Azure AD和无影云电脑实现SSO的示例

本文介绍Azure AD(Azure Active Directory)与无影云电脑的SSO配置流程。配置SSO后,当终端用户访问云电脑时,验证Azure AD的用户信息进行登录,就可以实现安全统一的登录管理。

背景信息

单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。

相关概念如下:

  • 身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。

    常见的身份提供商IdP有:

    • 企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。

    • Cloud IdP:阿里云应用身份服务 Azure AD、Google Workspace、Okta以及OneLogin等。

  • 服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。

  • 安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。

操作步骤

如果您使用Azure AD管理用户账号,可以配置无影云电脑的便捷账号与Azure AD用户进行SSO。此时,无影云电脑作为服务提供商SP,Azure AD作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以安全使用Azure AD内部的访问凭据连接云电脑。

步骤一:在无影云电脑控制台创建与Azure AD用户同名的便捷账号

对于待使用云电脑的Azure AD用户,您需要在无影云电脑控制台创建与Azure AD用户同名的便捷账号。

创建便捷账号时,您可以在手动录入页签或者批量录入页签录入用户信息。如果用户数量较少,可直接在手动录入页签录入用户信息;如果用户数量较多,建议您在批量录入页签录入用户信息。

重要

录入用户信息时,输入的便捷账号的用户名需要和Azure AD用户的用户名保持一致(字母大小写不敏感)。

批量录入页签录入用户之前,您需要参考下文描述,准备好符合便捷账号格式要求的CSV文件。

  1. 在Azure AD中下载包含用户信息的CSV文件。

    1. 登录Azure AD控制台

    2. 在左侧导航栏,单击用户

    3. 所有用户(预览版)页面,确认用户信息是否符合要求。

      Azure AD的用户名需符合无影云电脑的便捷账号用户名格式要求,如果不符合要求,您需要进行修改,否则无法创建对应的便捷账号。

      便捷账号的用户名格式要求为:

      • 长度要求为3~24位。

      • 支持小写字母、数字和特殊字符,其中特殊字符包括短划线(-)、下划线(_)和半角句号(.)。

      • 必须以小写字母作为开头,即数字和特殊字符不能放在开头。

    4. 单击顶部的批量操作,然后选择下载用户

      批量下载

    5. 按照页面提示完成下载操作。

      下载用户信息

  2. 使用Excel打开下载的CSV文件,按便捷账号录入文件的格式要求调整用户信息,然后保存为CSV文件。

    说明

    调整用户信息时,您需要注意以下事项:

    • 录入文件的格式要求为:

      • 用户激活的便捷账号:第一列为用户名(必填),第二列为邮箱(必填),第三列为手机号(可选)。

      • 管理员激活的便捷账号:第一列为用户名(必填),第二列为邮箱(可选),第三列为手机号(可选),第四列为密码(必填)。

    • Azure AD下载的用户信息CSV文件中,userPrincipalName列是用户名@域名的格式,可以提取其前缀作为便捷账号的用户名;如果userPrincipalName恰好是实际的用户邮箱,则userPrincipalName列可以作为便捷账号的邮箱列,如果实际的用户邮箱与userPrincipalName不一致,请自行录入邮箱信息。

准备好CSV文件后,在无影云电脑控制台的批量录入页签创建便捷账号。具体操作,请参见创建便捷账号

重要

新建便捷账号后,请及时为便捷账号分配云电脑。具体操作,请参见管理便捷账号

步骤二:在Azure AD侧创建应用程序并分配用户

在Azure AD侧,您需要创建无影云电脑对应的应用程序,并将其授权给待使用无影云电脑的Azure AD用户。操作步骤如下:

  1. 在Azure AD控制台的左侧导航栏中单击企业应用程序

  2. 所有应用程序页面上单击新建应用程序

  3. 在顶部菜单栏中单击创建你自己的应用程序

  4. 在弹出面板中输入应用名称,选择集成未在库中找到的任何其他应用程序(非库),然后单击创建

    创建应用程序

  5. 刷新页面,单击新创建的应用程序名称。

  6. 在应用程序详情页面的左侧导航栏,单击用户和组,然后单击添加用户/组

  7. 在弹出的添加分配页面选择用户,然后单击分配

    分配用户

步骤三:在Azure AD侧将无影云电脑配置为可信SAML SP

无影云电脑提供的元数据文件上传到Azure AD,可以实现在Azure AD侧将无影云电脑配置为可信SAML SP。操作步骤如下:

