配置基于SAML的SSO时,为了建立无影云电脑与企业身份提供商IdP(下文简称为企业IdP)之间的互信关系,需要完成以无影云电脑作为SP的SAML配置和企业IdP的SAML配置,配置完成后终端用户在登录无影终端时才能使用SSO。本文介绍如何配置基于SAML 2.0的SSO。
背景信息
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
详细信息,请参见配置登录方式。
在办公网络中配置SSO
步骤一:在企业IdP侧将无影云电脑配置为可信的SAML SP
在无影云电脑控制台获取SAML服务提供商的元数据文件。
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面上,找到已开启SSO设置的目标办公网络,并单击其办公网络ID。
在办公网络详情页面最底部的其他信息区域,单击右上角的展开,并在应用元数据右侧单击下载应用元数据文件。
在企业IdP中创建一个SAML服务提供商,并使用上述元数据文件,将无影云电脑配置为可信的SAML SP。
步骤二:在无影云电脑侧将企业IdP配置为可信的SAML IdP
在办公网络详情页面最底部的其他信息区域,打开SSO设置开关。
打开SSO设置后,终端的账密登录页面将替换为企业IdP登录页面。
在IdP元数据右侧单击上传文件,并上传由企业IdP提供的元数据文件。
说明元数据文件一般为XML格式,包含IdP的登录服务地址以及X.509公钥证书(用于验证IdP所颁发的SAML断言的有效性)。
步骤三:创建与企业IdP相匹配的用户
在无影云电脑侧创建与企业IdP匹配的用户。具体操作,请参见创建便捷账号或创建AD账号。
创建用户时,您可以自行设置用户密码,用户密码无需和企业IdP已知用户名的密码保持一致。
在组织ID中配置SSO
步骤一:在无影云电脑侧将企业IdP配置为可信的SAML IdP
在左侧导航栏,选择,并在用户与组织页面上单击企业身份源页签。
在企业身份源页面上,根据您的情况执行以下操作之一:
若此前从未添加过任何企业身份源,则直接单击页面上的SAML卡片。
若此前已添加过企业身份源,则单击页面左上角的新增企业身份源,并在新增企业身份源面板上单击SAML卡片。
在新增企业身份源面板上填写以下配置信息,并单击确定。
配置项
描述
企业身份源名称
用于识别企业IdP的名称。
企业身份源类型
选择SAML。
IdP元数据
单击上传文件,上传企业IdP提供的元数据文件。
账号类型
支持便捷账号和企业AD账号。如果选择企业AD账号,还需要选择AD域名称。
步骤二:在企业IdP侧将无影云电脑配置为可信的SAML SP
在无影云电脑控制台获取SAML服务提供商的元数据文件。
在左侧导航栏,选择,并在用户与组织页面上单击企业身份源页签。
在企业身份源页面上找到目标企业身份源,并在操作列单击编辑。
在编辑企业身份源面板的应用元数据下方单击下载文件。
在企业IdP中创建一个SAML服务提供商,并使用上述元数据文件将无影云电脑配置为可信的SAML SP。
步骤三:创建与企业IdP相匹配的用户
在无影云电脑侧创建与企业IdP匹配的用户。具体操作,请参见创建便捷账号或创建AD账号。
创建用户时,您可以自行设置用户密码,用户密码无需和企业IdP已知用户名的密码保持一致。
相关文档
关于在无影云电脑和企业IdP之间实现SSO的最佳实践,请参考:
Azure AD和无影云电脑实现SSO的示例
通过AD FS和无影云电脑便捷账号实现SSO
IDaaS和无影云电脑SSO的示例
基于SAML实现飞书单点登录无影云电脑