企业自有认证系统认证

操作场景

管理员可配置对接企业自有认证系统，使终端用户通过云桌面客户端（华为云办公）使用账号、密码登录云桌面时，使用企业认证系统进行二次认证。

前提条件

• 已购买云桌面。
• 已参考云专线服务的《快速入门》或者虚拟专用网络VPN服务的《管理员指南》》进行配置，使企业认证服务器所在的客户数据中心与VPC之间的网络互通。
  

  云桌面已开放随机端口与第三方业务平面对接，如果同时对接了Windows AD，请确保Windows AD与该认证服务器的端口互不冲突。

• 已获取企业认证服务器的以下数据：
  • 认证服务器域名（可选）
  • 认证服务器IP地址
  • 认证服务器的访问密钥AK
  • 认证服务器的访问密钥SK
  • 认证服务器的PEM或者CER格式的SSL/TLS证书文件

使用限制

未开启“应急模式”。

应急模式默认为关闭状态。

如果已开启应急模式将无法使用多因素认证。请参考提交工单，填写工单信息，获取当前租户的应急模式状态，并根据需要关闭应急模式。

操作步骤

开启对接企业自有认证系统

1. 登录管理控制台。
2. 在导航中依次选择“租户配置 > 认证配置”。

   进入“认证配置”页面。

3. 单击“辅助认证配置”页签，在“多因素认证配置”下，单击“开启”。
   图1 多因素认证配置
   

4. 在弹出的提示框单击“确定”，进入修改多因素认证配置页面。
5. 参考如表1所示配置参数。

   表1 对接企业自有认证系统参数说明

   参数名称	说明	样例
   认证服务器	选择“对接企业自有认证系统”。	对接企业自有认证系统
   服务器地址	填写前提条件中准备的企业自有认证服务器IP地址。 如果接入模式是“互联网”，此处可以填写为企业自有认证服务器的域名。	192.168.0.0
   APP ID	填写前提条件中准备的企业自有认证服务器的访问密钥AK。 允许输入的最大密钥长度为24个字符。	-
   APP Secret	填写前提条件中准备的企业自有认证服务器的访问密钥SK。 允许输入的最大密钥长度为128个字符。	-
   SSL/TLS证书	单击“证书上传”，选择前提条件中准备的企业自有认证服务器的SSL/TLS证书。 单击“打开”。	-
   接入方式	根据用户的认证服务器可使用的网络方式形式选择 仅公网可访问，则选择“互联网接入用户”。 仅内网可访问，则选择“专线接入用户”	互联网接入用户
   应用对象	根据需要选择“应用对象”，对象包含全部用户、用户、用户组。 说明： 应用对象默认为“全部用户”，根据需要选择用户或用户组后，可将默认的全部用户对象移除，仅对您所选的对象生效。	-

6. 单击“确认开启”。
   

   使用企业自有认证系统进行认证，终端用户无需绑定设备，终端用户的具体操作请根据使用的终端设备类型参见通过软终端方式登录桌面、通过瘦终端方式登录桌面、通过移动端方式登录桌面。

管理辅助认证配置

1. 登录管理控制台。

2. 在导航中依次选择“租户配置 > 认证配置”。

   进入“认证配置”页面。

3. 单击“辅助认证配置”页面。
4. 根据需要可以执行如表1所示的操作。

   表2 辅助认证配置操作列表

   操作名称	操作步骤	场景说明
   添加应用对象	在应用对象右侧单击“选择应用对象”，弹出“选择应用对象”页面。 根据需要选对用对象，应用对象包含用户、用户组或全部用户。 单击“确定”。	管理可通过添加应用对象使用户或用户组下的用户开启多因素认证。
   移除应用对象	单个移除： 在应用对象操作列单击“移除”，弹出“移除应用对象”窗口。 如果您确定要移除，请输入“DELETE”，或单击“一键输入”可以快速输入。 批量移除： 在应用对象列表批量勾选待移除的用户/组。 单击上方的“移除”，弹出“移除应用对象”窗口。 如果您确定要移除，请输入“DELETE”，或单击“一键输入”可以快速输入。 单击“确定”。 说明： 应用对象被移除后，其包含的用户及用户组下的用户，辅助认证功能将被关闭。	管理可对不需要对接多因素认证的用户进行移除操作。
   修改辅助认证配置	在华为云多因素认证服务右侧单击“修改”。 根据需要，可修改如下配置： 修改认证服务器：根据需要可以将认证服务器修改为“华为云多因素认证服务”，参考华为云多因素认证服务（虚拟MFA认证）进行配置。 修改接入方式：根据需要可选择“互联网接入用户”或“专线接入用户” 说明： 接入方式必须选择“互联网接入用户”或“专线接入用户”中的一种。 修改应用对象：可添加或移除应用对象。 单击“保存配置”。	管理员可根据需要修改已开启的辅助配置。