本文介绍企业IdP(以AD FS为例)与阿里云弹性云桌面进行SSO的配置流。配置完成后,当AD用户登录云桌面客户端时,只需要在企业IdP进行登录验证。

背景信息

单点登录SSO(Single Sign On)是一种帮助用户快速访问多个应用系统的安全通信技术,也称为身份联合登录,可以实现在多个系统中,只需要登录一次,就可以访问其他相互信任的系统。相关的基本概念如下:
  • 身份提供商IdP:提供身份管理服务,负责收集存储用户身份信息(用户名、密码等),在登录时验证用户身份。常见的企业IdP包括AD FS、Shibboleth等。
  • 服务提供商SP:通过与IdP建立互信关系,利用IdP的身份管理功能,为对应用户提供具体的服务。
  • 安全断言标记语言SAML:实现企业级用户身份认证的标准协议,可以在IdP和SP之间交换身份验证和授权数据。

阿里云支持基于SAML 2.0的SSO功能,您可以根据自身需要,使用支持SAML 2.0的企业IdP(如:AD FS)与阿里云弹性云桌面进行SSO。设置SSO后,您可以安全地使用企业内部的访问凭据来登录云桌面客户端。

本文以Windows Server 2012 R2的AD FS为例,介绍如何配置SSO,实现AD用户登录客户端时,只需要在AD FS单点验证身份,就可以直接登录客户端。

步骤一:在弹性云桌面中为AD目录开启SSO功能

  1. 登录弹性云桌面控制台
  2. 在顶部菜单栏左上角处,选择地域。
  3. 在左侧导航栏,单击目录服务
  4. 目录服务页面,找到要开启SSO的AD目录,单击对应操作列中的设置SSO属性
  5. 在弹出的对话框中,选择开启

步骤二:在弹性云桌面中将AD FS配置为可信SAML IdP

  1. 获取IdP元数据文件。
    1. 在浏览器中输入以下地址获取IdP元数据文件。
      IdP元数据文件的获取地址为:https://<AD server>/FederationMetadata/2007-06/FederationMetadata.xml。其中<AD Server>为AD FS的域名或者IP地址。
    2. 下载元数据文件到本地。
  2. 在弹性云桌面控制台上传IdP元数据文件。
    1. 目录服务页面,单击AD目录对应操作列中的设置SSO属性
    2. 在弹出的对话框中,单击上传文件
    3. 双击选择IdP元数据文件,单击确认

步骤三:在AD FS中将弹性云桌面配置为可信SAML SP

  1. 在弹性云桌面控制台下载SP元数据文件。
    1. 目录服务页面,单击AD目录对应操作列中的设置SSO属性
    2. 在弹出的对话框中,单击下载文件
  2. 登录AD FS所在服务器,打开服务器管理。
  3. 在右上角选择工具 > AD FS管理
  4. AD FS对话框的左侧导航栏中,选择信任关系 > 信赖方依赖
  5. 添加信赖方依赖。
    1. 在右侧操作区域,单击添加信赖方信任
    2. 按照向导完成添加信赖方信任。
      选择数据源时请选择从文件导入有关信赖方的数据,导入第1步获取的SP元数据文件。ADFS1
  6. 编辑声明规则。
    1. 在信赖方信任列表中,右键单击上一步添加的信赖方依赖,选择编辑声明规则
    2. 在弹出的对话框中,单击添加规则
    3. 按照向导完成规则配置。
      配置说明如下:
      • 选择规则类型时,声明规则模板请选择以声明方式发送LADP特性
      • 配置声明规则时,特性存储请选择Active Directory,LDAP特性到传出声明类型的映射中添加一条SAM-Account-Name名称 ID的映射,或者UPN名称 ID的映射。
      ADFS2

步骤四:通过SSO功能登录客户端

注意 使用SSO功能登录客户端前,请确保您本地可以访问AD FS的域名地址。
开启SSO功能后,通过客户端登录云桌面时,将自动打开浏览器,跳转到AD FS页面进行验证。您需要输入AD用户的身份信息(如用户名、密码等),验证成功后,可以直接登录客户端。sso
如果在输入AD用户名和密码时,一直无法登录,则表示在AD FS登录验证失败。可能原因和解决方法如下:
  • AD用户名或者密码不正确。请登录AD域服务器查看AD用户名或者重置密码,重置密码时,请勿设置下次登录时需更改密码。
    说明 新建用户或者重置用户密码时,如果设置了下次登录时需更改密码,请在修改密码后再使用SSO。
  • AD FS配置错误。请登录AD FS服务器检查信赖方信任和规则配置。