支援與Azure AD(Azure Active Directory)和AD FS(AD使用者)進行單點登入,從而實現快速串連雲電腦。
SSO簡介
單點登入SSO(Single Sign On)是一種協助使用者快速存取多個應用系統的安全通訊技術,也稱為身份同盟登入,可以實現在多個系統中,只需要登入一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份供應商IdP:一個包含有關外部身份供應商中繼資料的實體,提供身份管理服務,負責收集儲存使用者身份資訊(例如使用者名稱、密碼等),在登入時驗證使用者身份。
常見的身份供應商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供者SP:利用IdP的身份管理功能,通過與IdP建立互信關係,為使用者提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供者稱作IdP的信賴方。
安全性聲明標記語言SAML 2.0:實現企業級使用者身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
建立WUYING Workspace與企業身份供應商(IdP)之間的互信關係,需要分別在WUYING Workspace和企業IdP之間交換中繼資料。關於如何基於SAML配置SSO的基於SAML配置SSO。
限制
以下支援SSO:
使用情境
您希望從WUYING Workspace的登入頁面開始發起登入,而非直接存取您IdP的登入頁面。此時可以考慮使用SSO登入,具體採用哪種方式實現SSO,需要根據您實際的業務情境決定。下表為您列舉了常見的企業身份供應商(IdP)和WUYING Workspace實現SSO的使用情境和相關配置。
情境 | 說明 | 配置SSO的操作指導 |
通過Azure AD進行登入驗證,實現快速登入以串連雲電腦。 | 如果您使用Azure AD系統管理使用者帳號,可以配置的便捷使用者與Azure AD使用者進行SSO。此時,作為服務提供者SP,Azure AD作為身份供應商IdP,兩者基於SAML協議,互相交換中繼資料檔案,即可實現SSO。配置SSO後,您可以安全使用Azure AD內部的訪問憑據串連雲電腦。 | |
對接企業AD時,通過配置AD FS(企業AD使用者)與的便捷使用者SSO。配置後,只需在AD FS側進行登入驗證,實現快速登入以串連雲電腦。 | 如果您的企業已使用AD(Active Directory)網域服務來系統管理使用者帳號資訊,則可以配合使用AD FS(Active Directory Federation Services)實現單點登入SSO。此時,作為服務提供者SP,AD FS作為身份供應商IdP,兩者基於SAML協議,互相交換中繼資料檔案,即可實現SSO。配置SSO後,您可以使用AD FS提供的訪問憑據串連雲電腦。 |