备案控制台
文档
产品文档
输入文档关键字查找
首页 无影云电脑 无影云电脑(专业版) 实践教程 单点登录SSO IDaaS和无影云电脑SSO的示例 IDaaS用户和便捷用户实现SSO

IDaaS用户和便捷用户实现SSO

更新时间:
一键部署
产品详情
相关技术圈
我的收藏

本文以阿里云应用身份服务(IDaaS)为例,无影云电脑和IDaaS基于SAML协议,互相交换元数据文件,即可实现SSO。终端用户可以安全使用IDaaS的访问凭据来登录无影终端

背景信息

云身份服务IDaaS(英文名:Alibaba Cloud IDentity as a Service,简称 IDaaS)是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。更多信息,请参见什么是 IDaaS EIAM?

本文以阿里云应用身份服务(IDaaS)为例,指导您如何配置便捷办公网络SSO和组织ID SSO,实际业务中您可以根据实际使用的身份提供商IdP配置基于SAML的SSO。

以下无影终端支持SSO:

  • Windows客户端

  • macOS客户端

  • Web客户端

  • iOS客户端

  • Android客户端

  • 盒式云电脑终端AS01

  • 无影魔方AS05

  • 无影23.8寸一体机US01

在办公网络配置SSO

下文为您介绍配置办公网络SSO的操作步骤。

步骤一:开启办公网络SSO功能

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络(原工作区)

  3. 办公网络(原工作区)页面,找到目标便捷办公网络并单击办公网络ID。

  4. 在办公网络详情页面的左侧导航栏,选择其他信息

  5. 其他信息区域,打开SSO设置的开关。

  6. 记录该办公网络ID以备后续使用。

步骤二:在IDaaS控制台将无影云电脑配置为可信的SP

  1. 登录阿里云IDaaS控制台。

  2. EIAM 云身份服务页面选择IDaaS,并创建IDaaS实例。具体操作,请参见免费开通实例

  3. 创建账户。具体操作,请参见创建账户

    说明

    在IDaaS控制台创建的账户名名称需要和无影云电脑的便捷用户的用户名保持一致。

  4. 添加阿里云-无影应用。

    1. 在左侧导航栏单击应用

    2. 应用页面单击添加应用

    3. 应用市场页签下,在搜索框输入无影

    4. 阿里云-无影区域,单击添加应用

    5. 单击立即添加

      应用页面,应用状态为已启用,说明添加应用成功。

  5. 开启IDaaS的单点登录。

    1. 找到已创建的阿里云-无影应用,并在操作列单击管理

    2. 在应用详情页面,选择登录访问 > 单点登录

      可查看单点登录配置的状态为已开启用

  6. 阿里云-无影配置为可信的SP。

    1. 输入工作区ID。

      即输入步骤一记录的办公网络ID。

    2. 按需选择应用账户。例如选择IDaaS账户。

      说明

      • 默认使用IDaaS账户名作为应用登录标识。

      • 如果选择应用账户,应用账户的账户名必须和IDaaS登录账户名保持一致,才能完成 SSO。 更多信息,请参见SAML 应用账户配置

    3. 按需选择授权范围。例如选择全员可访问。

      说明

      如果需要指定的IDaaS账户名才能访问应用,可选择手动授权。选择手动授权后,需要添加应用授权。具体操作,请参见应用授权

    4. 单击保存

  7. SAML 元数据文件后单击下载,获取SAML元数据文件。

步骤三:在无影云电脑侧将IDaaS配置为可信的IdP

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择网络与存储 > 办公网络(原工作区)

