藉助無影雲電腦的登入方式設定和安全設定能力,您可以控制終端使用者登入時可用的登入方式,以及提高雲電腦使用過程中各個環節的安全性。例如,單點登入SSO、多因素裝置認證、用戶端登入校正等能力,可以確保在登入之前對終端使用者進行嚴格的身分識別驗證;用戶端逾時自動結束登入的能力,可有效控制資料意外泄露的風險。本文介紹各項登入安全設定能力及其使用方法。
使用和管理組織ID
初始的組織ID是由系統自動產生的8位隨機唯一識別碼,僅包含大寫英文字母(不含I、O等容易與數字混淆的字母)和數字。使用組織ID登入無影終端,可以訪問所有辦公網路下的雲電腦。
組織ID和辦公網路ID的區別
終端使用者登入無影終端時,可以選擇使用辦公網路ID或者組織ID登入。使用組織ID登入時,可以訪問所有辦公網路下的雲電腦。無影終端對組織ID的支援範圍是:
如果是便捷帳號,所有無影終端均支援使用組織ID登入。
如果是企業AD帳號,僅Windows用戶端和macOS用戶端的V6.4.0及以上版本支援使用組織ID登入。
您可以為組織ID或辦公網路ID開啟多種登入方式和安全驗證方式,但兩者的支援範圍有所差異。下表以便捷辦公網路為例介紹具體差異。
AD辦公網路支援的安全驗證方式為多因素認證和SSO。
對比項 | 組織ID | 辦公網路ID |
概念 | 組織ID是代表企業身份的唯一標識,開通無影雲電腦服務時,系統自動建立組織ID。 如果您的阿里雲主帳號已經通過企業實名認證,您可以將自動產生的組織ID修改為自訂的組織ID。具體操作,請參見修改組織ID。 | 辦公網路ID是辦公網路的唯一標識,由系統自動產生,不可修改。 |
設定生效範圍 | 在組織ID層面完成的登入設定及其安全配置對全部雲電腦生效。 | 在辦公網路層面完成的登入設定及其安全配置,僅針對該辦公網路下的雲電腦生效。 |
無影便捷帳號賬密登入 | 支援 | 支援 |
企業AD帳號賬密登入 | 支援 | 支援 |
單點登入SSO | 支援 | 支援 |
多因素認證 | 支援 | 支援 |
用戶端登入校正 | 支援 | 支援 |
可信裝置認證 | 支援 | 支援 |
硬終端免輸入組織ID | 支援 | 不支援 |
用戶端逾時自動結束登入 | 支援 | 不支援 |
簡訊驗證碼登入 | 支援 | 不支援 |
設定登入驗證方式
您可以分別為組織ID和辦公網路設定登入驗證方式,兩者互相獨立,互不影響。
如果使用組織ID登入無影終端,則遵循為組織ID設定的驗證登入方式。
如果使用辦公網路ID登入無影終端,則遵循為辦公網路ID設定的驗證登入方式。
管理組織ID下的登入方式
若為組織ID配置了多種登入方式,您可以按照以下步驟設定這些登入方式在無影終端介面上的可見度以及顯示順序。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,按需將登入方式地區的各種登入方式開啟或關閉,也可以單擊操作列的上移或下移來調整它們在無影終端介面上的顯示順序。
修改組織ID
當您的阿里雲帳號通過企業實名認證之後,方可基於企業實名資訊申請修改組織ID。關於企業實名認證的詳細資料,請參見帳號認證常見問題。
登入無影雲電腦控制台。
選擇一個操作入口:
在總覽頁面修改
在左側導覽列,單擊雲電腦總覽。
在雲電腦總覽頁面右側的組織ID地區,單擊當前組織ID右側的修改。
在登入設定頁面修改
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,單擊組織ID右側的設定。
在組織ID對話方塊中,按照介面提示輸入符合要求的組織ID。
說明組織ID的要求:長度為5~15個字元,可包含英文字母(不限制大小寫)、數字和特殊符號,且特殊符號不能放在開頭。
單擊提交審批並按照介面提示完成操作。
組織ID在15天內僅允許修改1次。提交審批後,您可以在雲電腦總覽頁面的訊息中心查看審批進展。如有需要,您也可以撤銷修改申請。
登入通用配置
用戶端逾時自動結束登入
該配置預設關閉。開啟後,若終端使用者登入了Windows用戶端或macOS用戶端,但用戶端上沒有串連雲電腦,則當達到您在此處設定的逾時時間長度,用戶端將自動結束登入,可以有效保護雲電腦的資料安全。
設定用戶端逾時自動結束登入後,終端使用者下次登入用戶端時生效。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在登入頁面的通用配置頁簽上,將用戶端逾時自動結束登入設為開啟,並按照頁面提示設定時間長度。
說明在即將達到逾時時間長度之前,終端使用者將收到提醒,終端使用者可以選擇終止該流程,但如果終端使用者不採取任何操作,則用戶端將自動結束登入,
