LDAP和无影云电脑便捷用户SSO

使用限制

仅组织ID支持基于LDAP的SSO。办公网络不支持基于LDAP的SSO。

步骤一：创建基于LDAP的企业身份源

1. 登录无影云电脑控制台。

2. 在左侧导航栏，选择用户与管理员 > 企业身份源。

3. 在企业身份源页面，单击LDAP。

   （可选）如果不是首次配置SSO，您需要先单击新增企业身份源，再选择LDAP。

4. 新增企业身份源面板，设置以下配置项的参数。

   配置项	说明	示例
   企业身份源名称	按需输入企业身份源名称。	无影test
   企业身份源类型	选择企业身份源的类型。	LDAP
   服务器类型	LDAP所在的服务器地址，支持ldaps://和ldap://。 如果选择ldap://建议您开启StartTLS（在LDAP中配置证书即可使用。更多信息，请参见证书验证），开启StartTLS可以有效提高数据传输的安全性。 说明 ldaps://一般使用636端口。 ldap://和StartTLS一般使用389端口。	ldaps://127.0.0.1:636
   BASE DN	Base DN是LDAP中某个节点的路径标识，默认为根节点。 DN的格式为：ou=某组织,dc=example,dc=com。 根节点的DN一般为dc=example,dc=com（即您的域）。	dc=example,dc=com
   管理员DN	无影云电脑使用该LDAP管理员账户读取LDAP信息来完成数据同步或委托认证，该账户需要至少拥有读取权限，且该管理员需使用DN格式。	cn=admin,cn=User,dc=example,dc=com
   管理员密码	管理员DN的密码。	Ytest001
   证书验证	如果服务器类型选择为ldap://且开启StartTLS，或者服务器类型选择ldaps://，这两种情况下建议您都校验LDAP证书，通过录入LDAP的证书指纹，建立无影云电脑对LDAP的信任关系，避免LDAP被劫持或伪造。如果不对LDAP证书进行合法性校验，理论上存在安全风险。 校验方法如下： 单击通过证书指纹验证。 单击一键获取，系统自动输入证书。 说明 如果出现报错，请检查LDAP服务器配置是否正确。	34fd9df0de731df621e48763fa1b5cd7a3f50e5a2050df1dee059c849e4b****
   用户登录标识（选填）	使用LDAP服务器的用户登录无影终端时，您可以配置特定属性作为用户登录标识，无影云电脑将根据这些属性在LDAP服务器中查询用户标识并匹配密码，密码正确则允许终端用户登录无影终端。 说明 当使用半角逗号（,）对多个属性进行分割时，为或关系。即您可以使用任一属性登录。 请确保多个属性对应同一个LDAP用户，否则将无法登录。默认登录名属性名称为cn。	cn,mail
   用户ObjectClass（选填）	LDAP的ObjectClass是attribute的集合。通过ObjectClass可以定义哪种类型的对象是用户，例如将查询结果中ObjectClass=user的对象视作用户。默认用户ObjectClass为posixAcccount,inetOrgPerson,top。 说明 当使用半角逗号（,）对ObjectClass进行分割，为且关系。	posixAccount,inetOrgPerson,top

5. 单击确定。

步骤二：创建与LDAP账户同名的用户

创建完基于LDAP的企业身份源，还需要使得LDAP账户和无影云电脑之间建立信任关系，此时您需要在无影云电脑创建与LDAP账户同名的用户。下文为您介绍具体的操作步骤。

1. 登录无影云电脑控制台。

2. 在左侧导航栏，选择用户与管理员 > 用户与组织。

3. 在用户管理页面，单击创建用户。

4. 选择以下一种方式创建与LDAP账户同名的用户信息。

   • 手动录入用户信息

     1. 选择手动录入页签。

     2. 按需选择用户激活或管理员激活。

     3. 填写与LDAP账户中同名的用户名信息，然后单击创建用户。

        重复上述操作可录入多个用户信息。

        说明

        在此需要确保输入的用户名与LDAP账户的用户名一致，此时输入的密码不要求和LDAP账户的用户名密码一致，这是云电脑用户的密码，您可按照界面提示输入任何符合要求的密码。

   • 批量导入用户信息

     1. 选择批量录入页签。

     2. 按需选择用户激活或管理员激活。

     3. 选择以下一种方式准备用户信息文件。

        • 单击下载模板，然后打开下载的模板，按照格式录入与LDAP账户中同名的用户名信息并保存。

        • 使用Excel录入与LDAP账户中同名的用户名信息，然后另存为CSV文件。

        说明

        • 如果是用户激活，录入用户信息时，第一列为用户名，第二列为用户邮箱，且均为必填项。

        • 如果是管理员激活，录入用户信息时，第一列为用户名，第四列为密码，且均为必填项。

          在此需要确保输入的用户名与LDAP账户的用户名一致，此时输入的密码不要求和LDAP账户的用户名密码一致，这是云电脑用户的密码，您可按照界面提示输入任何符合要求的密码。

     4. 单击选择文件，选择已录入用户信息的CSV文件。

        系统将自动导入文件中的用户信息。导入完成后，可以查看各个用户数据的导入情况。如果导入失败，请检查文件中的用户信息是否符合格式要求。

5. 单击关闭。

   创建完成后 ，您可以在用户管理页面查看到相应的用户信息，用户的状态为正常，说明创建用户成功。

后续步骤

配置完LDAP后，LDAP服务器和无影云电脑建立互信，您可以通过验证LDAP账户的用户信息，快速登录无影终端。下文以Windows客户端为例，介绍终端用户如何通过LDAP用户信息登录客户端。

1. 打开Windows客户端。

2. 在专业版（旧版本中为企业版）页面，输入组织ID。

3. 在选择账号类型下单击下拉框选择步骤一创建的企业身份源名称，然后单击图标。

4. 输入LDAP账户的用户名和密码，然后单击图标。

   说明

   如果组织ID开启了无影便捷账号密码登录，那么在选择账号类型下可以选择无影便捷账号登录。如果选择了无影便捷账号登录，您需要输入在无影云电脑控制台创建的用户名和密码。

   成功登录客户端后，在云电脑展示页面，找到目标云电脑卡片，单击连接云电脑。