  3. 办公网络(原工作区)页面,找到已开启SSO设置的目标办公网络并单击办公网络ID。

  4. 在办公网络详情页面的左侧导航栏,选择其他信息

  5. 在其他信息区域,IdP元数据后,单击上传文件,然后选择步骤二下载的SAML元数据文件。

    IdP元数据的状态显示为完成,则说明配置成功。

在组织ID配置SSO

下文基于IDaaS的EIAM管理用户账号为例,为您介绍如何配置组织ID SSO。

步骤一:添加SAML应用并获取SAML元数据文件

  1. 登录阿里云IDaaS控制台。

  2. EIAM 云身份服务页面选择IDaaS,并创建IDaaS实例。具体操作,请参见免费开通实例

  3. 创建账户。具体操作,请参见创建账户

    说明

    在IDaaS控制台创建的账户名名称需要和无影云电脑的便捷用户的用户名保持一致。

  4. 添加SAML的应用。

    重要

    • IDaaS企业版可添加标准协议的应用,如果您是IDaaS免费版实例,可以按照界面提示升级至企业版。具体操作,请参见实例管理

    • 使用IDaaS企业版会收费。关于计费详情,请参见产品计费

    1. 在左侧导航栏单击应用

    2. 应用页面单击添加应用

    3. 添加应用页面,选择标准协议

    4. SAML 2.0区域,单击添加应用

    5. 在弹出的对话框中,填写应用名称,然后单击立即添加

      应用页面,应用状态为已启用,说明添加应用成功。

  5. 获取SAML元数据文件。

    1. 在应用的详情页面,选择访问登录 > 单点登录

    2. 应用配置信息区域,找到IdP 元数据,然后在其后单击下载,获取SAML元数据文件。

步骤二:在无影云电脑侧将IDaaS配置为可信的IdP

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择用户与管理员 > 企业身份源

  3. 企业身份源页面,单击SAML

  4. (条件必选)如果非首次使用登录企业身份源页面,请单击新增企业身份源

  5. 新增企业身份源面板,填写以下配置项的信息。

    配置项

    描述

    企业身份源名称

    用于识别企业身份源的名称。

    企业身份源类型

    支持SAML和LDAP两种类型的身份源,在此选择SAML

    IdP元数据

    单击上传文件,按照界面提示上传步骤一获取的元数据文件。

    账号类型

    支持便捷账号和企业AD账号,在此以便捷账号为例。

    如果选择企业AD账号,需选择AD域名称。

  6. 单击确定

  7. 找到新建的企业身份源,在操作列单击编辑

  8. 应用元数据下,单击下载应用元数据文件下载元数据文件。

步骤三:在IDaaS侧将无影云电脑配置为可信的SP

  1. 在阿里云IDaaS控制台的应用页面,找到步骤一创建的应用。

  2. 操作列单击管理

  3. 在应用详情页面,单击上传应用 metadata,然后选择步骤二下载的应用元数据文件。

    上传应用 metadata后,输入框中看到已自动填入地址,则说明上传成功。

  4. 上传应用 metadata后,单击解析

    单点登录地址应用唯一标识自动填写地址,则说明解析成功。关于单点登录配置字段的相关说明,请参见SAML 2.0 SSO 配置

  5. 选择应用账号和授权范围。例如选择IDaaS账户和全员可访问。

    说明

    关于应用账户的更多信息,请参见SAML 应用账户配置

  6. 单击保存

后续步骤

配置完SSO后,终端用户可以通过验证IDaaS的身份信息登录无影终端。下文以Windows客户端为例,介绍终端用户如何通过IDaaS用户信息登录客户端。

  1. 打开Windows客户端

  2. 专业版(旧版本中为企业版)页面,输入办公网络ID或组织ID。

  3. 阿里云 IDaaS页面,输入IDaaS的账户名、手机号码或邮箱,再输入密码,然后单击登录

  4. (可选)完成二次认证。

    说明

    如果阿里云 IDaaS控制台开启了二次认证配置,登录时需要按照界面提示完成二次认证。

    1. 选择二次认证的方式。

    2. 根据二次认证通知方式获取验证码,并正确填写验证码,然后单击确定

成功登录客户端后,在云电脑展示页面,找到目标云电脑卡片,单击连接云电脑

相关文档

文档推荐
  • 本页导读 (0)
文档反馈