AI 助理
文档备案控制台
官方文档
首页

基于SAML实现飞书单点登录无影云电脑

更新时间:
复制 MD 格式
产品详情
我的收藏

单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。无影云电脑和飞书之间可以基于SAML配置SSO,实现使用飞书扫码登录无影终端的效果,为终端用户免去了记忆用户名和密码的麻烦。本文介绍具体的实现方法。

准备工作

  • 确认飞书版本

    由于本文的实现方法需要用到飞书单点登录应用,所以请确认您的飞书版本为商业专业版或更高版本,否则您将无法使用飞书集成平台创建飞书单点登录应用。关于飞书版本的详细信息,请参见飞书版本对比

  • 获取无影终端

    终端用户必须使用无影终端来访问云电脑,为验证飞书SSO登录效果,请先获取无影终端。如需获取,请前往无影客户端下载页

引导式教学

请查看以下引导式教学,了解如何快速实现飞书单点登录无影云电脑企业版。为获得最佳体验,请在新窗口中打开查看

账号同步

手动创建账号

说明

在飞书单点登录应用中选择的登录账号类型(邮箱名、手机号或工号)必须与无影云电脑便捷账号的用户名保持一致,否则无法登录无影终端。可以选账号据飞书帐号的相关属性去创建同名的便捷账号,或者根据现有便捷账号修改飞书帐号的相关属性。

配置SSO

无影云电脑支持以下两种SSO方案:

  • 方案A:为办公网络配置SSO

    登录无影终端后,可以访问该办公网络下的所有云电脑,不能访问其他办公网络下的云电脑。

  • 方案B:为组织ID配置SSO

    登录无影终端后,可以访问阿里云账号下的所有云电脑,不论云电脑属于哪个办公网络

办公网络配置SSO

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络

  3. 在顶部菜单栏左上角处选择目标地域。

  4. 办公网络上找到需要开启SSO办公网络,并单击办公网络ID

  5. 办公网络详情页面最底部的其他信息区域,单击右上角的展开,并在应用元数据右侧单击下载应用元数据文件

    用文本编辑器打开下载的元数据文件,并复制Location的值(不含双引号),后续步骤将用到该值。

  6. 登录飞书集成平台单点登录管理页面,单击新建SSO应用。在弹出的对话框中搜索无影,然后单击阿里云无影卡片。

  7. 基本配置页签上输入飞书SSO应用的应用名称应用描述,选中已阅读并同意《单点登录数据处理协议》,然后单击新建应用

  8. 登录配置页签的单点登录URL文本框中粘贴此前复制的Location的值(不含双引号),选择一种登录账号类型,然后单击保存并启用

    说明

    您可以选择用邮箱名、手机号或工号作为登录账号类型,用于对应无影便捷账号的用户名。

  9. 登录配置页签右下角单击下载元数据文档,以获取飞书的SAML元数据。

  10. 回到办公网络详情页面最底部的其他信息区域,单击IdP元数据右侧的上传文件,并上传从飞书获取的SAML元数据文件,然后打开SSO设置开关。

为组织ID配置SSO

  1. 登录飞书集成平台单点登录管理页面,单击新建SSO应用。在弹出的对话框中搜索无影,然后单击阿里云无影卡片。

  2. 基本配置页签上输入飞书SSO应用的应用名称应用描述,选中已阅读并同意《单点登录数据处理协议》,然后单击新建应用

  3. 登录配置页签右下角单击下载元数据文档,以获取飞书的SAML元数据。

  4. 登录无影云电脑企业版控制台

  5. 在左侧导航栏,选择用户管理 > 用户与组织,并在用户与组织页面上单击企业身份源页签。

  6. 企业身份源页面上,根据您的情况执行以下操作之一:

