借助无影云电脑企业版的登录方式设置和安全设置能力,您可以控制终端用户登录时可用的登录方式,以及提高云电脑使用过程中各个环节的安全性。例如,单点登录SSO、多因素设备认证、客户端登录校验等能力,可以确保在登录之前对终端用户进行严格的身份验证;客户端超时自动退出登录的能力,可有效控制数据意外泄露的风险。本文介绍各项登录安全设置能力及其使用方法。
使用和管理组织ID
初始的组织ID是由系统自动生成的8位随机唯一标识符,仅包含大写英文字母(不含I、O等容易与数字混淆的字母)和数字。使用组织ID登录无影终端,可以访问所有办公网络下的云电脑。
组织ID和办公网络ID的区别
终端用户登录无影终端时,可以选择使用办公网络ID或者组织ID登录。使用组织ID登录时,可以访问所有办公网络下的云电脑。无影终端对组织ID的支持范围是:
如果是便捷账号,所有无影终端均支持使用组织ID登录。
如果是企业AD账号,则支持使用组织ID登录的无影终端包括:Windows客户端和macOS客户端(V6.4及以上版本)、硬件终端(V6.8及以上版本)。
您可以为组织ID或办公网络ID开启多种登录方式和安全验证方式,但两者的支持范围有所差异。下表以便捷办公网络为例介绍具体差异。
AD办公网络支持的安全验证方式为多因素认证和SSO。
对比项 | 组织ID | 办公网络ID |
概念 | 组织ID是代表企业身份的唯一标识,开通无影云电脑服务时,系统自动创建组织ID。 如果您的阿里云主账号已经通过企业实名认证,您可以将自动生成的组织ID修改为自定义的组织ID。具体操作,请参见修改组织ID。 | 办公网络ID是办公网络的唯一标识,由系统自动生成,不可修改。 |
设置生效范围 | 在组织ID层面完成的登录设置及其安全配置对全部云电脑生效。 | 在办公网络层面完成的登录设置及其安全配置,仅针对该办公网络下的云电脑生效。 |
无影便捷账号账密登录 | 支持 | 支持 |
企业AD账号账密登录 | 支持 | 支持 |
自动登录 | 支持 | 不支持 |
超时自动退出登录 | 支持 | 不支持 |
终端登录数量限制 | 支持 | 不支持 |
短信验证码登录 | 支持 | 不支持 |
多因素设备认证MFA | 支持 | 支持 |
客户端登录校验 | 支持 | 支持 |
可信设备认证 | 支持 | 支持 |
单点登录SSO | 支持 | 支持 |
设置登录验证方式
您可以分别为组织ID和办公网络设置登录验证方式,两者互相独立,互不影响。
如果使用组织ID登录无影终端,则遵循为组织ID设置的验证登录方式。
如果使用办公网络ID登录无影终端,则遵循为办公网络ID设置的验证登录方式。
管理组织ID下的登录方式
若为组织ID配置了多种登录方式,您可以按照以下步骤设置这些登录方式在无影终端界面上的可见性以及显示顺序。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,按需将登录方式区域的各种登录方式打开或关闭,也可以单击操作列的上移或下移来调整它们在无影终端界面上的显示顺序。
修改组织ID
当您的阿里云账号通过企业实名认证之后,方可基于企业实名信息申请修改组织ID。关于企业实名认证的详细信息,请参见企业实名认证。
登录无影云电脑企业版控制台。
选择一个操作入口:
在总览页面修改
在左侧导航栏,单击总览。
在总览页面上的我的云电脑区域,单击当前组织ID右侧的图标。
在悬浮面板上单击修改组织ID。
说明若您的阿里云账号尚未完成企业实名认证,请在确认对话框中单击去认证。
在登录设置页面修改
在左侧导航栏,选择
。在登录页面的通用配置页签上,单击组织ID右侧的设置。
在修改组织ID对话框中,按照界面提示输入符合要求的组织ID。
说明组织ID的要求:长度为5~15个字符,可包含英文字母(不限制大小写)、数字和特殊符号,且特殊符号不能放在开头。
单击提交审批并按照界面提示完成操作。
说明组织ID在15天内仅允许修改1次。
登录通用配置
自动登录
该配置项控制终端用户能否在无影终端登录界面上启用自动登录,已经在启用的情况下,可以在登录成功后的多长时间内免去重新输入登录凭证的步骤。您可以设置为由终端用户配置,也可以按照以下步骤设置为由管理员配置,并设置具体的自动登录有效期。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,单击登录配置右侧的修改登录配置。
在修改登录配置面板上完成以下配置,并单击确定。
配置项
说明
自动登录
可选项包括:
终端用户自定义:终端用户可以在无影终端上自行启用或禁用自动登录,而且可以自行设置自动登录的持续时间。
管理员管控:管理员在无影云电脑企业版控制台上配置自动登录功能,终端用户在无影终端上没有修改权限。
自动登录设置
当自动登录设为管理员管控时,该选项可见。您可以开启或关闭该选项。
说明该功能目前处于邀测中,如需体验,请提交工单申请开通。
自动登录有效期
当自动登录设为管理员管控,且自动登录设置已开启时,您可以设置自动登录的持续时间。
重要如果您将某个便捷账号的密码有效期设置为有限的值(30天~365天)而非永久有效,并且此处设置的自动登录有效期大于该便捷账号的剩余密码有效期,则可能会导致该便捷账号在自动登录有效期内无法自动登录。关于如何设置便捷账号的密码有效期,请参见创建便捷账号。
超时自动退出登录
