如果您的企業使用AD(Active Directory)網域服務來系統管理使用者帳號資訊,則可以將無影雲電腦作為服務提供者SP,將AD FS(Active Directory Federation Services)作為身份供應商IdP,讓兩者基於SAML協議互相交換中繼資料檔案來實現SSO。本文介紹具體的實現方法。
背景資訊
單點登入SSO(Single Sign On)是一種協助使用者快速存取多個應用系統的安全通訊技術,也稱為身份同盟登入,可以實現在多個系統中,只需要登入一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份供應商IdP:一個包含有關外部身份供應商中繼資料的實體,提供身份管理服務,負責收集儲存使用者身份資訊(例如使用者名稱、密碼等),在登入時驗證使用者身份。
常見的身份供應商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供者SP:利用IdP的身份管理功能,通過與IdP建立互信關係,為使用者提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供者稱作IdP的信賴方。
安全性聲明標記語言SAML 2.0:實現企業級使用者身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
AD情境下,如果您不想在無影雲電腦控制台建立AD辦公網路來對接AD(採用該方式時無影雲電腦會擷取AD資訊),也可以通過在無影雲電腦控制台建立與AD使用者同名的便捷帳號來實現SSO。
如果您已對接企業AD並建立AD辦公網路,可直接配置AD使用者進行SSO。具體操作,請參見AD FS和無影雲電腦AD使用者實現SSO。
準備工作
在無影雲電腦控制台上建立便捷帳號時,可以採用以下方法之一:
手動錄入:通過手動填寫使用者資訊,逐一建立帳號。如果使用者數量較少,建議採用此方式。
重要錄入使用者資訊時,輸入的便捷帳號的使用者名稱必須與AD使用者的使用者名稱保持一致(字母不區分大小寫)。
批量錄入:通過CSV檔案匯入使用者資訊,大量建立帳號。如果使用者數量較多,建議採用此方式。
若採用批量錄入的方式,請按照以下步驟準備好符合便捷帳號格式要求的CSV檔案。
在AD網域服務器中,建立包含AD使用者資訊的CSV檔案。
確認已有AD使用者資訊是否符合要求。
重要AD使用者名稱需符合便捷帳號的使用者名稱格式要求,如果不符合要求,您需要先修改,否則無法建立對應的便捷帳號。詳細資料,請參見便捷使用者名稱稱規範。
在PowerShell中執行
Get-ADUser命令,以匯出包含AD使用者資訊的CSV檔案。請根據需要調整命令參數,匯出相應的CSV檔案。例如:擷取所有AD使用者資訊匯出CSV檔案並儲存到指定路徑,可以執行以下命令:
Get-ADUser -filter * |export-csv <檔案儲存路徑> -Encoding utf8假設儲存到
C:\Users目錄,檔案命名為test.csv,則命令如下:Get-ADUser -filter * |export-csv C:\Users\test.csv -Encoding utf8
使用試算表處理軟體開啟CSV檔案,按便捷帳號錄入檔案的格式要求調整使用者資訊,然後儲存。
調整使用者資訊時,請注意以下事項:
錄入檔案的格式要求為:
使用者啟用的便捷帳號:第一列為使用者名稱(必填),第二列為郵箱(必填),第三列為手機號(可選)。
管理員啟用的便捷帳號:第一列為使用者名稱(必填),第二列為郵箱(可選),第三列為手機號(可選),第四列為密碼(必填)。
匯出的CSV檔案中,SamAccountName列可以作為便捷帳號的使用者名稱列,UserPrincipalName列可以作為便捷帳號的郵箱列,如果實際的使用者郵箱與userPrincpleName不一致,請自行錄入郵箱資訊。
步驟一:建立與AD使用者同名的便捷帳號
登入無影雲電腦控制台。
在左側導覽列,選擇。
在使用者與組織頁面的使用者頁簽上單擊建立使用者,然後按需選擇以下一種方式建立便捷帳號。
手動建立
單擊手動錄入頁簽。
按需選擇便捷帳號類型。
支援選擇使用者啟用和管理員啟用兩種類型。
根據帳號類型填寫相應的帳號資訊。
重要郵箱用於終端使用者接收雲電腦分配資訊、登入資訊、初始密碼或重設密碼等通知,請務必填寫正確的郵箱。
使用者啟用:填寫使用者名稱和郵箱。
管理員啟用:填寫使用者名稱和使用者密碼。
(可選)按需填寫帳號的補充資訊。
