全部产品
Search

搜索本产品

    Elastic Desktop Service:Implementasikan SSO melalui AD FS dan akun convenience

    文档中心

    Elastic Desktop Service:Implementasikan SSO melalui AD FS dan akun convenience

    更新时间:Jul 02, 2025

    Jika perusahaan Anda menggunakan domain Active Directory (AD) untuk mengelola akun pengguna, Anda dapat menggunakan Elastic Desktop Service (EDS) Enterprise sebagai penyedia layanan (SP) dan Active Directory Federation Services (AD FS) sebagai penyedia identitas (IdP). Protokol Security Assertion Markup Language (SAML) digunakan oleh SP dan IdP untuk bertukar file metadata guna mengimplementasikan Single Sign-On (SSO). Topik ini menjelaskan langkah-langkah implementasi secara rinci.

    Informasi latar belakang

    Single sign-on (SSO) adalah teknologi komunikasi aman yang memungkinkan akses efisien ke beberapa aplikasi tepercaya dengan satu kali masuk. SSO mengimplementasikan login berdasarkan federasi identitas.

    Istilah-istilah berikut sering digunakan dalam skenario SSO:

    • Penyedia Identitas (IdP): Entitas yang menyediakan layanan manajemen identitas, mengumpulkan informasi seperti nama pengguna dan kata sandi, serta memverifikasi identitas pengguna saat login.

      Contoh IdP umum:

      • IdP Lokal: Menggunakan arsitektur lokal seperti Microsoft Active Directory Federation Service (AD FS) dan Shibboleth.

      • IdP Cloud: Azure AD, Google Workspace, Okta, dan OneLogin.

    • Penyedia Layanan (SP): Aplikasi yang menggunakan fitur manajemen identitas dari IdP untuk memberikan layanan tertentu kepada pengguna berdasarkan hubungan kepercayaan dengan IdP. Dalam sistem identitas tertentu yang tidak sesuai dengan protokol Security Assertion Markup Language (SAML), seperti OpenID Connect (OIDC), SP adalah pihak yang bergantung pada IdP.

    • SAML 2.0: Protokol standar untuk otentikasi identitas pengguna perusahaan. Ini adalah salah satu implementasi teknis untuk komunikasi antara SP dan IdP. SAML adalah standar de facto yang digunakan oleh perusahaan untuk mengimplementasikan SSO.

    Jika Anda membuat jaringan kantor AD perusahaan office networks di konsol EDS Enterprise untuk terhubung ke sistem AD Anda, sistem EDS Enterprise akan mengumpulkan informasi sistem AD Anda. Jika Anda tidak ingin melakukannya, Anda dapat membuat akun convenience yang informasinya sama dengan pengguna AD di konsol EDS Enterprise untuk menerapkan SSO.

    Catatan

    Jika jaringan kantor AD perusahaan office network dibuat dan dihubungkan ke sistem AD Anda, terapkan SSO dengan mengonfigurasi pengguna AD. Untuk informasi lebih lanjut, lihat Implementasikan SSO untuk Elastic Desktop Service untuk pengguna AD menggunakan AD FS.

    Persiapan

    Untuk membuat akun convenience di konsol EDS Enterprise, pilih salah satu metode berikut:

    • Entri Manual: Masukkan informasi pengguna untuk membuat akun convenience satu per satu. Metode ini cocok untuk skenario dengan sedikit pengguna.

      Penting

      Pastikan bahwa nama pengguna akun convenience yang Anda buat sama dengan nama pengguna AD. Nama pengguna tidak peka huruf besar/kecil.

    • Entri Massal: Gunakan file .csv untuk mengimpor informasi pengguna dan membuat beberapa akun convenience sekaligus. Metode ini cocok untuk skenario dengan banyak pengguna.

    Jika Anda menggunakan metode entri massal, lakukan langkah-langkah berikut untuk menyiapkan file .csv yang valid.

    1. Buat file .csv yang berisi informasi pengguna AD di server domain AD.

      1. Periksa apakah informasi pengguna yang ada memenuhi persyaratan format.

        Penting

        Nama pengguna pengguna AD harus memenuhi persyaratan format nama pengguna untuk akun convenience EDS Enterprise. Jika tidak, Anda tidak dapat membuat akun convenience yang sesuai dengan pengguna AD. Untuk informasi lebih lanjut, lihat Konvensi Penamaan Pengguna Convenience.

