如果您的企业使用AD(Active Directory)域服务来管理用户账号信息,则可以将无影云电脑作为服务提供商SP,将AD FS(Active Directory Federation Services)作为身份提供商IdP,让两者基于SAML协议互相交换元数据文件来实现SSO。本文介绍具体的实现方法。
背景信息
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:阿里云应用身份服务 、Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
AD场景下,如果您不想在无影云电脑控制台创建AD办公网络来对接AD(采用该方式时无影云电脑会获取AD信息),也可以通过在无影云电脑控制台创建与AD用户同名的便捷账号来实现SSO。
如果您已对接企业AD并创建AD办公网络,可直接配置AD用户进行SSO。具体操作,请参见AD FS和无影云电脑AD用户实现SSO。
准备工作
在无影云电脑控制台上创建便捷账号时,可以采用以下方法之一:
手动录入:通过手动填写用户信息,逐一创建账号。如果用户数量较少,建议采用此方式。
重要录入用户信息时,输入的便捷账号的用户名必须与AD用户的用户名保持一致(字母不区分大小写)。
批量录入:通过CSV文件导入用户信息,批量创建账号。如果用户数量较多,建议采用此方式。
若采用批量录入的方式,请按照以下步骤准备好符合便捷账号格式要求的CSV文件。
在AD域服务器中,创建包含AD用户信息的CSV文件。
确认已有AD用户信息是否符合要求。
重要AD用户名需符合便捷账号的用户名格式要求,如果不符合要求,您需要先修改,否则无法创建对应的便捷账号。详细信息,请参见便捷用户名称规范。
在PowerShell中执行
Get-ADUser
命令,以导出包含AD用户信息的CSV文件。请根据需要调整命令参数,导出相应的CSV文件。例如:获取所有AD用户信息导出CSV文件并保存到指定路径,可以执行以下命令:
Get-ADUser -filter * |export-csv <文件保存路径> -Encoding utf8
假设保存到
C:\Users
目录,文件命名为test.csv,则命令如下:Get-ADUser -filter * |export-csv C:\Users\test.csv -Encoding utf8
使用电子表格处理软件打开CSV文件,按便捷账号录入文件的格式要求调整用户信息,然后保存。
调整用户信息时,请注意以下事项:
录入文件的格式要求为:
用户激活的便捷账号:第一列为用户名(必填),第二列为邮箱(必填),第三列为手机号(可选)。
管理员激活的便捷账号:第一列为用户名(必填),第二列为邮箱(可选),第三列为手机号(可选),第四列为密码(必填)。
导出的CSV文件中,SamAccountName列可以作为便捷账号的用户名列,UserPrincipalName列可以作为便捷账号的邮箱列,如果实际的用户邮箱与userPrincpleName不一致,请自行录入邮箱信息。
步骤一:创建与AD用户同名的便捷账号
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在用户与组织页面的用户页签上单击创建用户,然后按需选择以下一种方式创建便捷账号。
手动创建
单击手动录入页签。
按需选择便捷账号类型。
支持选择用户激活和管理员激活两种类型。
根据账号类型填写相应的账号信息。
重要邮箱或手机号码用于终端用户接收云电脑分配信息、登录信息、初始密码或重置密码等通知,请务必填写正确的联系信息,邮箱或手机号码至少填写一项。
用户激活:填写用户名、邮箱或手机号码。
管理员激活:填写用户名和用户密码。
(可选)按需填写账号的补充信息。
(可选)按需选择账号所属的组织节点。
您可以在此选择,也可以在创建便捷账号之后按需为其添加组织。
(可选)新建的便捷账号默认开通本地管理员权限。如果不赋予该权限,请选择否。
说明获得本地管理员权限的用户账号可以在云电脑中自行安装软件,或者修改某些系统设置。
(可选)账号的密码有效期默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。
