このトピックでは、Lightweight Directory Access Protocol (LDAP) を使用してElastic Desktop Service (EDS) のシングルサインオン (SSO) を構成する方法について説明します。 Alibaba Cloud Workspace端末にすばやくログインし、LDAPアカウントを使用してクラウドコンピューターに接続する場合は、このトピックで説明されている操作を参照してください。
制限事項
LDAPベースのSSO for EDSは、組織IDを使用してのみAlibaba Cloud Workspace端末へのログインをサポートします。
前提条件
LDAPサーバーがデプロイされ、構成されています。
手順1: LDAPベースのエンタープライズIDソースの作成
EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。 [ユーザーと組織] ページで、[エンタープライズIDソース] タブをクリックします。
[エンタープライズIDソース] ページで、[LDAP] をクリックします。
SSOを初めて設定しない場合は、[エンタープライズIDソースの追加] をクリックし、[LDAP] を選択する必要があります。
[エンタープライズIDソースの追加] パネルでパラメーターを設定し、[確認] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
例
名前
追加するエンタープライズIDソースの名前を入力します。
LDAP
タイプ
エンタープライズIDソースのタイプを選択します。
LDAP
サーバータイプ
プロトコルを選択し、LDAPサーバーのアドレスを入力します。
ldaps://およびldap://プロトコルがサポートされています。ldap://を選択した場合、StartTLSを有効にしてデータ転送のセキュリティを強化することを推奨します。 StartTLSはLDAP証明書で使用できます。 詳細については、このトピックのVerify Certificateパラメーターの説明をご参照ください。説明ldaps://プロトコルでは、ポート636が使用されます。ldap://またはStartTLSプロトコルの場合、ポート389が使用されます。
ldaps:// 127.0.0.1:636
ベースDN
ディレクトリ情報ツリーのパス識別子であるベース識別名 (DN) を入力します。 デフォルトでは、ルートディレクトリが使用されます。 ベースDNは、コンマで接続された相対的な識別名のシーケンスである。
DN形式: ou=サンプル構成、dc=例、dc=com。
ほとんどの場合、ルートディレクトリのDNはdc=example、dc=comです。 つまり、DNはあなたのドメインです。
dc=例、dc=com
管理者DN
管理者DNを入力します。 EDSは、LDAP管理者アカウントを使用してLDAPサーバー情報を読み取り、データを同期し、委任認証を完了します。 アカウントに少なくとも読み取り権限があり、アカウントがDN形式であることを確認してください。
cn=admin, cn=User, dc=example, dc=com
管理者パスワード
管理者DNのパスワードを入力します。
Ytest001
証明書の検証
サーバータイプを
ldaps://またはldaps://に設定し、同時にStartTLSを有効にする場合は、LDAP証明書を検証することを推奨します。 証明書のフィンガープリントを記録して、EDSとLDAPの間に信頼関係を確立し、LDAP証明書のハイジャックや偽造を防ぐことができます。 LDAP証明書を検証しないと、データにセキュリティリスクが生じる可能性があります。LDAP証明書を検証するには、次の手順を実行します。
証明書の確認を証明書指紋に設定します。
[取得] をクリックします。 次に、証明書は前述の設定に基づいて自動投入されます。
説明エラーが発生した場合は、LDAPサーバーの設定が有効かどうかを確認してください。
34fd9df0de731df621e48763fa1b5cd7a3f50e5a2050df1dee059c849e4b ****
(オプション) ユーザーログイン识别子
ログオン識別子として属性を指定します。 LDAPサーバーのユーザーがAlibaba Cloud Workspace端末にログインすると、EDSは属性に基づいてLDAPユーザーとそのパスワードを検証します。 LDAPユーザーのパスワードが一致する場合、EDSのSSOは成功します。
説明複数の属性はコンマ (,) で区切られ、属性は論理OR関係にあります。 これは、属性のいずれかがログオン識別子であることを示します。
設定した複数の属性が一意で、同じLDAPユーザーに対応していることを確認します。 それ以外の場合、ユーザーはAlibaba Cloud Workspace端末へのログインに失敗します。 デフォルト値: cn。
cn、メール
(オプション) ObjectClass
オブジェクトクラスを指定します。 オブジェクトクラスは、LDAPのオブジェクトのタイプに対応する属性のコレクションです。 ObjectClassを使用して、オブジェクトがユーザーであるクラスを識別できます。 たとえば、ObjectClass=userは、ユーザークラスのオブジェクトがユーザーであることを指定します。 デフォルト値: posixAccount,inetOrgPerson,top.
