借助无影云电脑的登录方式设置和安全设置能力,您可以控制终端用户登录时可用的登录方式,以及提高云电脑使用过程中各个环节的安全性。例如,单点登录SSO、多因素设备认证、客户端登录校验等能力,可以确保在登录之前对终端用户进行严格的身份验证;客户端超时自动退出登录的能力,可有效控制数据意外泄露的风险。本文介绍各项登录安全设置能力及其使用方法。
单点登录SSO
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
开启SSO设置并配置SSO之后,终端用户登录无影终端时将通过SSO方式登录。对于办公网络,SSO设置默认关闭。
开启步骤
您可以按照以下步骤为办公网络开启SSO设置。
登录无影云电脑控制台。
在左侧导航栏,选择。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面上找到目标办公网络,单击办公网络ID。
在办公网络详情页面最底部的其他信息区域,单击右上角的展开,然后打开SSO设置开关。
说明SSO设置、多因素认证和客户端登录校验三者之间为互斥关系。同一时间只能为一个办公网络开启其中一种登录验证方式。
相关信息
关于如何基于SAML配置SSO,请参见基于SAML配置SSO。
关于云电脑与企业身份提供商IdP的最佳实践,请参见单点登录SSO。
多因素设备认证MFA
多因素认证是一种简单有效的安全实践。您在办公网络层面启用多因素认证后,终端用户首次登录无影终端时需要绑定虚拟MFA设备,此后每次登录时,系统将校验两层安全要素:
第一层安全要素:输入用户名和密码。
第二层安全要素:输入虚拟MFA设备生成的验证码。
虚拟MFA:基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位验证码,从而避免因密码被盗而引起的非法登录。
无影云电脑支持基于软件的虚拟MFA设备,您可以在智能手机上安装阿里云App来用作虚拟MFA设备。
开启步骤
客户端登录校验
默认关闭。开启后,终端用户从新的设备登录无影终端时需完成邮箱验证码校验,校验通过后方可成功登录。
仅便捷账号且网络接入方式为公网连接时生效。
开启步骤
客户端超时自动退出登录
默认关闭。开启后,若终端用户登录了Windows客户端或macOS客户端,但客户端上没有连接云电脑,则当达到您在此处设置的超时时长,客户端将自动退出登录,可以有效保护云电脑的数据安全。
设置客户端超时自动退出登录后,终端用户下次登录客户端时生效。
开启步骤
登录无影云电脑控制台。
在左侧导航栏,选择。
在登录页面的通用配置页签上,将客户端超时自动退出登录设为开启,并按照页面提示设置时长。
说明在即将达到超时时长之前,终端用户将收到提醒,终端用户可以选择终止该流程,但如果终端用户不采取任何操作,则客户端将自动退出登录,