配置基於SAML的SSO時,為了建立Elastic Desktop Service與企業身份供應商IdP(下文簡稱為企業IdP)之間的互信關係,需要完成以Elastic Desktop Service作為SP的SAML配置和企業IdP的SAML配置,配置完成後終端使用者在登入無影終端時才能使用SSO。本文介紹如何配置基於SAML 2.0的SSO。
背景資訊
單點登入SSO(Single Sign On)是一種協助使用者快速存取多個應用系統的安全通訊技術,也稱為身份同盟登入,可以實現在多個系統中,只需要登入一次,就可以訪問其他相互信任的系統。
詳細資料,請參見配置登入方式。
在辦公網路中配置SSO
步驟一:在企業IdP側將Elastic Desktop Service配置為可信的SAML SP
在Elastic Desktop Service控制台擷取SAML服務提供者的中繼資料檔案。
登入無影雲電腦控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上,找到已開啟SSO設定的目標辦公網路,並單擊其辦公網路ID。
在辦公網路詳情頁面最底部的其他資訊地區,單擊右上方的展開,並在應用中繼資料右側單擊下載應用中繼資料檔案。
在企業IdP中建立一個SAML服務提供者,並使用上述中繼資料檔案,將Elastic Desktop Service配置為可信的SAML SP。
步驟二:在Elastic Desktop Service側將企業IdP配置為可信的SAML IdP
在辦公網路詳情頁面最底部的其他資訊地區,開啟SSO設定開關。
開啟SSO設定後,終端的賬密登入頁面將替換為企業IdP登入頁面。
在IdP中繼資料右側單擊上傳檔案,並上傳由企業IdP提供的中繼資料檔案。
說明中繼資料檔案一般為XML格式,包含IdP的登入服務地址以及X.509密鑰憑證(用於驗證IdP所頒發的SAML斷言的有效性)。
步驟三:建立與企業IdP相匹配的使用者
在Elastic Desktop Service側建立與企業IdP匹配的使用者。具體操作,請參見建立便捷帳號或建立AD帳號。
建立使用者時,您可以自行設定使用者密碼,使用者密碼無需和企業IdP已知使用者名稱的密碼保持一致。
在組織ID中配置SSO
步驟一:在Elastic Desktop Service側將企業IdP配置為可信的SAML IdP
在左側導覽列,選擇。
在企業身份源頁面上,根據您的情況執行以下操作之一:
若此前從未添加過任何企業身份源,則直接單擊頁面上的SAML卡片。
若此前已添加過企業身份源,則單擊頁面左上方的新增企業身份源,並在新增企業身份源面板上單擊SAML卡片。
在新增企業身份源面板上填寫以下配置資訊,並單擊確定。
配置項
描述
企業身份源名稱
用於識別企業IdP的名稱。
企業身份源類型
選擇SAML。
IdP中繼資料
單擊上傳檔案,上傳企業IdP提供的中繼資料檔案。
帳號類型
支援便捷帳號和企業AD帳號。如果選擇企業AD帳號,還需要選擇AD網域名稱稱。
步驟二:在企業IdP側將Elastic Desktop Service配置為可信的SAML SP
在Elastic Desktop Service控制台擷取SAML服務提供者的中繼資料檔案。
在左側導覽列,選擇。
在企業身份源頁面上找到目標企業身份源,並在操作列單擊編輯。
在編輯企業身份源面板的應用中繼資料下方單擊下載檔案。
在企業IdP中建立一個SAML服務提供者,並使用上述中繼資料檔案將Elastic Desktop Service配置為可信的SAML SP。
步驟三:建立與企業IdP相匹配的使用者
在Elastic Desktop Service側建立與企業IdP匹配的使用者。具體操作,請參見建立便捷帳號或建立AD帳號。
建立使用者時,您可以自行設定使用者密碼,使用者密碼無需和企業IdP已知使用者名稱的密碼保持一致。
相關文檔
關於在Elastic Desktop Service和企業IdP之間實現SSO的最佳實務,請參考: