借助无影云电脑的登录方式设置和安全设置能力,您可以控制终端用户登录时可用的登录方式,以及提高云电脑使用过程中各个环节的安全性。例如,单点登录SSO、多因素设备认证、客户端登录校验等能力,可以确保在登录之前对终端用户进行严格的身份验证;客户端超时自动退出登录的能力,可有效控制数据意外泄露的风险。本文介绍各项登录安全设置能力及其使用方法。
使用和管理组织ID
初始的组织ID是由系统自动生成的8位随机唯一标识符,仅包含大写英文字母(不含I、O等容易与数字混淆的字母)和数字。使用组织ID登录无影终端,可以访问所有办公网络下的云电脑。
组织ID和办公网络ID的区别
终端用户登录无影终端时,可以选择使用办公网络ID或者组织ID登录。使用组织ID登录时,可以访问所有办公网络下的云电脑。无影终端对组织ID的支持范围是:
如果是便捷账号,所有无影终端均支持使用组织ID登录。
如果是企业AD账号,仅Windows客户端和macOS客户端的V6.4.0及以上版本支持使用组织ID登录。
您可以为组织ID或办公网络ID开启多种登录方式和安全验证方式,但两者的支持范围有所差异。下表以便捷办公网络为例介绍具体差异。
AD办公网络支持的安全验证方式为多因素认证和SSO。
对比项 | 组织ID | 办公网络ID |
概念 | 组织ID是代表企业身份的唯一标识,开通无影云电脑服务时,系统自动创建组织ID。 如果您的阿里云主账号已经通过企业实名认证,您可以将自动生成的组织ID修改为自定义的组织ID。具体操作,请参见修改组织ID。 | 办公网络ID是办公网络的唯一标识,由系统自动生成,不可修改。 |
设置生效范围 | 在组织ID层面完成的登录设置及其安全配置对全部云电脑生效。 | 在办公网络层面完成的登录设置及其安全配置,仅针对该办公网络下的云电脑生效。 |
无影便捷账号账密登录 | 支持 | 支持 |
企业AD账号账密登录 | 支持 | 支持 |
单点登录SSO | 支持 | 支持 |
多因素认证 | 支持 | 支持 |
客户端登录校验 | 支持 | 支持 |
可信设备认证 | 支持 | 支持 |
硬终端免输入组织ID | 支持 | 不支持 |
客户端超时自动退出登录 | 支持 | 不支持 |
短信验证码登录 | 支持 | 不支持 |
设置登录验证方式
您可以分别为组织ID和办公网络设置登录验证方式,两者互相独立,互不影响。
如果使用组织ID登录无影终端,则遵循为组织ID设置的验证登录方式。
如果使用办公网络ID登录无影终端,则遵循为办公网络ID设置的验证登录方式。
管理组织ID下的登录方式
若为组织ID配置了多种登录方式,您可以按照以下步骤设置这些登录方式在无影终端界面上的可见性以及显示顺序。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,按需将登录方式区域的各种登录方式打开或关闭,也可以单击操作列的上移或下移来调整它们在无影终端界面上的显示顺序。
修改组织ID
当您的阿里云账号通过企业实名认证之后,方可基于企业实名信息申请修改组织ID。关于企业实名认证的详细信息,请参见账号认证常见问题。
登录无影云电脑企业版控制台。
选择一个操作入口:
在总览页面修改
在左侧导航栏,单击总览。
在总览页面右侧的组织ID区域,单击当前组织ID右侧的修改。
在登录设置页面修改
在左侧导航栏,选择
。在登录页面的通用配置页签上,单击组织ID右侧的设置。
在组织ID对话框中,按照界面提示输入符合要求的组织ID。
说明组织ID的要求:长度为5~15个字符,可包含英文字母(不限制大小写)、数字和特殊符号,且特殊符号不能放在开头。
单击提交审批并按照界面提示完成操作。
组织ID在15天内仅允许修改1次。提交审批后,您可以在总览页面的消息中心查看审批进展。如有需要,您也可以撤销修改申请。
登录通用配置
客户端超时自动退出登录
该配置默认关闭。开启后,若终端用户登录了Windows客户端或macOS客户端,但客户端上没有连接云电脑,则当达到您在此处设置的超时时长,客户端将自动退出登录,可以有效保护云电脑的数据安全。
设置客户端超时自动退出登录后,终端用户下次登录客户端时生效。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,将客户端超时自动退出登录设为开启,并按照页面提示设置时长。
说明在即将达到超时时长之前,终端用户将收到提醒,终端用户可以选择终止该流程,但如果终端用户不采取任何操作,则客户端将自动退出登录。
客户端自动登录
该配置项控制的是终端用户在成功登录无影终端之后,可以在多长时间内免去重新输入登录凭证的步骤。您可以设置为由终端用户配置,也可以按照以下步骤设置为由管理员配置,并设置具体的自动登录有效期。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的通用配置页签上,将客户端自动登录设为由管理员配置。
在客户端自动登录配置对话框中选择一个有效期,并单击确定。
重要如果您将某个便捷账号的密码有效期设置为有限的值(30天~365天)而非永久有效,并且此处设置的自动登录有效期大于该便捷账号的剩余密码有效期,则可能会导致该便捷账号在自动登录有效期内无法自动登录。关于如何设置便捷账号的密码有效期,请参见创建便捷账号。
登录安全配置
多因素设备认证MFA
多因素认证是一种简单有效的安全实践。在办公网络或组织ID层面启用多因素认证后,终端用户首次登录无影终端时需要绑定虚拟MFA设备,此后每次登录时,系统将校验两层安全要素:
第一层安全要素:输入用户名和密码。
第二层安全要素:输入虚拟MFA设备生成的验证码。
虚拟MFA:基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位验证码,从而避免因密码被盗而引起的非法登录。
无影终端支持基于软件的虚拟MFA设备,您可以在智能手机上安装阿里云App来用作虚拟MFA设备。
为办公网络开启多因素设备认证MFA
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络,单击办公网络ID。
在办公网络详情页面最底部的其他信息区域打开多因素设备认证开关。
说明SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。对于组织ID,上述三者之间没有互斥关系,可以同时开启。
为组织ID开启多因素设备认证MFA
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的安全配置页签上,将多因素设备认证设为开启。
客户端登录校验
该配置默认关闭。开启后,终端用户从新的设备登录无影终端时需完成邮箱验证码校验,校验通过后方可成功登录。
仅便捷账号且网络接入方式为公网连接时生效。
为办公网络开启客户端登录校验
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络,单击办公网络ID。
在办公网络详情页面最底部的其他信息区域打开客户端登录校验开关。
说明SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。对于组织ID,上述三者之间没有互斥关系,可以同时开启。
为组织ID开启客户端登录校验
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在登录页面的安全配置页签上,将客户端登录校验设为开启。
单点登录SSO
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
开启SSO设置并配置SSO之后,终端用户登录无影终端时将通过SSO方式登录。对于办公网络,SSO设置默认关闭。对于组织ID,默认开启SSO设置,不需要打开任何开关,也不支持关闭SSO设置。
开启步骤
您可以按照以下步骤为办公网络开启SSO设置。
登录无影云电脑企业版控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络,单击办公网络ID。
在办公网络详情页面最底部的其他信息区域打开SSO设置开关。
说明SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。对于组织ID,上述三者之间没有互斥关系,可以同时开启。
相关文档
关于如何基于SAML配置SSO,请参见基于SAML配置SSO。
关于云电脑与企业身份提供商IdP的最佳实践,请参见单点登录SSO。