    • 若此前从未添加过任何企业身份源,则直接单击页面上的SAML卡片。

    • 若此前已添加过企业身份源,则单击页面左上角的新增企业身份源,并在新增企业身份源面板上单击SAML卡片。

  7. 新增企业身份源面板上填写以下配置信息,并单击确定

    配置项

    描述

    示例值

    企业身份源名称

    用于识别企业IdP的名称。

    飞书

    企业身份源类型

    选择SAML

    SAML

    IdP元数据

    单击上传文件,上传企业IdP提供的元数据文件。

    飞书SAML元数据文档

    账号类型

    选择便捷账号,用于映射飞书账号。

    便捷账号

  8. 企业身份源页面上找到刚才添加的企业身份源,在操作列单击编辑

  9. 编辑企业身份源面板上单击应用元数据下方的下载文件,以获取无影云电脑的应用元数据文件。

    用文本编辑器打开下载的元数据文件,并复制Location的值(不含双引号),后续步骤将用到该值。

  10. 返回飞书单点登录应用的登录配置页签,在单点登录URL文本框中粘贴此前复制的Location的值(不含双引号),选择一种登录账号类型,然后单击保存并启用

    说明

    可以选择使用邮箱名、手机号或工号作为登录账号类型,用于对应无影便捷账号的用户名。

创建同名便捷账号

完成配置SSO后,还需要在无影云电脑企业版控制台创建与飞书帐号同名的便捷账号。

重要

根据在飞书单点登录应用中配置的登录账号类型来决定便捷账号的用户名。例如,如果选择的是邮箱名,则必须将邮箱名作为便捷账号的用户名。

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择用户中心>用户管理

  3. 用户管理页面的用户页签上单击创建用户,然后按需选择以下一种方式创建便捷账号。

    手动录入

    单击手动录入页签,完成以下配置,并单击手动录入

    配置项

    是否必填

    说明

    用户类型

    便捷账号的类型,包括用户激活管理员激活两种。

    用户名称

    用于登录无影终端的用户名。长度3~25个字符,必须以小写字母或数字开头。可包括:小写字母、数字、短划线(-)、下划线(_)。用户名称不能仅含数字,不能使用操作系统预留的内置账号名称,详细信息,请参见便捷用户名称规范