该功能默认关闭。开启后,若终端用户登录了您指定类型的无影终端,但没有连接任何云资源(包括云电脑、云应用、云手机、企业网盘等),则当达到您在此处设置的超时时长,无影终端将自动退出登录,从而有效保护云资源的数据安全。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,单击登录配置右侧的修改登录配置。
在修改登录配置面板上完成以下配置,并单击确定。
配置项
说明
超时自动退出登录
可以开启或关闭。
超时时长
终端用户未在无影终端上连接任何云资源的时长。当超时自动退出登录已开启时,该选项可见。
生效终端
该功能对哪些无影终端生效。
说明若选择无影自研硬件终端,请注意,仅对V7.5及以上版本的硬件终端生效;若该硬件终端配置了免密登录,则超时自动退出登录不生效。
说明设置客户端超时自动退出登录后,终端用户下次登录客户端时生效。
在即将达到超时时长之前,终端用户将收到提醒,终端用户可以选择终止该流程,但如果终端用户不采取任何操作,则客户端将自动退出登录。
终端登录数量限制
默认情况下,终端用户可以同时登录任意数量的无影终端。您可以在此配置终端登录数量的上限,超过该上限时,终端用户最早登录的无影终端将自动退登。
该功能目前处于邀测中,如需体验,请提交工单申请开通。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,单击登录配置右侧的修改登录配置。
在修改登录配置面板上完成以下配置,并单击确定。
配置项
说明
终端登录数量限制
可以开启或关闭。
用户可登录终端/客户端数量
终端用户可以同时登录的无影终端最大数量(1~10)。当终端登录数量限制已开启时,该选项可见。
短信验证码登录
该配置默认关闭。开启后,终端用户可以通过所绑定的手机号码获取验证码,通过输入验证码即可登录无影终端。
仅使用组织ID登录时支持通过短信验证码登录。
前提条件
该功能需要使用手机号码获取验证码,所以在使用该功能之前您需要为相应的便捷账号绑定手机号码。为避免终端用户无法获取验证码,请确保绑定的手机号码正确无误。您可以通过以下两种方式绑定手机号码:
在创建便捷账号时绑定手机号码。具体操作,请参见创建便捷账号。
如果您已创建便捷账号,可以在用户与组织页面的用户页签上找到目标用户,并在手机列设置或修改手机号码。
开启步骤
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,单击登录配置右侧的修改登录配置。
在登录配置面板上,将短信验证码登录设置为开启。
登录安全配置
多因素设备认证MFA
开启多因素认证MFA(Multi-Factor Authentication)后,终端用户登录无影终端时,不仅需要输入用户名和密码,还需要输入多因素认证的动态口令或验证码,从而增加一层额外的安全防护。详细信息,请参见设置登录多因素认证MFA。
客户端登录校验
该配置默认关闭。开启后,终端用户从新的设备登录无影终端时需完成短信或邮箱验证码校验,校验通过后方可成功登录。
仅便捷账号且网络接入方式为公网连接时生效。
为组织ID开启客户端登录校验
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的安全配置页签上,将客户端登录校验设为开启。
为办公网络开启客户端登录校验
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络,单击办公网络ID。
在办公网络详情页面最底部的其他信息区域打开客户端登录校验开关。
说明SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。对于组织ID,上述三者之间没有互斥关系,可以同时开启。
可信设备认证
该配置默认关闭。开启后,仅允许终端用户通过已添加的限定登录终端登录。
该功能仅适用于便捷账号。
前提条件
开启步骤
为组织ID开启可信设备认证
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的安全配置页签上,将可信设备认证设置为开启。
为办公网络开启可信设备认证
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络,单击办公网络ID。
在办公网络详情页面最底部的其他信息区域打开可信设备认证开关。
单点登录SSO
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:阿里云应用身份服务 、Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
开启SSO设置并配置SSO之后,终端用户登录无影终端时将通过SSO方式登录。对于办公网络,SSO设置默认关闭。对于组织ID,默认开启SSO设置,不需要打开任何开关,也不支持关闭SSO设置。
开启步骤
您可以按照以下步骤为办公网络开启SSO设置。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络,单击办公网络ID。
在办公网络详情页面最底部的其他信息区域打开SSO设置开关。
说明SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。对于组织ID,上述三者之间没有互斥关系,可以同时开启。
相关文档
关于如何基于SAML配置SSO,请参见基于SAML配置SSO。
关于云电脑与企业身份提供商IdP的最佳实践,请参见单点登录SSO。