通过SAML集成Azure AD - 无影云桌面

背景信息

单点登录SSO（Single Sign On）是一种帮助用户快速访问多个应用系统的安全通信技术，也称为身份联合登录，可以实现在多个系统中，只需要登录一次，就可以访问其他相互信任的系统。相关的基本概念如下：

身份提供商IdP：提供身份管理服务，负责收集存储用户身份信息（用户名、密码等），在登录时验证用户身份。常见的企业IdP包括AD FS、Shibboleth等。
服务提供商SP：通过与IdP建立互信关系，利用IdP的身份管理功能，为对应用户提供具体的服务。
安全断言标记语言SAML：实现企业级用户身份认证的标准协议，可以在IdP和SP之间交换身份验证和授权数据。

无影云桌面支持基于SAML协议的SSO功能，如果您之前使用Azure AD管理用户账号，可以配置无影云桌面的便捷用户与Azure AD用户进行SSO。此时，无影云桌面作为服务提供商SP，Azure AD作为身份提供商IdP，两者基于SAML协议，互相交换元数据文件，即可实现SSO。配置SSO后，您可以安全使用Azure AD内部的访问凭据来登录云桌面客户端。

说明目前仅软终端（Windows客户端、macOS客户端）和硬件终端（阿里云云终端）支持SSO功能；移动终端（iOS客户端、Android客户端）和Web客户端暂不支持SSO功能。

准备工作

您需要在无影云桌面侧创建一个便捷工作区，并开启该工作区的SSO功能。

如果没有便捷工作区，请登录无影云桌面控制台创建便捷工作区。具体操作，请参见创建便捷工作区。
已有便捷工作区时，您可以在总览页面，单击工作区ID进入工作区详情页面，然后开启SSO功能。

步骤一：在无影云桌面侧创建与Azure AD用户同名的便捷用户

对于要使用无影云桌面的Azure AD用户，您需要在无影云桌面侧创建与Azure AD用户同名的便捷用户。创建便捷用户时，支持手动录入和批量录入两种方式录入用户信息。批量录入用户信息的操作步骤如下：

说明如果用户数量较少，可直接在无影云桌面控制台手动录入用户信息。录入时，输入的便捷用户名需与Azure AD用户名保持一致（字母大小写不敏感）。具体操作，请参见创建便捷用户。

在Azure AD中下载包含用户信息的CSV文件。
1. 登录Azure AD控制台。
2. 在左侧导航栏，单击用户。
3. 在所有用户（预览版）页面，确认用户信息是否符合要求。
  在无影云桌面侧创建与Azure AD用户同名的便捷用户时，需确保无影便捷用户的用户名与Azure AD的用户名保持一致（字母大小写不敏感）。因此Azure AD的用户名需符合无影的用户名格式要求，如果不符合要求，您需要进行修改，否则无法创建对应的便捷用户。
  无影便捷用户的用户名格式要求为：
  - 长度至少3位，最长24位。
  - 支持小写字母、数字和特殊字符，其中特殊字符包括短划线（-）、下划线（_）和半角句号（.）。
  - 必须以小写字母作为开头，即数字和特殊字符不能作为开头。
4. 单击顶部的批量操作，然后选择下载用户。
5. 按照页面提示完成下载操作。
使用Excel打开下载的CSV文件，按无影便捷用户录入文件的格式要求调整用户信息，然后保存为CSV文件。
调整用户信息时，请注意以下事项：
- 录入文件的格式要求为：第一列为用户名（必填），第二列为邮箱（必填），第三列为手机号（可选）。
- Azure AD下载的用户信息CSV文件中，userPrincpleName列是用户名@域名的格式，可以提取其前缀作为无影便捷用户的用户名；如果userPrincpleName刚好是实际的用户邮箱，则userPrincpleName列可以作为无影便捷用户的邮箱列，如果实际的用户邮箱与userPrincpleName不一致，请自行录入邮箱信息。
在无影云桌面控制台创建便捷用户。
1. 登录无影云桌面控制台。
2. 在左侧导航栏，单击用户。
3. 在用户管理页面选择用户面板，然后单击创建用户。
4. 在创建用户面板，单击批量录入页签。
5. 根据需要选择管理员激活或者用户激活。
6. 单击选择文件，选择准备好的用户信息CSV文件。
  系统将自动导入文件中的用户信息。导入完成后，可以查看各个用户数据的导入情况。如果导入失败，请检查文件中的用户信息是否符合格式要求。
7. 单击关闭。
  创建完成后，您可以在用户管理页面查看用户信息。

