全部產品
Search

搜尋本產品

    Elastic Desktop Service:配置登入方式

    文件中心

    Elastic Desktop Service:配置登入方式

    更新時間:Dec 25, 2024

    藉助無影雲電腦企業版的登入方式設定和安全設定能力,您可以控制終端使用者登入時可用的登入方式,以及提高雲電腦使用過程中各個環節的安全性。例如,單點登入SSO、多因素裝置認證、用戶端登入校正等能力,可以確保在登入之前對終端使用者進行嚴格的身分識別驗證;用戶端逾時自動結束登入的能力,可有效控制資料意外泄露的風險。本文介紹各項登入安全設定能力及其使用方法。

    使用和管理組織ID

    初始的組織ID是由系統自動產生的8位隨機唯一識別碼,僅包含大寫英文字母(不含I、O等容易與數字混淆的字母)和數字。使用組織ID登入無影終端,可以訪問所有辦公網路下的雲電腦。

    組織ID和辦公網路ID的區別

    終端使用者登入無影終端時,可以選擇使用辦公網路ID或者組織ID登入。使用組織ID登入時,可以訪問所有辦公網路下的雲電腦。無影終端對組織ID的支援範圍是:

    • 如果是便捷帳號,所有無影終端均支援使用組織ID登入。

    • 如果是企業AD帳號,則支援使用組織ID登入的無影終端包括:Windows用戶端macOS用戶端(V6.4及以上版本)。

    您可以為組織ID或辦公網路ID開啟多種登入方式和安全驗證方式,但兩者的支援範圍有所差異。下表以便捷辦公網路為例介紹具體差異。

    說明

    AD辦公網路支援的安全驗證方式為多因素認證和SSO。

    對比項

    組織ID

    辦公網路ID

    概念

    組織ID是代表企業身份的唯一標識,開通無影雲電腦服務時,系統自動建立組織ID。

    如果您的阿里雲主帳號已經通過企業實名認證,您可以將自動產生的組織ID修改為自訂的組織ID。具體操作,請參見修改組織ID

    辦公網路ID辦公網路的唯一標識,由系統自動產生,不可修改。

    設定生效範圍

    在組織ID層面完成的登入設定及其安全配置對全部雲電腦生效。

    辦公網路層面完成的登入設定及其安全配置,僅針對該辦公網路下的雲電腦生效。

    無影便捷帳號賬密登入

    支援

    支援

    企業AD帳號賬密登入

    支援

    支援

    自動登入

    支援

    不支援

    逾時自動結束登入

    支援

    不支援

    終端登入數量限制

    支援

    不支援

    簡訊驗證碼登入

    支援

    不支援

    多因素裝置認證MFA

    支援

    支援

    用戶端登入校正

    支援

    支援

    可信裝置認證

    支援

    支援

    單點登入SSO

    支援

    支援

    設定登入驗證方式

    您可以分別為組織ID和辦公網路設定登入驗證方式,兩者互相獨立,互不影響。

    • 如果使用組織ID登入無影終端,則遵循為組織ID設定的驗證登入方式。

    • 如果使用辦公網路ID登入無影終端,則遵循為辦公網路ID設定的驗證登入方式。

    管理組織ID下的登入方式

    若為組織ID配置了多種登入方式,您可以按照以下步驟設定這些登入方式在無影終端介面上的可見度以及顯示順序。

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的通用配置頁簽上,按需將登入方式地區的各種登入方式開啟或關閉,也可以單擊操作列的上移下移來調整它們在無影終端介面上的顯示順序。

    修改組織ID

    當您的阿里雲帳號通過企業實名認證之後,方可基於企業實名資訊申請修改組織ID。關於企業實名認證的詳細資料,請參見帳號認證常見問題

    1. 登入無影雲電腦企業版控制台

    2. 選擇一個操作入口:

