无影云电脑支持与Azure AD(Azure Active Directory)和AD FS(AD用户)进行单点登录,从而实现快速连接云电脑。
SSO简介
单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。
相关概念如下:
身份提供商IdP:一个包含有关外部身份提供商元数据的实体,提供身份管理服务,负责收集存储用户身份信息(例如用户名、密码等),在登录时验证用户身份。
常见的身份提供商IdP有:
企业本地IdP:Microsoft Active Directory Federation Service(AD FS)和Shibboleth等。
Cloud IdP:Azure AD、Google Workspace、Okta以及OneLogin等。
服务提供商SP:利用IdP的身份管理功能,通过与IdP建立互信关系,为用户提供具体服务的应用。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。
安全断言标记语言SAML 2.0:实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML已经是目前实现企业级SSO的一种事实标准。
建立无影云电脑与企业身份提供商(IdP)之间的互信关系,需要分别在无影云电脑和企业IdP之间交换元数据。关于如何基于SAML配置SSO的具体操作,请参见基于SAML配置SSO。
无影终端限制
以下无影终端支持SSO:
Windows客户端
macOS客户端
Web客户端
使用场景
您希望从无影云电脑的登录页面开始发起登录,而非直接访问您IdP的登录页面。此时可以考虑使用SSO登录,具体采用哪种方式实现SSO,需要根据您实际的业务场景决定。下表为您列举了常见的企业身份提供商(IdP)和无影云电脑实现SSO的使用场景和相关配置。
场景 | 说明 | 配置SSO的操作指导 |
通过Azure AD进行登录验证,实现快速登录无影终端以连接云电脑。 | 如果您使用Azure AD管理用户账号,可以配置无影云电脑的便捷用户与Azure AD用户进行SSO。此时,无影云电脑作为服务提供商SP,Azure AD作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以安全使用Azure AD内部的访问凭据连接云电脑。 | |
对接企业AD时,通过配置AD FS(企业AD用户)与无影云电脑的便捷用户SSO。配置后,只需在AD FS侧进行登录验证,实现快速登录无影终端以连接云电脑。 | 如果您的企业已使用AD(Active Directory)域服务来管理用户账号信息,则可以配合使用AD FS(Active Directory Federation Services)实现单点登录SSO。此时,无影云电脑作为服务提供商SP,AD FS作为身份提供商IdP,两者基于SAML协议,互相交换元数据文件,即可实现SSO。配置SSO后,您可以使用AD FS提供的访问凭据连接云电脑。 |