本文介紹Azure AD(Azure Active Directory)與無影雲電腦的SSO配置流程。配置SSO後,當終端使用者訪問雲電腦時,驗證Azure AD的使用者資訊進行登入,就可以實現安全統一的登入管理。
背景資訊
單點登入SSO(Single Sign On)是一種協助使用者快速存取多個應用系統的安全通訊技術,也稱為身份同盟登入,可以實現在多個系統中,只需要登入一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份供應商IdP:一個包含有關外部身份供應商中繼資料的實體,提供身份管理服務,負責收集儲存使用者身份資訊(例如使用者名稱、密碼等),在登入時驗證使用者身份。
常見的身份供應商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供者SP:利用IdP的身份管理功能,通過與IdP建立互信關係,為使用者提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供者稱作IdP的信賴方。
安全性聲明標記語言SAML 2.0:實現企業級使用者身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
操作步驟
如果您使用Azure AD系統管理使用者帳號,可以配置無影雲電腦的便捷帳號與Azure AD使用者進行SSO。此時,無影雲電腦作為服務提供者SP,Azure AD作為身份供應商IdP,兩者基於SAML協議,互相交換中繼資料檔案,即可實現SSO。配置SSO後,您可以安全使用Azure AD內部的訪問憑據串連雲電腦。
步驟一:在無影雲電腦控制台建立與Azure AD使用者同名的便捷帳號
對於待使用雲電腦的Azure AD使用者,您需要在無影雲電腦控制台建立與Azure AD使用者同名的便捷帳號。
建立便捷帳號時,您可以在手動錄入頁簽或者批量錄入頁簽錄入使用者資訊。如果使用者數量較少,可直接在手動錄入頁簽錄入使用者資訊;如果使用者數量較多,建議您在批量錄入頁簽錄入使用者資訊。
錄入使用者資訊時,輸入的便捷帳號的使用者名稱需要和Azure AD使用者的使用者名稱保持一致(字母大小寫不敏感)。
在批量錄入頁簽錄入使用者之前,您需要參考下文描述,準備好符合便捷帳號格式要求的CSV檔案。
在Azure AD中下載包含使用者資訊的CSV檔案。
登入Azure AD控制台。
在左側導覽列,單擊使用者。
在所有使用者(預覽版)頁面,確認使用者資訊是否符合要求。
Azure AD的使用者名稱需符合無影雲電腦的便捷帳號使用者名稱格式要求,如果不符合要求,您需要進行修改,否則無法建立對應的便捷帳號。
便捷帳號的使用者名稱格式要求為:
長度要求為3~24位。
支援小寫字母、數字和特殊字元,其中特殊字元包括短劃線(-)、底線(_)和半形句號(.)。
必須以小寫字母作為開頭,即數字和特殊字元不能放在開頭。
單擊頂部的大量操作,然後選擇下載使用者。
按照頁面提示完成下載操作。
使用Excel開啟下載的CSV檔案,按便捷帳號錄入檔案的格式要求調整使用者資訊,然後儲存為CSV檔案。
說明調整使用者資訊時,您需要注意以下事項:
錄入檔案的格式要求為:
使用者啟用的便捷帳號:第一列為使用者名稱(必填),第二列為郵箱(必填),第三列為手機號(可選)。
管理員啟用的便捷帳號:第一列為使用者名稱(必填),第二列為郵箱(可選),第三列為手機號(可選),第四列為密碼(必填)。
Azure AD下載的使用者資訊CSV檔案中,userPrincipalName列是
使用者名稱@網域名稱的格式,可以提取其首碼作為便捷帳號的使用者名稱;如果userPrincipalName恰好是實際的使用者郵箱,則userPrincipalName列可以作為便捷帳號的郵箱列,如果實際的使用者郵箱與userPrincipalName不一致,請自行錄入郵箱資訊。
準備好CSV檔案後,在無影雲電腦控制台的批量錄入頁簽建立便捷帳號。具體操作,請參見建立便捷帳號。
建立便捷帳號後,請及時為便捷帳號分配雲電腦。具體操作,請參見管理便捷帳號。
步驟二:在Azure AD側建立應用程式並分配使用者
在Azure AD側,您需要建立無影雲電腦對應的應用程式,並將其授權給待使用無影雲電腦的Azure AD使用者。操作步驟如下:
在Azure AD控制台的左側導覽列中單擊公司專屬應用程式程式。
在所有應用程式頁面上單擊建立應用程式。
在頂部功能表列中單擊建立你自己的應用程式。
在彈出面板中輸入應用程式名稱,選擇整合未在庫中找到的任何其他應用程式(非庫),然後單擊建立。
重新整理頁面,單擊新建立的應用程式名稱。
在應用程式詳情頁面的左側導覽列,單擊使用者和組,然後單擊添加使用者/組。
在彈出的添加分配頁面選擇使用者,然後單擊分配。
步驟三:在Azure AD側將無影雲電腦配置為可信SAML SP
將無影雲電腦提供的中繼資料檔案上傳到Azure AD,可以實現在Azure AD側將無影雲電腦配置為可信SAML SP。操作步驟如下:
在無影雲電腦控制台擷取SP中繼資料檔案。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到待開啟SSO的辦公網路並單擊辦公網路ID。
在頁面底部的其他資訊地區,單擊應用中繼資料右側的下載應用中繼資料檔案。
下載的中繼資料檔案會自動儲存到本地的下載路徑。
在Azure AD側為無影雲電腦對應的應用程式配置單一登入。
在Azure AD控制台,開啟步驟二中建立的應用程式。
在應用程式詳情頁面的左側導覽列中單擊單一登入,然後選擇SAML。
單擊上傳中繼資料檔案。
選擇在無影雲電腦控制台下載的SP中繼資料檔案,單擊添加。
在基本SAML配置面板上確認標識符和回複URL是否正確,然後單擊儲存。
說明開啟本地儲存的SP中繼資料檔案,確認標識符和回複URL是否正確:
標識符(實體ID):對應SP中繼資料檔案中
md:EntityDescriptor標籤中的entityID值。
回複URL(斷言使用者服務URL):對應SP中繼資料檔案中
md:AssertionConsumerService標籤中的Location值。
重要上傳SP中繼資料檔案後,如果沒有自動讀取標識符和回複URL,請自行輸入。
步驟四:在無影雲電腦控制台將Azure AD配置為可信SAML IdP
將Azure AD提供的中繼資料檔案上傳到無影雲電腦控制台,可以實現在無影雲電腦控制台將Azure AD配置為可信SAML IdP。操作步驟如下:
在Azure AD側,擷取IdP中繼資料檔案。
在Azure AD控制台,開啟步驟二中建立的應用程式。
在應用程式詳情頁面的左側導覽列,單擊單一登入。
在SAML簽署憑證地區,單擊聯合中繼資料XML對應的下載。
下載的中繼資料檔案將自動儲存到本地的下載路徑。
在無影雲電腦控制台上傳從Azure AD擷取的IdP中繼資料檔案。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到待開啟SSO的辦公網路並單擊辦公網路ID。
在頁面底部的其他資訊地區開啟SSO並上傳IdP中繼資料檔案。
SSO:按需開啟SSO功能的開關。
此功能預設為關閉,此時SSO配置不生效。
IdP中繼資料:單擊上傳檔案,上傳已擷取的IdP中繼資料檔案。
若IdP中繼資料的狀態顯示為完成,則說明企業IdP配置為可信的SAML IdP。
後續步驟
配置完SSO後,終端使用者可以通過驗證身份供應商IdP的身份資訊訪問雲電腦。下文以Windows用戶端為例介紹如何通過SSO串連雲電腦。
開啟Windows用戶端。
在企業版頁面輸入辦公網路ID。
在Azure AD登入頁面,輸入並校正Azure AD的使用者資訊。
成功登入用戶端後,您可以在雲電腦展示頁面找到目標雲電腦卡片,並單擊串連雲電腦。
常見問題
如果在Azure登入頁面出現報錯,請根據錯誤資訊進行排查。
例如:以下錯誤資訊表示沒有把無影雲電腦對應的應用程式分配給使用者,您可以參考步驟二進行分配。
如果無影終端提示
認證失敗,請聯絡您的管理員檢查SSO設定,請檢查SSO相關配置是否有誤。如果無影終端提示
內部錯誤,請聯絡您的管理員,請確認無影雲電腦是否有與Azure AD使用者同名的便捷帳號。