      2. Jalankan perintah Get-ADUser di PowerShell untuk mengekspor file .csv yang berisi pengguna AD.

        Anda dapat memodifikasi parameter dalam perintah untuk mengekspor file .csv berdasarkan kebutuhan bisnis Anda. Misalnya, jika Anda ingin mengekspor file .csv yang berisi semua informasi pengguna AD dan menyimpan file ke jalur tertentu, jalankan perintah berikut:

        Get-ADUser -filter * | export-csv <File path> -Encoding utf8

        Jika Anda ingin menyimpan file ke direktori C:\Users dan menamai file test.csv, jalankan perintah berikut:

        Get-ADUser -filter * |export-csv C:\Users\test.csv -Encoding utf8

    2. Gunakan perangkat lunak spreadsheet untuk membuka file, modifikasi format informasi pengguna berdasarkan konvensi penamaan nama pengguna akun convenience, lalu simpan file.

      Saat memodifikasi informasi pengguna, perhatikan konvensi penamaan nama pengguna berikut:

      • Format:

        • Pengguna convenience yang diaktifkan pengguna: Kolom pertama adalah Nama Pengguna, kolom kedua adalah Alamat Email, dan kolom ketiga adalah Telepon. Kolom ketiga bersifat opsional.

        • Pengguna convenience yang diaktifkan administrator: Kolom pertama adalah Nama Pengguna, kolom kedua adalah Email, kolom ketiga adalah Telepon, dan kolom keempat adalah Kata Sandi. Kolom kedua dan ketiga bersifat opsional.

      • Dalam file .csv yang diekspor, kolom SamAccountName dianggap sebagai kolom nama pengguna dan kolom UserPrincipalName dianggap sebagai kolom alamat email. Jika alamat email aktual pengguna AD berbeda dari yang ditentukan di kolom UserPrincpleName, ganti alamat email saat ini dengan yang baru.

    Langkah 1: Buat akun convenience

    1. Masuk ke konsol EDS Enterprise.

    2. Di bilah navigasi di sebelah kiri, pilih Users > Users & Organizations.

    3. Di halaman Users & Organizations, klik tab User, lalu klik Create User. Gunakan salah satu metode berikut untuk membuat akun convenience:

      Pembuatan manual

      Klik tab Manual Entry, konfigurasikan parameter berikut sesuai kebutuhan, lalu klik Create User.

      Parameter

      Wajib

      Deskripsi

      Tipe Pengguna

      Ya

      Tipe akun convenience. Nilai yang valid: User-activated dan Administrator-activated.

      Nama Pengguna

      Ya

      Nama pengguna akun convenience. Harus berisi 3 hingga 25 karakter dan harus dimulai dengan huruf atau angka. Bisa berisi huruf kecil, angka, tanda hubung (-), garis bawah (_), dan titik (.). Nama pengguna tidak boleh terdiri dari angka saja atau cocok dengan nama pengguna bawaan yang dicadangkan dalam sistem operasi. Untuk informasi lebih lanjut, lihat Konvensi penamaan pengguna convenience.

      Nama Tampilan

      Tidak

      Nama tampilan akun convenience, yang digunakan untuk tujuan identifikasi dan tidak terlihat oleh pengguna akhir.

      Info Kontak (Alamat Email)

      Ya

      Alamat email yang ditunjuk untuk menerima notifikasi, termasuk alokasi komputer cloud, informasi logon, kata sandi awal, dan peringatan reset kata sandi. Pastikan alamat email yang Anda tentukan valid.

      Organisasi Induk

      Tidak

      Organisasi tempat akun convenience milik. Anda dapat memilih organisasi dalam langkah ini atau menambahkan akun convenience ke organisasi setelah Anda membuat akun.

      Kata Sandi

      Ya

      Parameter ini diperlukan jika Anda mengatur parameter Tipe Pengguna ke Administrator-activated. Kata sandi harus minimal 10 karakter dan mencakup setidaknya tiga dari jenis karakter berikut: huruf besar, huruf kecil, angka, dan karakter khusus (tidak termasuk spasi).

      Masa Berlaku Kata Sandi

      Tidak

      Masa berlaku kata sandi. Secara default, kata sandi berlaku secara permanen. Anda juga dapat memasukkan masa berlaku yang berkisar antara 7 hingga 365 hari. Saat kata sandi kedaluwarsa, Anda harus mengubah kata sandi sebelum dapat melanjutkan untuk masuk.

