为实现跨工作区快速登录云桌面和统一查看云桌面所在工作区的登录验证方式,无影云桌面支持自定义组织ID,组织ID将作为企业身份的唯一标识用于终端用户登录无影云桌面。本文为您介绍组织ID的使用流程和相关操作。

前提条件

说明 该功能目前处于邀测中,如需体验,请 提交工单申请。

背景信息

为了帮助您更好地使用组织ID功能,您需要了解以下概念:
概念 说明
安全断言标记语言(SAML 2.0) 实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
服务提供商(SP) 利用IdP的身份管理功能,为用户提供具体服务的应用。SP会使用IdP提供的用户信息。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
身份提供商(IdP) 一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。企业本地IdP:Microsoft Active Directory Federation Service(AD FS)以及Shibboleth等。Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。

功能介绍

通过使用组织ID,终端用户可以一键登录多个工作区下的云桌面;管理员可快速查看已配置验证登录方式的工作区并设置组织ID的登录验证方式。

orgID

组织ID与工作区ID管控登录的比较

以下表格从组织维度和工作区维度对比两种方式在登录云桌面和管控登录安全设置时的异同。

对比项 组织ID 工作区ID
终端用户跨工作区登录 支持。

一次登录便可在多工作区下的云桌面之间快速切换。

 不支持。

一次只能登录一个地域下的云桌面。
管理员跨工作区管控 支持。

可以从组织ID维度管控多个工作区下的云桌面。

 不支持

工作区维度管控云桌面。
多因素设备认证、客户端登录校验、SSO设置 支持 支持
无影账号认证 支持 不支持
ID记忆难度

自定义设置,无记忆负担。

系统自动生成,有记忆压力。

使用限制

使用组织ID功能前,您需要仔细阅读以下限制信息:
  • 仅便捷账号有权限设置组织ID,AD账号不支持。
  • 组织ID功能支持Windows客户端Mac客户端iOS客户端安卓客户端Web客户端Windows客户端Mac客户端请确保为5.0及以上版本。
  • 设置组织ID后,不支持删除。

创建组织ID

下文为您介绍创建组织ID的操作步骤。

  1. 登录无影云桌面控制台
  2. 在左侧导航栏,选择桌面 > 工作区
  3. 工作区页面的右上角,单击设置组织ID
    初次登录无影云桌面的控制台,会弹出 请您设置组织ID的引导提示框,此时您可以根据需要选择 去设置不再提醒
  4. 设置组织ID面板,输入符合要求的组织ID。
  5. 根据需要选择是否开启无影硬终端免输组织ID登录
    开启后,终端用户通过硬件终端登录云桌面时无需输入组织ID。
  6. 单击确定
    成功设置组织ID后,会弹出 设置成功的提示框,同时系统会自动下发邮件通知。此时界面会弹出是否迁移工作区配置的提示框,您可以根据需要选择是否迁移已开启验证登录方式的工作区。更多信息,请参见 迁移工作区至组织ID

配置组织ID登录验证方式

组织ID的登录验证方式和工作区的登录验证方式各自独立,互不影响。如果使用组织ID登录客户端,则遵循组织ID设置的验证登录方式;如果使用工作区ID登录客户端,则遵循工作区本身设置的验证登录方式。已配置登录验证方式的工作区迁移至组织ID后,该工作区本身的登录验证方式仍然生效。

创建组织ID后,您无法删除组织ID,可以根据需要开启组织ID的验证登录方式。具体操作如下:
  1. 单击无影云桌面控制台工作区页面右上角的管理组织ID
  2. 组织ID管理页面,根据需要修改以下配置项。
    配置项 说明
    组织ID 单击修改,根据需求修改组织ID。
    说明 修改组织ID后系统会下发 邮件通知,终端用户可以根据通知指引登录云桌面。
    硬终端免输入组织ID 默认关闭。开启后,终端用户使用已录入SN的无影硬终端登录云桌面时无需输入组织ID。
    客户端登录校验 默认关闭。开启后,终端用户在更换登录设备时需进行邮箱验证码校验,校验通过后才可进行登录。
    说明
    • 客户端登录校验仅适用于公网连接的接入方式。
    • 为避免校验冲突,如果开启客户端登录校验,则无法开启多因素设备认证SSO设置
    多因素设备认证 默认关闭。开启后,终端用户需要通过二次认证才可以成功登录云桌面。第一次安全认证为用户名和密码,第二次安全认证为虚拟MFA设备生成的验证码,例如绑定阿里云App并获取的验证码。
    说明 为避免校验冲突,如果开启 多因素设备认证,则无法开启 客户端登录校验SSO设置。如果您需要开启 SSO设置,请先关闭 多因素设备认证
    可信设备认证 默认关闭。开启后,该工作区仅允许终端用户通过当前绑定的硬件终端设备进行登录。使用此功能前,需要先绑定硬件终端 和终端用户。具体操作,请参见管理硬件终端
    SSO设置 默认关闭。开启后,终端用户可以使用已经配置SSO的联合身份登录云桌面。即可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
    说明 为避免校验冲突,如果开启 SSO设置,则无法开启 客户端登录校验多因素设备认证
    无影账号认证 默认关闭。开启SSO设置后,建议您开启无影账号认证,这样终端用户可以选择无影便捷账号登录云桌面。
    idP管理
    • 新增idP
      说明 最多支持添加10个idP服务商。
      1. 单击新增idP
      2. 新增IDP面板,输入IdP名称并选择协议。
      3. 单击确定

        此时创建的idP名称无法直接实现SSO,您需要配置后才能实现SSO功能。

    • 编辑idP
      1. 在列表中找到待编辑的IdP名称,单击操作列的查看详情
      2. 编辑IDP面板,在IdP名称中编辑IdP名称,然后单击确认
      3. 根据需要下载或上传SSO元数据文件。
      4. 单击确定
    • 删除idP
      1. 在列表中找到待删除的IdP名称,单击操作列的删除
      2. 在弹出的确认删除?对话框中,确认待删除信息,然后单击确认
    • 禁用idP

      在列表中找到待禁用的IdP名称,单击操作列的禁用

    • 启用idP

      在列表中找到待启用的IdP名称,单击操作列的启用

迁移工作区至组织ID

创建组织ID后,系统会自动获取已开启验证登录方式的工作区信息,此时如果将已开启登录验证方式的工作区迁移至组织ID,便可快速查看多个工作区的登录验证方式。

前提条件

迁移工作区前,您需要确保待迁移工作区已经开启并配置验证登录方式,例如多因素设备认证、登录客户端校验或者SSO设置。
说明
  • 您可以在无影云桌面控制台的概览页面,根据需要选择无影云桌面无影云桌面组页签,然后单击待迁移工作区ID,在安全设置中查看多因素设备认证、SSO设置和客户端登录校验是否开启。
  • 多因素设备认证、登录客户端校验或者SSO设置三者之间互斥,您如果开启其中一种验证登录方式则无法开启其他验证登录方式。

操作步骤

  1. 登录无影云桌面控制台
  2. 在左侧导航栏,选择桌面 > 工作区
  3. 工作区页面的右上角,单击管理组织ID
  4. 组织ID管理页面,单击迁移工作区配置
  5. 迁移现有工作区设置至组织ID面板,在当前设置过MFA/客户端登录校验列表中选择一个或者多个待迁移的工作区ID,然后单击迁移至组织ID
  6. 当前设置过SSO登录校验列表中选择待迁移的工作区ID,然后单击操作列的迁移至组织ID
    迁移成功后界面会提示 迁移成功
  7. 单击保持设置