通过AD FS和无影云电脑便捷账号实现SSO

如果您的企业使用AD(Active Directory)域服务来管理用户账号信息,则可以将无影云电脑作为服务提供商SP,将AD FS(Active Directory Federation Services)作为身份提供商IdP,让两者基于SAML协议互相交换元数据文件来实现SSO。本文介绍具体的实现方法。

背景信息

单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。

相关概念如下:

  • 身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。

    常见的身份提供商IdP有:

    • 企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。

    • Cloud IdP:阿里云应用身份服务 Azure AD、Google Workspace、Okta以及OneLogin等。

  • 服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。

  • 安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。

AD场景下,如果您不想在无影云电脑控制台创建AD办公网络来对接AD(采用该方式时无影云电脑会获取AD信息),也可以通过在无影云电脑控制台创建与AD用户同名的便捷账号来实现SSO。

说明

如果您已对接企业AD并创建AD办公网络,可直接配置AD用户进行SSO。具体操作,请参见AD FS和无影云电脑AD用户实现SSO

准备工作

无影云电脑控制台上创建便捷账号时,可以采用以下方法之一:

  • 手动录入:通过手动填写用户信息,逐一创建账号。如果用户数量较少,建议采用此方式。

    重要

    录入用户信息时,输入的便捷账号的用户名必须与AD用户的用户名保持一致(字母不区分大小写)。

  • 批量录入:通过CSV文件导入用户信息,批量创建账号。如果用户数量较多,建议采用此方式。

若采用批量录入的方式,请按照以下步骤准备好符合便捷账号格式要求的CSV文件。

  1. 在AD域服务器中,创建包含AD用户信息的CSV文件。

    1. 确认已有AD用户信息是否符合要求。

      重要

      AD用户名需符合便捷账号的用户名格式要求,如果不符合要求,您需要先修改,否则无法创建对应的便捷账号。详细信息,请参见便捷用户名称规范

    2. 在PowerShell中执行Get-ADUser命令,以导出包含AD用户信息的CSV文件。

      请根据需要调整命令参数,导出相应的CSV文件。例如:获取所有AD用户信息导出CSV文件并保存到指定路径,可以执行以下命令:

      Get-ADUser -filter * |export-csv <文件保存路径> -Encoding utf8

      假设保存到C:\Users目录,文件命名为test.csv,则命令如下:

      Get-ADUser -filter * |export-csv C:\Users\test.csv -Encoding utf8
  2. 使用电子表格处理软件打开CSV文件,按便捷账号录入文件的格式要求调整用户信息,然后保存。

    调整用户信息时,请注意以下事项:

    • 录入文件的格式要求为:

      • 用户激活的便捷账号:第一列为用户名(必填),第二列为邮箱(必填),第三列为手机号(可选)。

      • 管理员激活的便捷账号:第一列为用户名(必填),第二列为邮箱(可选),第三列为手机号(可选),第四列为密码(必填)。

    • 导出的CSV文件中,SamAccountName列可以作为便捷账号的用户名列,UserPrincipalName列可以作为便捷账号的邮箱列,如果实际的用户邮箱与userPrincpleName不一致,请自行录入邮箱信息。