      Kunci Aktif

      Parameter ini diperlukan jika Anda mengatur parameter Tipe Pengguna ke Administrator-activated. Setelah akun convenience dikunci, pengguna akhir tidak dapat menggunakan akun tersebut untuk masuk ke terminal Alibaba Cloud Workspace.

      Berikan Izin Admin

      Tidak

      Menentukan apakah akan memberikan izin admin lokal ke akun convenience. Secara default, parameter Grant Admin Permission diatur ke Ya. Jika Anda tidak ingin memberikan izin admin lokal ke akun convenience, pilih No.

      Catatan

      • Akun convenience dengan izin admin lokal dapat digunakan untuk menginstal perangkat lunak dan memodifikasi pengaturan sistem di komputer cloud.

      • Perubahan pada izin admin lokal berlaku setelah restart komputer cloud.

      Catatan

      Tidak

      Informasi tambahan tentang akun convenience.

      Pembuatan massal

      Klik tab Batch Entry, konfigurasikan parameter berikut sesuai kebutuhan, lalu klik Close.

      Parameter

      Wajib

      Deskripsi

      Kepemilikan Akun

      Ya

      Tipe akun convenience. Nilai yang valid: User-activated dan Administrator-activated.

      Masa Berlaku Kata Sandi

      Tidak

      Masa berlaku kata sandi. Secara default, kata sandi berlaku secara permanen. Anda juga dapat memasukkan masa berlaku yang berkisar antara 7 hingga 365 hari. Saat kata sandi kedaluwarsa, Anda harus mengubah kata sandi sebelum dapat melanjutkan untuk masuk.

      Kunci Aktif

      Tidak

      Parameter ini diperlukan jika Anda mengatur parameter Tipe Pengguna ke Administrator-activated. Setelah akun convenience dikunci, pengguna akhir tidak dapat menggunakan akun tersebut untuk masuk ke terminal Alibaba Cloud Workspace.

      Berikan Izin Admin

      Tidak

      Menentukan apakah akan memberikan izin admin lokal ke akun convenience. Secara default, parameter Grant Admin Permission diatur ke Ya. Jika Anda tidak ingin memberikan izin admin lokal ke akun convenience, pilih No.

      Catatan

      • Akun convenience dengan izin admin lokal dapat digunakan untuk menginstal perangkat lunak dan memodifikasi pengaturan sistem di komputer cloud.

      • Perubahan pada izin admin lokal berlaku setelah restart komputer cloud.

      Unggah File

      Ya

      1. Klik Download untuk mengunduh template untuk mengimpor informasi pengguna. Buka template, masukkan informasi pengguna dalam format yang disediakan oleh template, lalu simpan template.

        • Jika Anda ingin mengimpor akun pengguna yang diaktifkan pengguna, tentukan kolom pertama Nama Pengguna dan kolom kedua Email di template.

        • Jika Anda ingin mengimpor akun pengguna yang diaktifkan administrator, tentukan kolom pertama Nama Pengguna dan kolom keempat Kata Sandi di template.

        • Jika Anda ingin menentukan organisasi untuk setiap akun convenience yang ingin Anda impor, masukkan ID organisasi di kolom OrgId template. Untuk mendapatkan nilai OrgId, arahkan kursor ke struktur organisasi seperti yang ditunjukkan pada gambar berikut.

          f_orgid

      2. Klik Upload Local File dan pilih template yang berisi informasi akun. Sistem akan secara otomatis mengimpor data.

        Setelah template diimpor ke konsol EDS Enterprise, pesan konfirmasi pembuatan akun convenience akan muncul di panel Create User. Klik View Account untuk memverifikasi item data yang diimpor. Verifikasi apakah informasi akun di template dalam format yang valid jika impor gagal.

    4. Klik Close.

      Setelah Anda membuat akun convenience, Anda dapat melihat informasi akun di tab User. Akun convenience berada dalam status Normal.

      Catatan

      Sistem tidak mengirimkan notifikasi saat akun convenience dibuat. Sistem mengirimkan notifikasi ke alamat email yang ditentukan saat Anda menetapkan komputer cloud atau berbagi banyak-ke-banyak ke akun convenience.