(可選)按需選擇帳號所屬的組織節點。
您可以在此選擇,也可以在建立便捷帳號之後按需為其添加組織。
(可選)建立的便捷帳號預設開通本地管理員許可權。如果不賦予該許可權,請選擇否。
說明獲得本地管理員權限的使用者帳號可以在雲電腦中自行安裝軟體,或者修改某些系統設定。
(可選)帳號的密碼有效期間預設為永久有效。您也可以輸入30~365天的有效期間。當密碼到期後,必須先修改密碼才能繼續登入。
說明該功能目前處於邀測中,如需體驗,請提交工單申請開通。
(條件)如果是管理員啟用的便捷帳號,可按需選擇帳號鎖定時間。
便捷帳號鎖定後,終端使用者無法使用該便捷帳號登入無影終端。
大量建立
單擊批量錄入頁簽。
按需選擇便捷帳號類型。
支援選擇使用者啟用和管理員啟用兩種類型。
(可選)帳號的密碼有效期間預設為永久有效。您也可以輸入30~365天的有效期間。當密碼到期後,必須先修改密碼才能繼續登入。
說明該功能目前處於邀測中,如需體驗,請提交工單申請開通。
選擇以下一種方式製作使用者資訊檔。
單擊下載模板,下載並開啟模板,按照格式錄入使用者資訊後儲存。
說明如果是使用者啟用,錄入使用者資訊時,第一列
Username是使用者名稱,第二列Email是使用者郵箱,均為必填項。如果是管理員啟用,錄入使用者資訊時,第一列
Username是使用者名稱,第四列Password是密碼,均為必填項。
使用Excel錄入使用者資訊,然後另存新檔CSV檔案。
單擊選擇檔案,選擇已錄入使用者資訊的檔案並按照提示完成操作,系統將自動匯入檔案中的使用者資訊。
匯入完成後,建立使用者面板提示建立成功,此時單擊查看帳號,可以查看各個使用者資料的匯入情況。如果匯入失敗,請檢查檔案中的使用者資訊是否符合格式要求。
單擊關閉。
建立完成後 ,您可以在使用者頁簽查看到相應的便捷帳號資訊,且使用者的狀態為正常。
說明成功建立便捷帳號後,系統不會發送通知。只有為便捷帳號分配雲電腦或雲電腦池後,才會向相應連絡方式發送通知。
步驟二:在無影雲電腦控制台將AD FS配置為可信SAML IdP
從AD FS擷取Idp中繼資料檔案並下載到本地。
IdP中繼資料檔案的擷取地址為:
https://<ADFS server>/FederationMetadata/2007-06/FederationMetadata.xml。其中<ADFS Server>為AD FS伺服器的網域名稱或者IP地址。在無影雲電腦控制台上傳AD FS提供的IdP中繼資料檔案。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到需要開啟SSO的辦公網路,並單擊辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區,單擊右上方的展開,然後開啟SSO設定開關。
在IdP中繼資料右側單擊上傳檔案,並上傳從AD FS擷取的IdP中繼資料檔案。
步驟三:在AD FS中將無影雲電腦配置為可信SAML SP
在無影雲電腦控制台擷取SP中繼資料檔案。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到待開啟SSO的辦公網路並單擊辦公網路ID。
在頁面底部的其他資訊地區,單擊應用中繼資料右側的下載應用中繼資料檔案。
下載的中繼資料檔案會自動儲存到本地的下載路徑。
在AD FS中上傳無影雲電腦提供的SP中繼資料檔案。
登入AD FS所在伺服器,開啟伺服器管理。
在右上方選擇。
在AD FS對話方塊的左側導覽列中,選擇。
在右側操作地區,單擊添加信賴方信任。
根據嚮導的指示完成後續操作。
選擇資料來源時請選擇從檔案匯入有關信賴方的資料,匯入從無影雲電腦擷取的SP中繼資料檔案。其他步驟中均保持預設配置即可。
在AD FS中編輯信賴方信任的聲明規則,為無影雲電腦SP配置SAML斷言屬性。
在信賴方信任清單中,按右鍵上一步添加的信賴方信任,選擇編輯聲明規則。
在彈出的對話方塊中,單擊添加規則。
按照嚮導完成規則配置。
配置說明如下:
選擇規則類型時,聲明規則模板選擇轉換傳入聲明。
配置聲明規則時,傳入宣告類型選擇UPN,傳出宣告類型選擇名稱 ID。
步驟四:驗證效果
下文以Windows用戶端7.2.2版為例。
開啟Windows用戶端,在頂部選擇企業版,在底部選中我已閱讀並同意《隱私政策》,並輸入登入憑證中的辦公網路ID,然後單擊表徵圖。
在AD FS登入頁面,輸入並校正AD的使用者資訊。
登入成功後,您可以在用戶端的雲資源清單介面找到目標雲電腦卡片,在卡片上單擊開機和串連雲電腦即可。