      在總覽頁面修改

      1. 在左側導覽列,單擊總覽

      2. 總覽頁面上的我的雲電腦地區,單擊當前組織ID右側的表徵圖。

      3. 在懸浮面板上單擊修改組織ID

        說明

        若您的阿里雲帳號尚未完成企業實名認證,請在確認對話方塊中單擊去認證

      在登入設定頁面修改

      1. 在左側導覽列,選擇使用者管理 > 登入

      2. 登入頁面的通用配置頁簽上,單擊組織ID右側的設定

    3. 修改組織ID對話方塊中,按照介面提示輸入符合要求的組織ID。

      說明

      組織ID的要求:長度為5~15個字元,可包含英文字母(不限制大小寫)、數字和特殊符號,且特殊符號不能放在開頭。

    4. 單擊提交審批並按照介面提示完成操作。

      說明

      組織ID在15天內僅允許修改1次。

    登入通用配置

    自動登入

    該配置項控制終端使用者能否在無影終端登入介面上啟用自動登入,已經在啟用的情況下,可以在登入成功後的多長時間內免去重新輸入登入憑證的步驟。您可以設定為由終端使用者配置,也可以按照以下步驟設定為由管理員配置,並設定具體的自動登入有效期間。

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置

    4. 修改登入配置面板上完成以下配置,並單擊確定

      配置項

      說明

      自動登入

      可選項包括:

      • 終端使用者自訂:終端使用者可以在無影終端上自行啟用或禁用自動登入,而且可以自行設定自動登入的期間。

      • 管理員管控:管理員在無影雲電腦企業版控制台上配置自動登入功能,終端使用者在無影終端上沒有修改許可權。

      自動登入設定

      自動登入設為管理員管控時,該選項可見。您可以開啟或關閉該選項。

      說明

      該功能目前處於邀測中,如需體驗,請提交工單申請開通。

      自動登入有效期間

      自動登入設為管理員管控,且自動登入設定已開啟時,您可以設定自動登入的期間。

      重要

      如果您將某個便捷帳號的密碼有效期間設定為有限的值(30天~365天)而非永久有效,並且此處設定的自動登入有效期間大於該便捷帳號的剩餘密碼有效期間,則可能會導致該便捷帳號在自動登入有效期間內無法自動登入。關於如何設定便捷帳號的密碼有效期間,請參見建立便捷帳號

    逾時自動結束登入

    該功能預設關閉。開啟後,若終端使用者登入了您指定類型的無影終端,但沒有串連任何雲資源(包括雲電腦、雲應用、雲手機、企業網盤等),則當達到您在此處設定的逾時時間長度,無影終端將自動結束登入,從而有效保護雲資源的資料安全。

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置

    4. 修改登入配置面板上完成以下配置,並單擊確定

      配置項

      說明

      逾時自動結束登入

      可以開啟或關閉。

      逾時時間長度

      終端使用者未在無影終端上串連任何雲資源的時間長度。當逾時自動結束登入已開啟時,該選項可見。

      生效終端

      該功能對哪些無影終端生效。

      說明

      若選擇無影自研硬體終端,請注意,僅對V7.5及以上版本的硬體終端生效;若該硬體終端配置了免密登入,則逾時自動結束登入不生效。

      說明

      • 設定用戶端逾時自動結束登入後,終端使用者下次登入用戶端時生效。

      • 在即將達到逾時時間長度之前,終端使用者將收到提醒,終端使用者可以選擇終止該流程,但如果終端使用者不採取任何操作,則用戶端將自動結束登入。

    終端登入數量限制

    預設情況下,終端使用者可以同時登入任意數量的無影終端。您可以在此配置終端登入數量的上限,超過該上限時,終端使用者最早登入的無影終端將自動退登。

    說明

    該功能目前處於邀測中,如需體驗,請提交工單申請開通。

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的通用配置頁簽上,單擊登入配置右側的修改登入配置

    4. 修改登入配置面板上完成以下配置,並單擊確定

      配置項

      說明

      終端登入數量限制

      可以開啟或關閉。

      使用者可登入終端/用戶端數量

      終端使用者可以同時登入的無影終端最大數量(1~10)。當終端登入數量限制已開啟時,該選項可見。

    登入安全配置

    多因素裝置認證MFA

    開啟多因素認證MFA(Multi-Factor Authentication)後,終端使用者登入無影終端時,不僅需要輸入使用者名稱和密碼,還需要輸入多因素認證的動態口令或驗證碼,從而增加一層額外的安全防護。詳細資料,請參見設定登入多因素認證MFA

    用戶端登入校正

    該配置預設關閉。開啟後,終端使用者從新的裝置登入無影終端時需完成郵箱驗證碼校正,校正通過後方可成功登入。

    說明

    僅便捷帳號且網路接入方式為公網串連時生效。

    為組織ID開啟用戶端登入校正

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的安全配置頁簽上,將用戶端登入校正設為開啟

    辦公網路開啟用戶端登入校正

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇網路與儲存 > 辦公網路

    3. 在頂部功能表列左上方處選擇目標地區。

    4. 辦公網路頁面上找到目標辦公網路,單擊辦公網路ID

    5. 辦公網路詳情頁面最底部的其他資訊地區開啟用戶端登入校正開關。

      說明

      SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。

    可信裝置認證

    該配置預設關閉。開啟後,僅允許終端使用者通過已添加的限定登入終端登入。

    說明

    該功能僅適用於便捷帳號。

    前提條件

    已在控制台添加無影終端,並為終端綁定使用者。具體操作,請參見管理軟體用戶端

    開啟步驟

    為組織ID開啟可信裝置認證

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇使用者管理 > 登入

    3. 登入頁面的安全配置頁簽上,將可信裝置認證設定為開啟

    辦公網路開啟可信裝置認證

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇網路與儲存 > 辦公網路

    3. 在頂部功能表列左上方處選擇目標地區。

    4. 辦公網路頁面上找到目標辦公網路,單擊辦公網路ID

    5. 辦公網路詳情頁面最底部的其他資訊地區開啟可信裝置認證開關。

    單點登入SSO

    單點登入SSO(Single Sign On)是一種協助使用者快速存取多個應用系統的安全通訊技術,也稱為身份同盟登入,可以實現在多個系統中,只需要登入一次,就可以訪問其他相互信任的系統。

    相關概念如下:

    • 身份供應商IdP:一個包含有關外部身份供應商中繼資料的實體,提供身份管理服務,負責收集儲存使用者身份資訊(例如使用者名稱、密碼等),在登入時驗證使用者身份。

      常見的身份供應商IdP有:

      • 企業本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。

      • Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。

    • 服務提供者SP:利用IdP的身份管理功能,通過與IdP建立互信關係,為使用者提供具體服務的應用。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供者稱作IdP的信賴方。

    • 安全性聲明標記語言SAML 2.0:實現企業級使用者身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML已經是目前實現企業級SSO的一種事實標準。

    開啟SSO設定並配置SSO之後,終端使用者登入無影終端時將通過SSO方式登入。對於辦公網路,SSO設定預設關閉。對於組織ID,預設開啟SSO設定,不需要開啟任何開關,也不支援關閉SSO設定。

    開啟步驟

    您可以按照以下步驟為辦公網路開啟SSO設定。

    1. 登入無影雲電腦企業版控制台

    2. 在左側導覽列,選擇網路與儲存 > 辦公網路

    3. 在頂部功能表列左上方處選擇目標地區。

    4. 辦公網路頁面上找到目標辦公網路,單擊辦公網路ID

    5. 辦公網路詳情頁面最底部的其他資訊地區開啟SSO設定開關。

      說明

      SSO設定、多因素認證和用戶端登入校正三者之間為互斥關係。同一時間只能為一個辦公網路開啟其中一種登入驗證方式。對於組織ID,上述三者之間沒有互斥關係,可以同時開啟。

    相關文檔