  1. 无影云电脑控制台获取SP元数据文件。

    下文指导您如何获取办公网络的元数据文件,实际业务中您也可以按需获取组织ID的元数据文件。具体操作,请参见基于SAML配置SSO

    1. 登录无影云电脑企业版控制台

    2. 在左侧导航栏,选择网络与存储 > 办公网络

    3. 在顶部菜单栏左上角处选择目标地域。

    4. 办公网络页面上找到待开启SSO的办公网络并单击办公网络ID

    5. 在页面底部的其他信息区域,单击应用元数据右侧的下载应用元数据文件

      下载的元数据文件会自动保存到本地的下载路径。

  2. 在Azure AD侧为无影云电脑对应的应用程序配置单一登录。

    1. 在Azure AD控制台,打开步骤二中创建的应用程序。

    2. 在应用程序详情页面的左侧导航栏中单击单一登录,然后选择SAML

    3. 单击上传元数据文件

    4. 选择在无影云电脑控制台下载的SP元数据文件,单击添加

    5. 基本SAML配置面板上确认标识符和回复URL是否正确,然后单击保存

      说明

      打开本地保存的SP元数据文件,确认标识符和回复URL是否正确:

      • 标识符(实体ID):对应SP元数据文件中md:EntityDescriptor标签中的entityID值。标识符

      • 回复URL(断言使用者服务URL):对应SP元数据文件中md:AssertionConsumerService标签中的Location值。回复URL

      重要

      上传SP元数据文件后,如果没有自动读取标识符和回复URL,请自行输入。

      SAML配置

步骤四:在无影云电脑控制台将Azure AD配置为可信SAML IdP

将Azure AD提供的元数据文件上传到无影云电脑控制台,可以实现在无影云电脑控制台将Azure AD配置为可信SAML IdP。操作步骤如下:

  1. 在Azure AD侧,获取IdP元数据文件。

    1. 在Azure AD控制台,打开步骤二中创建的应用程序。

    2. 在应用程序详情页面的左侧导航栏,单击单一登录

    3. SAML签名证书区域,单击联合元数据XML对应的下载

      下载的元数据文件将自动保存到本地的下载路径。下载Idp

  2. 无影云电脑控制台上传从Azure AD获取的IdP元数据文件。

    下文指导您如何在办公网络中上传IdP元数据文件,实际业务中您也可以按需在组织ID中上传IdP元数据文件。具体操作,请参见基于SAML配置SSO

    1. 登录无影云电脑企业版控制台

    2. 在左侧导航栏,选择网络与存储 > 办公网络

    3. 在顶部菜单栏左上角处选择目标地域。

    4. 办公网络页面上找到待开启SSO的办公网络并单击办公网络ID

    5. 在页面底部的其他信息区域开启SSO并上传IdP元数据文件。

      • SSO:按需开启SSO功能的开关。

        此功能默认为关闭,此时SSO配置不生效。

      • IdP元数据:单击上传文件,上传已获取的IdP元数据文件。

        IdP元数据的状态显示为完成,则说明企业IdP配置为可信的SAML IdP。

后续步骤

配置完SSO后,终端用户可以通过验证身份提供商IdP的身份信息访问云电脑。下文以Windows客户端为例介绍如何通过SSO连接云电脑。

  1. 打开Windows客户端

  2. 企业版登录页面输入办公网络ID或组织ID。

  3. 在Azure AD登录页面,输入并校验Azure AD的用户信息。

    成功登录客户端后,您可以在云电脑展示页面找到目标云电脑卡片,并单击连接云电脑

常见问题

  • 如果在Azure登录页面出现报错,请根据错误信息进行排查。

    例如:以下错误信息表示没有把无影云电脑对应的应用程序分配给用户,您可以参考步骤二进行分配。报错

  • 如果无影终端提示认证失败,请联系您的管理员检查SSO设置,请检查SSO相关配置是否有误。认证失败

  • 如果无影终端提示内部错误,请联系您的管理员,请确认无影云电脑是否有与Azure AD用户同名的便捷账号。内部错误