配置基于LDAP的SSO登录

使用限制

仅组织ID支持基于LDAP的SSO，办公网络不支持基于LDAP的SSO。

步骤一：创建基于LDAP的企业身份源

1. 登录无影云电脑企业版控制台。

2. 在左侧导航栏，选择用户管理 > 用户与组织，并在用户与组织页面上单击企业身份源页签。

3. 在企业身份源页面，单击LDAP。

   如果不是首次配置SSO，您需要先单击新增企业身份源，再选择LDAP。

4. 在新增企业身份源面板上设置以下配置项的参数，并单击确定。

   配置项	说明	示例
   企业身份源名称	输入企业身份源名称。	LDAP身份源
   企业身份源类型	选择企业身份源的类型。	LDAP
   服务器类型	LDAP所在的服务器地址，支持ldaps://和ldap://协议。 如果选择ldap://，为提高数据传输的安全性，建议您开启StartTLS（在LDAP中配置证书即可使用。详细信息，请参见证书验证）。 说明 ldaps://一般使用636端口。 ldap://和StartTLS一般使用389端口。	ldaps://127.0.0.1:636
   BASE DN	Base DN是LDAP中某个节点的路径标识，默认为根节点。 DN的格式为：ou=某组织, dc=example, dc=com。 根节点的DN一般为dc=example, dc=com（即您的域）。	dc=example, dc=com
   管理员DN	无影云电脑使用该LDAP管理员账户读取LDAP信息来完成数据同步或委托认证，该账户需要至少拥有读权限，且该管理员需使用DN格式。	cn=admin, cn=User, dc=example, dc=com
   管理员密码	管理员DN的密码。	Ytest001
   证书验证	当服务器类型为ldap://且开启StartTLS时，或者服务器类型为ldaps://时，建议您校验LDAP证书，通过录入LDAP的证书指纹，建立无影云电脑对LDAP的信任关系，避免LDAP被劫持或伪造。如果不对LDAP证书进行合法性校验，理论上存在安全风险。 校验方法如下： 在证书验证区域选择通过证书指纹验证。 单击一键获取，即可自动输入证书。 说明 如果出现报错，请检查LDAP服务器配置是否正确。	34fd9df0de731df621e48763fa1b5cd7a3f50e5a2050df1dee059c849e4b****
   用户登录标识（选填）	使用LDAP服务器的用户登录无影终端时，您可以配置特定属性作为用户登录标识，无影云电脑将根据这些属性在LDAP服务器中查询用户标识并匹配密码，密码正确则允许终端用户登录。 说明 当使用半角逗号（,）对多个属性进行分隔时，多个属性之间的关系为“或”的关系，表示可以使用任一属性登录。 请确保多个属性对应同一个LDAP用户，否则将无法登录。默认登录名属性名称为cn。	cn,mail
   用户ObjectClass（选填）	LDAP的ObjectClass是属性的集合。通过ObjectClass可以定义哪种类型的对象是用户，例如将查询结果中ObjectClass=user的对象视作用户。默认用户ObjectClass为posixAccount,inetOrgPerson,top。 说明 当使用半角逗号（,）对ObjectClass进行分隔时，多个属性之间的关系为“且”的关系。	posixAccount,inetOrgPerson,top

步骤二：创建与LDAP账户同名的用户

创建了基于LDAP的企业身份源之后，还需要在无影云电脑控制台创建与LDAP账户同名的用户，从而在LDAP账户和无影云电脑之间建立信任关系。

1. 在左侧导航栏，选择用户管理 > 用户与组织。

2. 在用户与组织页面的用户页签上单击创建用户。

3. 在创建用户面板上，选择一种方式创建与LDAP账户同名的用户信息。

   说明

   请确保输入的用户名与LDAP账户的用户名一致，此时输入的密码不要求和LDAP账户的用户名密码一致，这是云电脑用户的密码，您可按照页面提示输入任何符合要求的密码。

   手动创建

   1. 单击手动录入页签。

   2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

   3. 填写与LDAP账户中同名的用户名信息，然后单击创建用户。

      重复上述操作可录入多个用户信息。

   批量创建

   1. 单击批量录入页签。

   2. 按需选择便捷账号类型。

      支持选择用户激活和管理员激活两种类型。

   3. 选择以下一种方式制作用户信息文件。

      • 单击下载模板，下载并打开模板，按照格式录入用户信息后保存。

        说明

        • 如果是用户激活，录入用户信息时，第一列Username是用户名，第二列Email是用户邮箱，均为必填项。

        • 如果是管理员激活，录入用户信息时，第一列Username是用户名，第四列Password是密码，均为必填项。

      • 使用Excel录入用户信息，然后另存为CSV文件。

   4. 单击选择文件，选择已录入用户信息的文件并按照提示完成操作，系统将自动导入文件中的用户信息。

      导入完成后，创建用户面板提示创建成功，此时单击查看账号，可以查看各个用户数据的导入情况。如果导入失败，请检查文件中的用户信息是否符合格式要求。

4. 单击关闭。

   创建完成后 ，您可以在用户页签查看到相应的便捷账号信息，且用户的状态为正常。

   说明

   成功创建便捷账号后，系统不会发送通知。只有为便捷账号分配云电脑或云电脑池后，才会向相应联系方式发送通知。

后续步骤

如果您为组织ID配置了基于LDAP的SSO，终端用户登录无影终端时，只有在输入组织ID且LDAP身份验证通过后方可登录成功。

关于终端用户登录无影终端的步骤，请参见终端用户快速入门。