本文介绍Azure AD(Azure Active Directory)与无影云电脑的SSO配置流程。配置SSO后,当终端用户访问云电脑时,验证Azure AD的用户信息进行登录,就可以实现安全统一的登录管理。
背景信息
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
操作步骤
如果您使用Azure AD管理用户账号,可以配置无影云电脑的便捷账号与Azure AD用户进行SSO。此时,无影云电脑作为服务提供商SP,Azure AD作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以安全使用Azure AD内部的访问凭据连接云电脑。
步骤一:在无影云电脑控制台创建与Azure AD用户同名的便捷账号
对于待使用云电脑的Azure AD用户,您需要在无影云电脑控制台创建与Azure AD用户同名的便捷账号。
创建便捷账号时,您可以在手动录入页签或者批量录入页签录入用户信息。如果用户数量较少,可直接在手动录入页签录入用户信息;如果用户数量较多,建议您在批量录入页签录入用户信息。
录入用户信息时,输入的便捷账号的用户名需要和Azure AD用户的用户名保持一致(字母大小写不敏感)。
在批量录入页签录入用户之前,您需要参考下文描述,准备好符合便捷账号格式要求的CSV文件。
在Azure AD中下载包含用户信息的CSV文件。
登录Azure AD控制台。
在左侧导航栏,单击用户。
在所有用户(预览版)页面,确认用户信息是否符合要求。
Azure AD的用户名需符合无影云电脑的便捷账号用户名格式要求,如果不符合要求,您需要进行修改,否则无法创建对应的便捷账号。
便捷账号的用户名格式要求为:
长度要求为3~24位。
支持小写字母、数字和特殊字符,其中特殊字符包括短划线(-)、下划线(_)和半角句号(.)。
必须以小写字母作为开头,即数字和特殊字符不能放在开头。
单击顶部的批量操作,然后选择下载用户。
按照页面提示完成下载操作。
使用Excel打开下载的CSV文件,按便捷账号录入文件的格式要求调整用户信息,然后保存为CSV文件。
说明调整用户信息时,您需要注意以下事项:
录入文件的格式要求为:
用户激活的便捷账号:第一列为用户名(必填),第二列为邮箱(必填),第三列为手机号(可选)。
管理员激活的便捷账号:第一列为用户名(必填),第二列为邮箱(可选),第三列为手机号(可选),第四列为密码(必填)。
Azure AD下载的用户信息CSV文件中,userPrincipalName列是
用户名@域名的格式,可以提取其前缀作为便捷账号的用户名;如果userPrincipalName恰好是实际的用户邮箱,则userPrincipalName列可以作为便捷账号的邮箱列,如果实际的用户邮箱与userPrincipalName不一致,请自行录入邮箱信息。
准备好CSV文件后,在无影云电脑控制台的批量录入页签创建便捷账号。具体操作,请参见创建便捷账号。
新建便捷账号后,请及时为便捷账号分配云电脑。具体操作,请参见管理便捷账号。
步骤二:在Azure AD侧创建应用程序并分配用户
在Azure AD侧,您需要创建无影云电脑对应的应用程序,并将其授权给待使用无影云电脑的Azure AD用户。操作步骤如下:
在Azure AD控制台的左侧导航栏中单击企业应用程序。
在所有应用程序页面上单击新建应用程序。
在顶部菜单栏中单击创建你自己的应用程序。
在弹出面板中输入应用名称,选择集成未在库中找到的任何其他应用程序(非库),然后单击创建。
刷新页面,单击新创建的应用程序名称。
在应用程序详情页面的左侧导航栏,单击用户和组,然后单击添加用户/组。
在弹出的添加分配页面选择用户,然后单击分配。
步骤三:在Azure AD侧将无影云电脑配置为可信SAML SP
将无影云电脑提供的元数据文件上传到Azure AD,可以实现在Azure AD侧将无影云电脑配置为可信SAML SP。操作步骤如下:
在无影云电脑控制台获取SP元数据文件。
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到待开启SSO的办公网络并单击办公网络ID。
在页面底部的其他信息区域,单击应用元数据右侧的下载应用元数据文件。
下载的元数据文件会自动保存到本地的下载路径。
在Azure AD侧为无影云电脑对应的应用程序配置单一登录。
在Azure AD控制台,打开步骤二中创建的应用程序。
在应用程序详情页面的左侧导航栏中单击单一登录,然后选择SAML。
单击上传元数据文件。
选择在无影云电脑控制台下载的SP元数据文件,单击添加。
在基本SAML配置面板上确认标识符和回复URL是否正确,然后单击保存。
说明打开本地保存的SP元数据文件,确认标识符和回复URL是否正确:
标识符(实体ID):对应SP元数据文件中
md:EntityDescriptor标签中的entityID值。
回复URL(断言使用者服务URL):对应SP元数据文件中
md:AssertionConsumerService标签中的Location值。
重要上传SP元数据文件后,如果没有自动读取标识符和回复URL,请自行输入。
步骤四:在无影云电脑控制台将Azure AD配置为可信SAML IdP
将Azure AD提供的元数据文件上传到无影云电脑控制台,可以实现在无影云电脑控制台将Azure AD配置为可信SAML IdP。操作步骤如下:
在Azure AD侧,获取IdP元数据文件。
在Azure AD控制台,打开步骤二中创建的应用程序。
在应用程序详情页面的左侧导航栏,单击单一登录。
在SAML签名证书区域,单击联合元数据XML对应的下载。
下载的元数据文件将自动保存到本地的下载路径。
在无影云电脑控制台上传从Azure AD获取的IdP元数据文件。
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到待开启SSO的办公网络并单击办公网络ID。
在页面底部的其他信息区域开启SSO并上传IdP元数据文件。
SSO:按需开启SSO功能的开关。
此功能默认为关闭,此时SSO配置不生效。
IdP元数据:单击上传文件,上传已获取的IdP元数据文件。
若IdP元数据的状态显示为完成,则说明企业IdP配置为可信的SAML IdP。
后续步骤
配置完SSO后,终端用户可以通过验证身份提供商IdP的身份信息访问云电脑。下文以Windows客户端为例介绍如何通过SSO连接云电脑。
打开Windows客户端。
在企业版页面输入办公网络ID。
在Azure AD登录页面,输入并校验Azure AD的用户信息。
成功登录客户端后,您可以在云电脑展示页面找到目标云电脑卡片,并单击连接云电脑。
常见问题
如果在Azure登录页面出现报错,请根据错误信息进行排查。
例如:以下错误信息表示没有把无影云电脑对应的应用程序分配给用户,您可以参考步骤二进行分配。
如果无影终端提示
认证失败,请联系您的管理员检查SSO设置,请检查SSO相关配置是否有误。如果无影终端提示
内部错误,请联系您的管理员,请确认无影云电脑是否有与Azure AD用户同名的便捷账号。