步骤二：在Azure AD侧创建应用程序并分配用户

在Azure AD侧，您需要创建无影云桌面对应的应用程序，并将其分配给要使用无影云桌面的Azure AD用户。操作步骤如下：

在Azure AD控制台的左侧导航栏，单击企业应用程序。
在所有应用程序页面，单击新建应用程序。
在顶部菜单栏，单击创建你自己的应用程序。
在弹出面板中，输入应用名称，选择集成未在库中找到的任何其他应用程序(非库)，然后单击创建。
刷新页面，单击新创建的应用程序名称。
在应用程序详情页面的左侧导航栏，单击用户和组，然后单击添加用户/组。
在弹出的添加分配页面，选择用户，然后单击分配。

步骤三：在Azure AD侧将无影云桌面配置为可信SAML SP

将无影云桌面提供的元数据文件上传到Azure AD，可以实现在Azure AD侧将无影云桌面配置为可信SAML SP。操作步骤如下：

在无影云桌面侧，获取SP元数据文件。
1. 在总览页面，找到便捷工作区，单击工作区ID。
2. 在工作区详情页面的元数据文件处，单击下载文件。
  下载的元数据文件将自动保存到本地的下载路径下。
在Azure AD侧为无影云桌面对应的应用程序配置单一登录。
1. 在Azure AD控制台，打开步骤二创建的应用程序。
2. 在应用程序详情页面的左侧导航栏，单击单一登录，然后选择SAML。
3. 单击上传元数据文件。
4. 选择在无影云桌面控制台下载的SP元数据文件，单击添加。
5. 在基本SAML配置面板中，确认标识符和回复URL是否正确，然后单击保存。
  说明上传SP元数据文件后，如果没有自动读取标识符和回复URL，请自行输入。
  打开本地保存的SP元数据文件，确认标识符和回复URL是否正确：
  - 标识符（实体ID）：对应SP元数据文件中，md:EntityDescriptor标签中的entityID值。
  - 回复URL（断言使用者服务URL）：对应SP元数据文件中，md:AssertionConsumerService标签中的Location值。

步骤四：在无影云桌面侧将Azure AD配置为可信SAML IdP

将Azure AD提供的元数据文件上传到无影云桌面，可以实现在无影云桌面侧将Azure AD配置为可信SAML IdP。操作步骤如下：

在Azure AD侧，获取IdP元数据文件。
1. 在Azure AD控制台，打开步骤二创建的应用程序。
2. 在应用程序详情页面的左侧导航栏，单击单一登录。
3. 在SAML 签名证书区域，单击联合元数据XML对应的下载。
  下载的元数据文件将自动保存到本地的下载路径下。
在无影云桌面侧，上传Azure AD提供的IdP元数据文件。
1. 在总览页面，找到便捷工作区，单击工作区ID。
2. 在工作区详情页面的元数据文件处，单击上传文件。
3. 双击选择IdP元数据文件，单击确认。

步骤五：验证能否通过SSO功能登录云桌面客户端

打开无影云电脑客户端，如果登录配置页面设置的工作区开启了SSO功能，则将自动跳转到配置的企业IdP侧进行登录验证。目前仅软终端（Windows客户端、macOS客户端）和硬件终端（阿里云云终端）支持SSO功能。以Windows客户端为例，验证的操作步骤如下：

打开Windows客户端。
在登录配置页面，设置工作区ID，单击下一步。
工作区ID为准备工作中开启了SSO功能的便捷工作区ID；网络接入方式采用默认的公网接入，即不选中通过企业专网接入。
在跳转打开的Azure登录页面，按照页面提示输入Azure AD用户的信息，进行身份验证。
- 如果成功登录客户端，则表示配置成功。
  
  说明实现SSO功能后，您可以使用Azure AD用户账号登录云桌面客户端，默认情况下，该用户账号下没有云桌面资源。如果想要连接使用云桌面，请登录无影云桌面控制台创建云桌面，并将其分配给同名的便捷用户。具体操作，请参见创建云桌面和查看和分配用户。
- 如果在Azure登录页面出现报错，请根据错误信息进行排查。
  例如：以下错误信息表示没有把无影云桌面对应的应用程序分配给用户，您可以参考步骤二进行分配。
- 如果无影云桌面客户端提示认证失败，请检查SSO相关配置是否有误。
- 如果无影云桌面客户端提示内部错误，请确认无影云桌面侧是否有与Azure AD用户同名的便捷用户。

后续操作

如果有新的用户要使用无影云桌面，请按以下流程进行操作：

在Azure AD控制台新建用户，将无影云桌面对应的应用程序分配给该用户。
在无影云桌面控制台创建与Azure AD用户同名的便捷用户。
创建云桌面，并将云桌面分配给新建的便捷用户。