无影云电脑支持与Azure AD(Azure Active Directory)、应用身份服务IDaaS(Alibaba Cloud Identity as a Service)、AD FS(AD用户)和钉钉进行单点登录,从而实现快速连接云电脑。
SSO简介
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:阿里云应用身份服务 、Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
建立无影云电脑与企业身份提供商(IdP)之间的互信关系,需要分别在无影云电脑和企业IdP之间交换元数据。关于如何基于SAML配置SSO的具体操作,请参见基于SAML配置SSO。
无影终端限制
以下无影终端支持SSO:
Windows客户端
macOS客户端
Web客户端
iOS客户端
Android客户端
盒式云电脑终端AS01
无影魔方AS05
无影23.8寸一体机US01
使用场景
您希望从无影云电脑的登录页面开始发起登录,而非直接访问您IdP的登录页面。此时可以考虑使用SSO登录,具体采用哪种方式实现SSO,需要根据您实际的业务场景决定。下表为您列举了常见的企业身份提供商(IdP)和无影云电脑实现SSO的使用场景和相关配置。
场景 | 说明 | 配置SSO的操作指导 |
通过IDaaS进行登录验证,实现快速登录无影终端以连接云电脑。 | 如果您使用IDaaS中的EIAM管理用户账号,可以配置无影云电脑的便捷用户或企业AD用户与IDaaS用户实现SSO。此时,无影云电脑作为服务提供商SP,IDaaS作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以安全使用IDaaS的访问凭据连接云电脑。 | IDaaS和无影云电脑SSO的示例 |
通过LDAP进行登录验证,实现快速登录无影终端以连接云电脑。 | 如果您使用LDAP服务器管理用户账号,可以配置LDAP和无影云电脑便捷用户进行SSO。配置SSO后,终端用户可以验证LDAP的用户信息连接云电脑。 | LDAP和无影云电脑便捷用户SSO |
通过Azure AD进行登录验证,实现快速登录无影终端以连接云电脑。 | 如果您使用Azure AD管理用户账号,可以配置无影云电脑的便捷用户与Azure AD用户进行SSO。此时,无影云电脑作为服务提供商SP,Azure AD作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以安全使用Azure AD内部的访问凭据连接云电脑。 | Azure AD和无影云电脑实现SSO的示例 |
在无影云电脑集成IDaaS后,为IDaaS配置钉钉扫码认证,从而实现通过钉钉登录无影终端以连接云电脑。 | 无影云电脑与IDaaS配置SSO后,可通过IDaaS进行登录验证。 IDaaS支持多种外部认证源登录,包括LDAP、钉钉扫码等。因此在配置无影云电脑与IDaaS的SSO后,可以借助IDaaS的身份认证能力,为IDaaS配置钉钉扫码认证,即可实现使用钉钉连接云电脑。 | 通过IDaaS实现钉钉登录 |
对接企业AD时,通过配置AD FS(企业AD用户)与无影云电脑的便捷用户SSO。配置后,只需在AD FS侧进行登录验证,实现快速登录无影终端以连接云电脑。 | 如果您的企业已使用AD(Active Directory)域服务来管理用户账号信息,则可以配合使用AD FS(Active Directory Federation Services)实现单点登录SSO。此时,无影云电脑作为服务提供商SP,AD FS作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以使用AD FS提供的访问凭据连接云电脑。 | 无影终端AD FS和无影云电脑便捷用户SSO |