    显示名

    用于辨识的显示名,终端用户不会看到该名称。

    联系方式

    邮箱或手机号码用于接收云电脑分配信息、登录信息、初始密码或重置密码等通知,请务必填写正确的联系信息,邮箱或手机号码至少填写一项。

    所属组织

    实际业务关系(如公司架构),一个用户仅属于一个组织。组织为树状结构。

    可在创建时选择,也可在创建后按需为用户添加组织。

    所属用户组

    多个用户的集合,一个用户可属于多个用户组,一个用户组下可包含来自不同组织的用户。用户组无层级结构。

    可使用用户组实现多台共享型云电脑、云浏览器、云应用的快速批量授权,并对不同用户组设置不同登录策略和文件审批权限,实现用户权益的精细化管理。

    用户密码

    若为管理员激活类型的用户,则必须填写用户密码。用户密码的长度不少于10位,且至少包含以下字符类型中的三类:大写字母,小写字母,数字,特殊符号(除空格外)。

    密码有效期

    密码默认为永久有效。您也可以输入7~365天的有效期。当密码到期后,必须先修改密码才能继续登录。

    账号锁定时间

    若为管理员激活类型的用户,则可按需选择账号锁定时间。账号锁定后,终端用户无法使用该便捷账号登录无影终端

    授权本地管理员

    新建的便捷账号默认授予授权本地管理员权限。

    说明

    • 获得本地管理员权限的用户账号可以在云电脑中自行安装软件,或者修改某些系统设置。

    • 添加或取消本地管理员权限的操作,都将在云电脑重启后生效。

    备注

    按需填写账号的补充信息。

    批量录入

    单击批量录入页签,完成以下配置,并单击关闭

    配置项

    是否必填

    说明

    用户类型

    便捷账号的类型,包括用户激活管理员激活两种。

    密码有效期

    密码默认为永久有效。您也可以输入7~365天的有效期。当密码到期后,必须先修改密码才能继续登录。

    账号锁定时间

    若为管理员激活类型的用户,则可按需选择账号锁定时间。账号锁定后,终端用户无法使用该便捷账号登录无影终端

    授权本地管理员

    新建的便捷账号默认授予授权本地管理员权限。

    说明

    • 获得本地管理员权限的用户账号可以在云电脑中自行安装软件,或者修改某些系统设置。

    • 添加或取消本地管理员权限的操作,都将在云电脑重启后生效。

    上传文件

    1. 单击下载模板,下载并打开模板,按照格式录入用户信息后保存。

      • 如果是用户激活,录入用户信息时,第一列Username是用户名,第二列Email是用户邮箱,均为必填项。

      • 如果是管理员激活,录入用户信息时,第一列Username是用户名,第四列Password是密码,均为必填项。

      • 如需为新建的便捷账号指定所属组织结构,可以在模板的最后一列OrgId中填写目标组织结构ID。如需查询OrgId,请将鼠标光标悬停在组织结构上,并在气泡中查看。

    2. 单击上传本地文件,选择已录入用户信息的模板文件并按照提示完成操作,系统将自动导入文件中的用户信息。

      导入完成后,创建用户面板提示创建成功,此时单击查看账号,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。

    说明

    成功创建便捷账号后,系统不会发送通知。只有为便捷账号分配云电脑或多台共享型云电脑后,才会向相应联系方式发送通知。

说明

创建便捷账号后,需要为便捷账号分配云电脑,否则当终端用户使用飞书扫码登录无影终端后,将看不到任何可用的云电脑。具体操作,请参见为云电脑添加用户

自动同步

创建企业身份源

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏选择用户中心 > 企业身份源

  3. 单击新增企业身份源,选择飞书,输入企业身份源名称,选择账号类型,然后单击确定

  4. 找到创建的企业身份源,单击操作列编辑

  5. 编辑企业身份源页面应用元数据处单击下载文件

创建飞书应用

  1. 登录飞书开放平台,前往开发者后台

  2. 单击创建企业自建应用,输入应用名称应用描述,单击创建

  3. 在左侧导航栏选择权限管理,单击开通权限,搜索并勾选开通以下权限:

    • 获取通讯录基本信息

    • 获取部门基础信息

    • 获取通讯录部门组织架构信息

    • 获取用户基本信息

    • 获取用户组织架构信息

  4. 权限管理页面单击可访问的数据范围右侧配置。在通讯录页签单击配置,选择权限可访问的数据范围,仅范围内的用户与组织会同步至无影。

  5. 在左侧导航栏选择版本管理与发布,单击创建版本

  6. 输入应用版本号与更新说明,单击保存,然后单击确认发布

  7. 在左侧导航栏选择凭证与基础信息,复制App IDApp Secret

配置单点登录

  1. 登录飞书集成平台单点登录管理

  2. 单击新建应用,选择新建自建应用

  3. 应用配置页签,展开更多配置,选择 SAML 2.0 协议

  4. 启用 SAML 2.0 协议,单击上传文件,上传在无影企业身份源中下载的应用元数据文件。

  5. Name ID配置中设置Name ID,选择用户 Union ID,单击保存并启用

  6. 在页面右侧单击下载元数据文档

完成配置

  1. 返回无影云电脑企业版控制台

  2. 单击目标企业身份源操作列的编辑编辑

  3. 启用同步数据,输入在创建飞书应用步骤中复制的App IDApp Secret

  4. 单击确定

  5. 单击目标企业身份源操作列的同步数据,然后单击确定

验证飞书SSO登录效果

配置SSO并且创建同名便捷账号之后,飞书组织内的账号就可以实现单点登录无影终端了。

说明

本文以Windows客户端7.2.2版为例。

  1. 打开Windows客户端,在顶部选择企业版&商业版,在底部选中我已阅读并同意《隐私政策》,并输入已配置SSO办公网络ID或组织ID,然后单击 图标。

  2. (条件)如果您输入的是组织 ID,则需要选择一种企业身份源。此处选择之前添加的飞书企业身份源,并单击 图标。

  3. 在飞书SSO登录界面上,用飞书移动端扫码,并在移动端上确认登录。

    说明

    请确保使用在飞书组织内的飞书账号扫码。

    登录成功,已分配给当前便捷账号的云电脑将显示在云资源列表界面上。

上一篇:Azure AD和无影云电脑实现SSO的示例下一篇:AD FS和无影云电脑实现SSO的示例