系统设置。

    7. (可选)账号的密码有效期默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。

      说明

      该功能目前处于邀测中,如需体验,请提交工单申请开通。

    8. (条件)如果是管理员激活的便捷账号,可按需选择账号锁定时间。

      便捷账号锁定后,终端用户无法使用该便捷账号登录无影终端

    批量创建

    1. 单击批量录入页签。

    2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

    3. (可选)账号的密码有效期默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。

      说明

      该功能目前处于邀测中,如需体验,请提交工单申请开通。

    4. 选择以下一种方式制作用户信息文件。

      • 单击下载模板,下载并打开模板,按照格式录入用户信息后保存。

        说明
        • 如果是用户激活,录入用户信息时,第一列Username是用户名,第二列Email是用户邮箱,均为必填项。

        • 如果是管理员激活,录入用户信息时,第一列Username是用户名,第四列Password是密码,均为必填项。

      • 使用Excel录入用户信息,然后另存为CSV文件。

    5. 单击选择文件,选择已录入用户信息的文件并按照提示完成操作,系统将自动导入文件中的用户信息。

      导入完成后,创建用户面板提示创建成功,此时单击查看账号,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。

  4. 单击关闭

    创建完成后 ,您可以在用户页签查看到相应的便捷账号信息,且用户的状态为正常

    说明

    成功创建便捷账号后,系统不会发送通知。只有为便捷账号分配云电脑或云电脑池后,才会向相应联系方式发送通知。

说明

创建便捷账号后,请为便捷账号分配云电脑,否则当终端用户使用飞书扫码登录无影终端后,将会看不到任何可用的云电脑。具体操作,请参见将云电脑分配给用户

步骤三:验证飞书SSO登录效果

配置SSO并且创建同名便捷账号之后,飞书组织内的账号就可以实现单点登录无影终端了。

说明

本文以Windows客户端7.2.2版为例。

  1. 打开Windows客户端,在顶部选择企业版,在底部选中我已阅读并同意《隐私政策》,并输入已配置SSO的办公网络ID或组织ID,然后单击图标。pg_enter_orgid_or_networkid.png

  2. (条件)如果您输入的是组织 ID,则需要选择一种企业身份源。此处选择之前添加的飞书企业身份源,并单击图标。

    pg_client_signin_orgid_step2.png

  3. 在飞书SSO登录界面上,用飞书移动端扫码,并在移动端上确认登录。

    说明

    请确保使用在飞书组织内的飞书帐号扫码。

    pg_client_signin_office_network_step2.png

    登录成功,已分配给当前便捷账号的云电脑将显示在云资源列表界面上。

    pg_client_signin_office_network_step4.png