配置Workspace启用OAuth 2.0单点登录

操作场景

Workspace服务采用OAuth 2.0协议实现单点登录（SSO）功能，为用户提供安全便捷的统一认证体验。通过标准化的授权流程，用户只需一次登录即可访问所有接入Workspace的关联应用，无需重复输入凭证。该机制基于令牌（Token）进行身份验证与资源授权，在保障账户安全的同时，显著提升了跨系统访问的效率与流畅性。企业可通过集中权限管理，灵活控制用户对应用和数据的访问范围，既强化了安全管控，也降低了多系统维护的复杂度。

步骤一：获取配置信息

1. 使用Microsoft Entra ID管理员用户登录Azure 门户。
2. 单击“Microsoft Entra ID”。

   

获取Azure租户ID

3. 单击“概览”，获取租户ID。

   

获取APP ID

4. 单击应用程序右侧数字。

   

5. 获取应用程序中的应用程序（客户端ID）。

   

获取APP Secret

6. 单击拥有的应用程序下创建的应用名称。

   

7. 单击“证书和密码”，在右侧单击“”，，进入添加客户端密钥窗口，根据提示完成添加。

   

获取访问地址

8. 登录管理控制台。
9. 在左侧导航栏依次单击“租户配置 > 基础配置”下获取。

   

步骤二：设置重定向URL

1. 依次单击“管理 > 应用注册 > 拥有的应用程序 > ”，单击创建的应用名称。

   

2. 单击Authentication（Preview），在右侧单击“”，将9地址添加。

   

3. 单击“保存”。

步骤三：为应用程序设置权限

1. 以管理员身份登录Azure平台。
2. 依次单击“管理 > 应用注册 > 拥有的应用程序 > ”，单击创建的应用名称。

   

3. 单击“设置”，勾选“ID令牌”。

   

4. 在左侧单击“API权限”，在右侧单击“”添加权限，单击“Microsoft Graph”。
5. 选择“OpenId权限”，勾选“offline_access”和“openid”，单击“添加权限”。

   

6. 单击“Mail”权限，勾选“Mail.Read”，单击“添加权限”。

   

7. 单击“User”权限，勾选“User.Read”，单击“添加权限”。

   

8. 单击“授予管理员同意”，单击“是”。

   

步骤四：在Azure上创建用户

1. 在所有用户页面右侧单击“”，新增所需的用户。
   

   请确保在Azure平台上创建的用户必须和云桌面用户一致，否则无法校验通过。

   

步骤五：在云桌面管理控制台上配置Oauth2.0

1. 登录管理控制台。
2. 在左侧导航栏依次单击“租户配置 > 认证配置”，进入认证配置页面。
3. 单击“修改”，在主认证类型下单击“第三方单点认证”。
   • 协议类型：选择“OAuth 2.0”。
   • 视图类型：可视化视图。
   • 第三方认证源：选择“AZURE”。
   • APP ID：选择5中查看的应用程序（客户端ID）
   • 校验字段分隔符配置：

     1、从后往前扫描，在分隔符字段首次出现的位置进行拆分，取前段部分。

     2、默认分隔符为“@”。

     3、分隔符只允许输入大写字母、小写字母、数字和.-_$#@>。

     如: test#EXT#&te@teleperformance.com，分隔符为@、#EXT#，分割后取test。

   • APP Secret：选择7创建的密钥。
   • Azure租户ID：选择3中获取的租户ID。
   • 认证成功校验字段：默认为“userPrincipalName”

4. 单击“保存”。

步骤六：登录桌面

1. 打开华为云客户端，输入服务器地址、企业ID，单击“下一步”。
2. 单击OAuth2登录。
3. 页面跳转至Microsoft Entra ID认证平台，输入用户和密码。
4. 页面跳转回云桌面列表页面，单击目标桌面即可登录。