説明オブジェクトクラスの複数の属性をコンマ (,) で区切ると、属性は論理AND関係になります。
posixAccount,inetOrgPerson, トップ
手順2: LDAPユーザーと同じユーザー名のユーザーを作成する
LDAPベースのエンタープライズIDソースを作成した後、LDAPユーザーとEDSの間に信頼関係を確立する必要があります。 これを行うには、SSO用のEDSコンソールでユーザー名を持つユーザーを作成する必要があります。 ユーザー名はLDAPユーザーのユーザー名と同じです。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザーと組織] ページで、[ユーザー] タブをクリックし、[ユーザーの作成] をクリックします。
[ユーザーの作成] パネルで、次のいずれかの方法を選択して、LDAPユーザーと同じユーザー名のユーザーを作成します。
説明必ず同じユーザー名を使用してください。 作成するユーザーのパスワードは、LDAPユーザーのパスワードと異なる場合があります。 画面の指示に基づいてパスワードを指定します。
手動でユーザーを作成
[手動入力] タブをクリックします。
ビジネス要件に基づいてユーザータイプを選択します。
有効な値: User-activatedおよびAdministrator-activated。
ユーザー名を入力し、[ユーザーの作成] をクリックします。
上記の操作を繰り返して、複数のユーザーに関する情報をインポートします。
バッチ作成ユーザー
[一括入力] タブをクリックします。
ビジネス要件に基づいてユーザータイプを選択します。
有効な値: User-activatedおよびAdministrator-activated。
次のいずれかの方法を選択してユーザー情報ファイルを作成します。
[ダウンロード] をクリックして、ユーザーをインポートするテンプレートをダウンロードします。 テンプレートを開き、テンプレートが提供する形式でユーザー情報を入力してから、テンプレートを保存します。
説明ユーザー有効化ユーザーを作成する場合は、テンプレートの最初の列
[ユーザー名]と2番目の列[メール]に値を指定します。管理者が有効なユーザーを作成する場合は、テンプレートの最初の列
[ユーザー名]と4番目の列[パスワード]を指定します。
Excelを使用してテンプレートを開き、ユーザー情報を入力してから、テンプレートをとして保存します。csvファイル。
[ファイルの選択] をクリックして、csvファイルを入力し、画面の指示に従ってユーザーをインポートします。
ファイルをEDSコンソールにインポートすると、ユーザーが作成されたことを示すメッセージが [ユーザーの作成] パネルに表示されます。 次に、[アカウントの表示] をクリックして、入力したすべてのユーザーがインポートされているかどうかを確認できます。 ファイルのインポートに失敗した場合は、ファイル内のユーザー情報が有効な形式であるかどうかを確認してください。
閉じるをクリックします。
コンビニエンスユーザーを作成したら、[ユーザー] タブでユーザー情報を表示できます。 ユーザーは [通常] 状態です。
説明コンビニエンスユーザーが作成された場合、システムは通知を送信しません。 クラウドコンピューターまたはクラウドコンピュータープールをユーザーに割り当てると、指定された電子メールアドレスに通知が送信されます。
次に何をすべきか
LDAPベースのSSOが組織IDに設定されている場合、エンドユーザーは有効な組織IDを入力してLDAP ID検証に合格した後にのみAlibaba Cloud Workspace端末にログインできます。
Alibaba Cloud Workspaceターミナルにログインする方法の詳細については、「クイックスタート」をご参照ください。