文档

通过IDaaS用户和便捷账号实现SSO

更新时间:

让阿里云应用身份服务(IDaaS)无影云电脑基于SAML协议来交换元数据文件即可实现SSO,从而让终端用户使用IDaaS的访问凭据来安全地登录无影终端。本文介绍具体的实现方法。

背景信息

应用身份服务(IDaaS)(Identity as a Service)是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。详细信息,请参见什么是IDaaS EIAM?

本文以阿里云应用身份服务(IDaaS)(Identity as a Service)为例,介绍如何为便捷办公网络或组织ID配置SSO,实际业务中您可以根据实际使用的身份提供商IdP配置基于SAML的SSO。

办公网络配置SSO

步骤一:开启办公网络SSO功能

您可以按照以下步骤为目标办公网络开启SSO功能。

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络

  3. 在顶部菜单栏左上角处选择目标地域。

  4. 办公网络页面上找到目标办公网络,单击办公网络ID

  5. 办公网络详情页面最底部的其他信息区域打开SSO设置开关。

    说明

    SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。对于组织ID,上述三者之间没有互斥关系,可以同时开启。

步骤二:在IDaaS控制台将无影云电脑配置为可信SP

  1. 登录阿里云IDaaS控制台。

  2. EIAM云身份服务页面的IDaaS页签上创建IDaaS实例。具体操作,请参见免费开通实例

  3. 创建账户。具体操作,请参见创建账户

    说明

    在IDaaS控制台创建的账户名称必须与无影云电脑的便捷账号的用户名保持一致。

  4. 单击创建好的IDaaS实例ID,然后在云身份服务控制台上添加阿里云-无影应用。

    1. 在左侧导航栏单击应用

    2. 应用页面单击添加应用

    3. 应用市场页签的搜索框输入无影

    4. 阿里云-无影卡片上单击添加应用

    5. 在确认对话框中单击立即添加

      应用页面,若应用状态为已启用,则说明添加应用成功。

  5. 开启IDaaS的单点登录。

    1. 应用页面上找到已创建的应用,并在操作列单击管理

    2. 在应用详情页面,选择登录访问 > 单点登录

    3. 打开单点登录配置的开关,使其状态变为已启用

  6. 阿里云-无影配置为可信的SP。

    1. 输入步骤一中使用的办公网络ID

    2. 按需选择应用账户。例如选择IDaaS账户。

      说明
      • 默认使用IDaaS账户名作为应用登录标识。

      • 如果选择应用账户,应用账户的账户名必须和IDaaS登录账户名保持一致,才能完成 SSO。具体操作,请参见SAML应用账户配置

    3. 按需选择授权范围。例如选择全员可访问

      说明

      如果需要指定的IDaaS账户名才能访问应用,可选择手动授权。选择手动授权后,需要添加应用授权。具体操作,请参见应用授权

    4. 单击保存

  7. 应用配置信息区域的IdP 元数据右侧单击下载,获取SAML元数据文件。

步骤三:在无影云电脑控制台将IDaaS配置为可信IdP

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络

  3. 在顶部菜单栏左上角处选择目标地域。

  4. 办公网络页面上找到需要开启SSO的办公网络,并单击办公网络ID

  5. 办公网络详情页面最底部的其他信息区域,单击右上角的展开,然后打开SSO设置开关。

  6. IdP元数据右侧单击上传文件,并上传此前步骤获取的SAML元数据文件。

为组织ID配置SSO

下文基于IDaaS的EIAM管理用户账号为例介绍如何为组织ID配置SSO。

步骤一:添加SAML应用并获取SAML元数据文件

  1. 登录阿里云IDaaS控制台。

  2. EIAM云身份服务页面的IDaaS页签上创建IDaaS实例。具体操作,请参见免费开通实例

  3. 创建账户。具体操作,请参见创建账户

    说明

    在IDaaS控制台创建的账户名称必须与无影云电脑的便捷账号的用户名保持一致。

  4. 添加SAML的应用。

    1. 在左侧导航栏单击应用

    2. 应用页面单击添加应用

    3. 标准协议页签上的SAML 2.0卡片上单击添加应用

      重要

      IDaaS企业版可添加标准协议的应用,如果您是IDaaS免费版实例,可以按照界面提示升级至企业版。具体操作,请参见实例管理。使用IDaaS企业版会收费,关于计费详情,请参见产品计费