用戶端自動登入
該配置項控制的是終端使用者在成功登入無影終端之後,可以在多長時間內免去重新輸入登入憑證的步驟。您可以設定為由終端使用者配置,也可以按照以下步驟設定為由管理員配置,並設定具體的自動登入有效期間。
登入安全配置
多因素裝置認證MFA
多因素認證是一種簡單有效安全實踐。在辦公網路或組織ID層面啟用多因素認證後,終端使用者首次登入無影終端時需要綁定虛擬MFA裝置,此後每次登入時,系統將校正兩層安全要素:
第一層安全要素:輸入使用者名稱和密碼。
第二層安全要素:輸入虛擬MFA裝置產生的驗證碼。
虛擬MFA:限時單次密碼演算法(TOTP)是一種廣泛採用的多因素認證協議。在手機或其他裝置上,支援TOTP的應用(例如:阿里雲App、Google Authenticator等)被稱為虛擬MFA裝置。如果使用者啟用了虛擬MFA裝置,在使用者登入時,阿里雲將要求使用者必須輸入應用上產生的6位驗證碼,從而避免因密碼被盜而引起的非法登入。
無影終端支援基於軟體的虛擬MFA裝置,您可以在智能手機上安裝阿里雲App來用作虛擬MFA裝置。
為辦公網路開啟多因素裝置認證MFA
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到目標辦公網路,單擊辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區開啟多因素裝置認證開關。
說明SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。
為組織ID開啟多因素裝置認證MFA
登入無影雲電腦控制台。
在左側導覽列,選擇。
在登入頁面的安全配置頁簽上,將多因素裝置認證設為開啟。
用戶端登入校正
該配置預設關閉。開啟後,終端使用者從新的裝置登入無影終端時需完成郵箱驗證碼校正,校正通過後方可成功登入。
僅便捷帳號且網路接入方式為公網串連時生效。
為辦公網路開啟用戶端登入校正
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到目標辦公網路,單擊辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區開啟用戶端登入校正開關。
說明SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。
為組織ID開啟用戶端登入校正
登入無影雲電腦控制台。
在左側導覽列,選擇。
在登入頁面的安全配置頁簽上,將用戶端登入校正設為開啟。
單點登入SSO
單點登入SSO(Single Sign On)是一種協助使用者快速存取多個應用系統的安全通訊技術,也稱為身份同盟登入,可以實現在多個系統中,只需要登入一次,就可以訪問其他相互信任的系統。
相關概念如下:
身份供應商IdP:一個包含有關外部身份供應商中繼資料的實體,提供身份管理服務,負責收集儲存使用者身份資訊(例如使用者名稱、密碼等),在登入時驗證使用者身份。
常見的身份供應商IdP有:
企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服務提供者SP:利用IdP的身份管理功能,通過與IdP建立互信關係,為使用者提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供者稱作IdP的信賴方。
安全性聲明標記語言SAML 2.0:實現企業級使用者身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。
開啟SSO設定並配置SSO之後,終端使用者登入無影終端時將通過SSO方式登入。對於辦公網路,SSO設定預設關閉。對於組織ID,預設開啟SSO設定,不需要開啟任何開關,也不支援關閉SSO設定。
開啟步驟
您可以按照以下步驟為辦公網路開啟SSO設定。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上找到目標辦公網路,單擊辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區開啟SSO設定開關。
說明SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。
相關文檔
關於如何基於SAML配置SSO,請參見基於SAML配置SSO。
關於雲電腦與企業身份供應商IdP的最佳實務,請參見單點登入SSO。