    Langkah 2: Konfigurasikan AD FS sebagai SAML IDP tepercaya di konsol EDS Enterprise

    1. Dapatkan file metadata IdP AD FS dan unduh file tersebut ke perangkat lokal Anda.

      URL file metadata IdP: https://<AD FS server>/FederationMetadata/2007-06/FederationMetadata.xml. <AD FS Server> menunjukkan nama domain atau alamat IP server AD FS Anda.

    2. Unggah file metadata IdP ke konsol EDS Enterprise.

      1. Masuk ke konsol EDS Enterprise.

      2. Di panel navigasi sebelah kiri, pilih Networks & Storage > Office Networks.

      3. Di sudut kiri atas bilah navigasi atas, pilih wilayah.

      4. Di halaman Office Networks, temukan jaringan kantor yang ingin Anda aktifkan SSO dan klik ID jaringan kantor tersebut.

      5. Di halaman detail jaringan kantor, klik Show di sudut kanan atas bagian Other Information, lalu aktifkan SSO.

      6. Klik Upload File di sebelah IdP Metadata dan unggah file metadata IdP.

    Langkah 3: Konfigurasikan EDS Enterprise sebagai SAML SP tepercaya di AD FS

    1. Dapatkan file metadata di konsol Elastic Desktop Service (Enterprise Edition).

      1. Masuk ke konsol EDS Enterprise.

      2. Di bilah navigasi di sebelah kiri, pilih Networks & Storage > Office Networks.

      3. On the Office Network (Formerly Workspace) page, temukan jaringan kantor yang ingin Anda aktifkan SSO dan klik ID jaringan kantor tersebut.

      4. Di bilah navigasi di sebelah kiri halaman detail jaringan kantor, klik tab Other.

      5. Pada tab Other, klik Download Application Metadata File di sebelah kanan Application Metadata.

        File metadata yang diunduh akan disimpan secara otomatis ke folder Unduhan di komputer lokal Anda.

    2. Unggah file metadata SP dari EDS Enterprise ke AD FS.

      1. Masuk ke server AD FS dan buka Server Manager.

      2. Di sudut kanan atas, pilih Tools > AD FS Management.

      3. Di bilah navigasi di sebelah kiri jendela AD FS, pilih Trust Relationships > Relying Party Trusts.

      4. Di bagian Tindakan di sebelah kanan, klik Add Relying Party Trust.

      5. Lengkapi operasi selanjutnya sesuai petunjuk.

        Di langkah Pilih Sumber Data, pilih Import data about the relying party from a file dan impor file metadata SP dari EDS Enterprise. Pertahankan pengaturan default di langkah-langkah berikutnya.ADFS1

    3. Modifikasi kebijakan penerbitan klaim dari kepercayaan pihak yang mengandalkan dan konfigurasikan atribut asersi SAML untuk EDS Enterprise.

      1. Di daftar kepercayaan pihak yang mengandalkan, klik kanan kepercayaan pihak yang Anda tambahkan di langkah sebelumnya dan pilih Edit Claim Issuance Policy.

      2. Di kotak dialog yang muncul, klik Add Rule.

      3. Konfigurasikan aturan klaim.

        Perhatikan item berikut saat mengonfigurasi aturan klaim:

        • Di langkah Pilih Jenis Aturan, pilih Transform an Incoming Claim dari daftar drop-down Template Aturan Klaim.

        • Di langkah Konfigurasikan Aturan Klaim, pilih UPN dari daftar drop-down Jenis Klaim Masuk dan Name ID dari daftar drop-down Jenis Klaim Keluar.

    Langkah 4: Periksa apakah SSO dikonfigurasi

    Catatan

    Dalam contoh ini, Klien Windows V7.2.2 dari Alibaba Cloud Workspace digunakan.

    1. Buka Klien Windows, pilih Enterprise Edition di bagian atas halaman, centang kotak di samping kebijakan privasi, masukkan ID organisasi atau ID jaringan kantor dari kredensial login yang diterima, lalu klik ikon . pg_enter_orgid_or_networkid.png

    2. Di halaman login AD FS, masukkan nama pengguna akun convenience yang Anda buat di bagian sebelumnya. Kemudian, sistem AD FS akan memverifikasi identitas pengguna.

      Setelah verifikasi identitas berhasil, Anda dapat menemukan komputer cloud yang diinginkan setelah masuk ke klien. Kemudian, arahkan pointer pada kartu komputer cloud, klik Start dan Connect Cloud Computer untuk menggunakan komputer cloud.