说明该功能目前处于邀测中,如需体验,请提交工单申请开通。
(条件)如果是管理员激活的便捷账号,可按需选择账号锁定时间。
便捷账号锁定后,终端用户无法使用该便捷账号登录无影终端。
批量创建
单击批量录入页签。
按需选择便捷账号类型。
支持选择用户激活和管理员激活两种类型。
(可选)账号的密码有效期默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。
说明该功能目前处于邀测中,如需体验,请提交工单申请开通。
选择以下一种方式制作用户信息文件。
单击下载模板,下载并打开模板,按照格式录入用户信息后保存。
说明如果是用户激活,录入用户信息时,第一列
Username
是用户名,第二列Email
是用户邮箱,均为必填项。如果是管理员激活,录入用户信息时,第一列
Username
是用户名,第四列Password
是密码,均为必填项。
使用Excel录入用户信息,然后另存为CSV文件。
单击选择文件,选择已录入用户信息的文件并按照提示完成操作,系统将自动导入文件中的用户信息。
导入完成后,创建用户面板提示创建成功,此时单击查看账号,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。
单击关闭。
创建完成后 ,您可以在用户页签查看到相应的便捷账号信息,且用户的状态为正常。
说明成功创建便捷账号后,系统不会发送通知。只有为便捷账号分配云电脑或云电脑池后,才会向相应联系方式发送通知。
步骤二:在无影云电脑控制台将AD FS配置为可信SAML IdP
下文指导您如何获取办公网络的元数据文件,实际业务中您也可以按需获取组织ID的元数据文件。具体操作,请参见基于SAML配置SSO。
从AD FS获取Idp元数据文件并下载到本地。
IdP元数据文件的获取地址为:
https://<ADFS server>/FederationMetadata/2007-06/FederationMetadata.xml
。其中<ADFS Server>
为AD FS服务器的域名或者IP地址。在无影云电脑控制台上传AD FS提供的IdP元数据文件。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到需要开启SSO的办公网络,并单击办公网络ID。
在办公网络详情页面最底部的其他信息区域,单击右上角的展开,然后打开SSO设置开关。
在IdP元数据右侧单击上传文件,并上传从AD FS获取的IdP元数据文件。
步骤三:在AD FS中将无影云电脑配置为可信SAML SP
在无影云电脑控制台获取SP元数据文件。
下文指导您如何获取办公网络的元数据文件,实际业务中您也可以按需获取组织ID的元数据文件。具体操作,请参见基于SAML配置SSO。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到待开启SSO的办公网络并单击办公网络ID。
在页面底部的其他信息区域,单击应用元数据右侧的下载应用元数据文件。
下载的元数据文件会自动保存到本地的下载路径。
在AD FS中上传无影云电脑提供的SP元数据文件。
登录AD FS所在服务器,打开服务器管理。
在右上角选择
。在AD FS对话框的左侧导航栏中,选择
。在右侧操作区域,单击添加信赖方信任。
根据向导的指示完成后续操作。
选择数据源时请选择从文件导入有关信赖方的数据,导入从无影云电脑获取的SP元数据文件。其他步骤中均保持默认配置即可。
在AD FS中编辑信赖方信任的声明规则,为无影云电脑SP配置SAML断言属性。
在信赖方信任列表中,右键单击上一步添加的信赖方信任,选择编辑声明规则。
在弹出的对话框中,单击添加规则。
按照向导完成规则配置。
配置说明如下:
选择规则类型时,声明规则模板选择转换传入声明。
配置声明规则时,传入声明类型选择UPN,传出声明类型选择名称 ID。
步骤四:验证效果
下文以Windows客户端7.2.2版为例。
打开Windows客户端,在顶部选择企业版,在底部选中同意协议的复选框,并输入登录凭证中的组织ID或办公网络ID,然后单击图标。
在AD FS登录页面,输入并校验AD的用户信息。
登录成功后,您可以在客户端的云资源列表界面找到目标云电脑卡片,在卡片上单击开机和连接云电脑即可。