    4. 在弹出的对话框中,填写应用名称,然后单击立即添加

      应用页面,若应用状态为已启用,则说明添加应用成功。

  5. 获取SAML元数据文件。

    1. 应用页面上找到已创建的应用,并在操作列单击管理

    2. 在应用详情页面,选择登录访问 > 单点登录

    3. 应用配置信息区域的IdP 元数据右侧单击下载,获取SAML元数据文件。

步骤二:在无影云电脑控制台将IDaaS配置为可信IdP

  1. 在左侧导航栏,选择用户管理 > 用户与组织,并在用户与组织页面上单击企业身份源页签。

  2. 企业身份源页面上,根据您的情况执行以下操作之一:

    • 若此前从未添加过任何企业身份源,则直接单击页面上的SAML卡片。

    • 若此前已添加过企业身份源,则单击页面左上角的新增企业身份源,并在新增企业身份源面板上单击SAML卡片。

  3. 新增企业身份源面板上填写以下配置信息,并单击确定

    配置项

    描述

    企业身份源名称

    用于识别企业IdP的名称。

    企业身份源类型

    选择SAML

    IdP元数据

    单击上传文件,上传企业IdP提供的元数据文件。

    账号类型

    支持便捷账号和企业AD账号。如果选择企业AD账号,还需要选择AD域名称。

  4. 企业身份源页面上找到目标企业身份源,并在操作列单击编辑

  5. 编辑企业身份源面板的应用元数据下方单击下载文件

步骤三:在IDaaS控制台将无影云电脑配置为可信SP

  1. 在阿里云IDaaS控制台的应用页面,找到步骤一创建的SAML应用,并在操作列单击管理

  2. 在应用详情页面,单击上传应用metadata,然后选择步骤二下载的应用元数据文件。

    上传应用metadata右侧的输入框中已自动填入地址,则说明上传成功。

  3. 上传应用metadata右侧单击解析

    单点登录地址应用唯一标识自动填写地址,则说明解析成功。关于单点登录配置字段的相关说明,请参见SAML 2.0 SSO配置

  4. 选择应用账号和授权范围。例如选择IDaaS账户和全员可访问。

    说明

    关于应用账户的更多信息,请参见SAML应用账户配置

  5. 单击保存

创建与企业IdP相匹配的用户

无影云电脑侧创建与企业IdP匹配的用户。具体操作,请参见创建便捷账号创建AD账号

说明

创建用户时,您可以自行设置用户密码,用户密码无需和企业IdP已知用户名的密码保持一致。

后续步骤

配置完SSO后,终端用户可以通过验证IDaaS的身份信息登录无影终端。

说明

下文以Windows客户端7.2.2版为例。

  1. 打开Windows客户端,在顶部选择企业版,在底部选中同意协议的复选框,并输入登录凭证中的组织ID或办公网络ID,然后单击图标。pg_enter_orgid_or_networkid.png

  2. 阿里云IDaaS页面,输入IDaaS的账户名、手机号码或邮箱,再输入密码,然后单击登录

  3. (条件)如果阿里云IDaaS控制台开启了二次认证配置,登录时需要按照界面提示进行二次认证。

    1. 选择二次认证的方式。

    2. 根据二次认证通知方式获取验证码,并正确填写验证码,然后单击确定

登录成功后,您可以在客户端的云资源列表界面找到目标云电脑卡片,在卡片上单击开机连接云电脑即可。

相关文档