如果无影云电脑已经对接企业AD,您可以参考本文配置AD FS和无影云电脑之间的SSO。配置SSO后,当终端用户使用AD账号登录无影终端时,在AD FS页面通过验证AD用户信息方可成功登录。
准备工作
已完成企业AD和无影云电脑对接并创建企业AD办公网络。关于如何创建企业AD办公网络,请参见创建并配置AD办公网络。
操作步骤
本文以Windows Server 2012 R2的AD FS为例指导您如何配置SSO。
步骤一:在无影云电脑将AD FS配置为可信SAML IdP
获取IdP元数据文件。
在浏览器中输入以下地址获取IdP元数据文件。
IdP元数据文件的获取地址为:https://<AD server>/FederationMetadata/2007-06/FederationMetadata.xml。其中<AD Server>为AD FS的域名或者IP地址。
下载元数据文件到本地。
在无影云电脑控制台上传IdP元数据文件。
登录无影云电脑控制台。
在左侧导航栏,选择网络与存储 > 办公网络(原工作区)。
在办公网络(原工作区)页面,找到目标开启SSO的AD办公网络并单击办公网络ID。
在办公网络详情页面的左侧导航栏,选择其他信息。
在其他信息区域,开启SSO并上传IdP元数据文件。
SSO:按需开启SSO功能的开关。
此功能默认为关闭,此时SSO配置不生效。
IdP元数据:单击上传文件,上传企业IdP提供的元数据文件。
IdP元数据的状态显示为完成,则说明企业IdP配置为可信的SAML IdP。
步骤二:在AD FS侧将无影云电脑配置为可信SAML SP
在无影云电脑下载元数据文件。
登录无影云电脑控制台。
在左侧导航栏,选择网络与存储 > 办公网络(原工作区)。
在办公网络(原工作区)页面,找到目标已开启SSO的AD办公网络并单击办公网络ID。
在办公网络详情页面的左侧导航栏,选择其他信息。
在其他信息区域,应用元数据后单击下载应用元数据文件下载元数据文件到本地。
在AD FS中上传元数据文件。
登录AD FS所在服务器,打开服务器管理。
在右上角选择 。
在AD FS对话框的左侧导航栏中,选择 。
添加信赖方依赖。
在右侧操作区域,单击添加信赖方信任。
按照向导完成添加信赖方信任。
选择数据源时请选择从文件导入有关信赖方的数据,导入第1步获取的SP元数据文件。
编辑声明规则。
在信赖方信任列表中,右键单击上一步添加的信赖方依赖,选择编辑声明规则。
在弹出的对话框中,单击添加规则。
按照向导完成规则配置。
配置说明如下:
选择规则类型时,声明规则模板请选择以声明方式发送LADP特性。
配置声明规则时,特性存储请选择Active Directory,LDAP特性到传出声明类型的映射中添加一条SAM-Account-Name到名称 ID的映射,或者UPN到名称 ID的映射。
后续步骤
使用SSO功能登录客户端前,请确保您本地可以访问AD FS的域名地址。
配置完SSO后,终端用户使用企业AD账号登录无影终端时,输入办公网络ID后,将自动打开AD FS页面,终端用户需输入企业AD用户的用户名和密码,验证身份信息通过后,方可成功登录。
FAQ
如果在输入AD用户名和密码时,一直无法登录,则表示在AD FS登录验证失败。可能原因和解决方法如下:
AD用户名或者密码不正确
此时您需要登录AD域服务器查看AD用户名或者重置密码。
AD FS配置错误。请登录AD FS服务器检查信赖方信任和规则配置。
重置密码时,建议不要设置下次登录时需更改密码。如果新建用户或者重置用户密码时,设置了下次登录时需更改密码,请按照提示修改密码后再使用SSO,输入AD用户的用户名和密码登录无影终端。