步骤一:创建与AD用户同名的便捷账号

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择用户管理 > 用户与组织

  3. 用户与组织页面的用户页签上单击创建用户,然后按需选择以下一种方式创建便捷账号。

    手动创建

    1. 单击手动录入页签。

    2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

    3. 根据账号类型填写相应的账号信息。

      重要

      邮箱或手机号码用于终端用户接收云电脑分配信息、登录信息、初始密码或重置密码等通知,请务必填写正确的联系信息,邮箱或手机号码至少填写一项。

      • 用户激活:填写用户名、邮箱或手机号码。

      • 管理员激活:填写用户名和用户密码。

    4. (可选)按需填写账号的补充信息。

    5. (可选)按需选择账号所属的组织节点。

      您可以在此选择,也可以在创建便捷账号之后按需为其添加组织。

    6. (可选)新建的便捷账号默认开通本地管理员权限。如果不赋予该权限,请选择

      说明

      获得本地管理员权限的用户账号可以在云电脑中自行安装软件,或者修改某些系统设置。

    7. (可选)账号的密码有效期默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。

      说明

      该功能目前处于邀测中,如需体验,请提交工单申请开通。

    8. (条件)如果是管理员激活的便捷账号,可按需选择账号锁定时间。

      便捷账号锁定后,终端用户无法使用该便捷账号登录无影终端

    批量创建

    1. 单击批量录入页签。

    2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

    3. (可选)账号的密码有效期默认为永久有效。您也可以输入30~365天的有效期。当密码到期后,必须先修改密码才能继续登录。

      说明

      该功能目前处于邀测中,如需体验,请提交工单申请开通。

    4. 选择以下一种方式制作用户信息文件。

      • 单击下载模板,下载并打开模板,按照格式录入用户信息后保存。

        说明
        • 如果是用户激活,录入用户信息时,第一列Username是用户名,第二列Email是用户邮箱,均为必填项。

        • 如果是管理员激活,录入用户信息时,第一列Username是用户名,第四列Password是密码,均为必填项。

      • 使用Excel录入用户信息,然后另存为CSV文件。

    5. 单击选择文件,选择已录入用户信息的文件并按照提示完成操作,系统将自动导入文件中的用户信息。

      导入完成后,创建用户面板提示创建成功,此时单击查看账号,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。

  4. 单击关闭

    创建完成后 ,您可以在用户页签查看到相应的便捷账号信息,且用户的状态为正常

    说明

    成功创建便捷账号后,系统不会发送通知。只有为便捷账号分配云电脑或云电脑池后,才会向相应联系方式发送通知。

步骤二:在无影云电脑控制台将AD FS配置为可信SAML IdP

下文指导您如何获取办公网络的元数据文件,实际业务中您也可以按需获取组织ID的元数据文件。具体操作,请参见基于SAML配置SSO

  1. 从AD FS获取Idp元数据文件并下载到本地。

    IdP元数据文件的获取地址为:https://<ADFS server>/FederationMetadata/2007-06/FederationMetadata.xml。其中<ADFS Server>为AD FS服务器的域名或者IP地址。

  2. 无影云电脑控制台上传AD FS提供的IdP元数据文件。

    1. 登录无影云电脑企业版控制台

    2. 在左侧导航栏,选择网络与存储 > 办公网络

    3. 在顶部菜单栏左上角处选择目标地域。

    4. 办公网络页面上找到需要开启SSO的办公网络,并单击办公网络ID

    5. 办公网络详情页面最底部的其他信息区域,单击右上角的展开,然后打开SSO设置开关。

    6. IdP元数据右侧单击上传文件,并上传从AD FS获取的IdP元数据文件。

步骤三:在AD FS中将无影云电脑配置为可信SAML SP

  1. 无影云电脑控制台获取SP元数据文件。

    下文指导您如何获取办公网络的元数据文件,实际业务中您也可以按需获取组织ID的元数据文件。具体操作,请参见基于SAML配置SSO

    1. 登录无影云电脑企业版控制台

    2. 在左侧导航栏,选择网络与存储 > 办公网络

    3. 在顶部菜单栏左上角处选择目标地域。

    4. 办公网络页面上找到待开启SSO的办公网络并单击办公网络ID

    5. 在页面底部的其他信息区域,单击应用元数据右侧的下载应用元数据文件

      下载的元数据文件会自动保存到本地的下载路径。

  2. 在AD FS中上传无影云电脑提供的SP元数据文件。

    1. 登录AD FS所在服务器,打开服务器管理。

    2. 在右上角选择工具 > AD FS管理

    3. AD FS对话框的左侧导航栏中,选择信任关系 > 信赖方信任

    4. 在右侧操作区域,单击添加信赖方信任

    5. 根据向导的指示完成后续操作。

      选择数据源时请选择从文件导入有关信赖方的数据,导入从无影云电脑获取的SP元数据文件。其他步骤中均保持默认配置即可。ADFS1

  3. 在AD FS中编辑信赖方信任的声明规则,为无影云电脑SP配置SAML断言属性。

    1. 在信赖方信任列表中,右键单击上一步添加的信赖方信任,选择编辑声明规则

    2. 在弹出的对话框中,单击添加规则

    3. 按照向导完成规则配置。

      配置说明如下:

      • 选择规则类型时,声明规则模板选择转换传入声明

      • 配置声明规则时,传入声明类型选择UPN,传出声明类型选择名称 ID

      声明

步骤四:验证效果

说明

下文以Windows客户端7.2.2版为例。

  1. 打开Windows客户端,在顶部选择企业版,在底部选中同意协议的复选框,并输入登录凭证中的组织ID或办公网络ID,然后单击图标。pg_enter_orgid_or_networkid.png

  2. 在AD FS登录页面,输入并校验AD的用户信息。

    登录成功后,您可以在客户端的云资源列表界面找到目标云电脑卡片,在卡片上单击开机连接云电脑即可。