更新时间:2024-07-11 GMT+08:00

第三方单点认证

操作场景

云桌面支持配置多种第三方认证源,包括个人社交认证、企业社交认证、企业认证源,为企业用户登录云桌面带来更简易便捷的登录方式和更好的用户体验。管理员可以根据企业需要添加、修改和删除认证源。

暂不支持OAuth2.0、LDAP、双因素认证之间的互相切换,也不支持同时开启。

数据

该操作需要的配置数据如表1所示。

表1 准备数据

协议类型

参数

配置说明

取值样例

OAuth 2.0

视图类型 > 可视化视图

APP ID

第三方认证源平台创建应用获取的Application(client)ID。

AZURE获取方式:在AZURE平台创建的应用名中参数“Application(client)”ID的值。

DINGTALK获取方式:在DINGTALK平台创建的应用名中的Appkey的值。

请根据实际情况获取配置,如配置有疑问,请参考提交工单,填写工单信息,获取技术支持。

ed2a****0feb

APP Secret

第三方认证源平台创建应用获取的client_secret。

AZURE获取方式:在AZURE平台创建的应用名中参数“Client Credentials”的参数值单击“Add a certificate or secret”进入“Client Secrets”页面,单击“New client secret”创建。

DINGTALK获取方式:在DINGTALK平台创建的应用名中的“APP Secret”的值。

请根据实际情况获取配置,如配置有疑问,请参考提交工单,填写工单信息,获取技术支持。

VdS8****lpoA

认证成功校验字段

AZURE配置参数:“displayName”或

“userPrincipalName”

DINGTALK参数:nick

说明:

AZURE平台上创建的用户必须和云桌面用户一致,否则无法校验通过。

displayName

校验字符分隔符配置

截取规则:

1、从后往前扫描,在分隔符字段首次出现的位置进行拆分,取前段部分。

2、默认分隔符为“@”。

3、分隔符只允许输入大写字母、小写字母、数字和.-_$#@>。

如:test#EXT#&te@teleperformance.com

分隔符为:@、#EXT#

分割后返回:test

Azure租户ID

登录租户的Directory(tenant)ID

AZURE获取方式:在AZURE平台创建的应用名中参数“Directory(tenant)ID”的值。

请根据实际情况获取配置,如配置有疑问,请参考提交工单,填写工单信息,获取技术支持。

说明:

配置第三方源选择“AZURE”时需要配置。

feff****eed9

OAuth 2.0

视图类型 > JSON视图

配置JSON文件

请参考提交工单,填写工单信息,获取技术支持。

-

LDAP

服务器地址

认证服务器使用IP地址。

获取方式:搭建LDAP服务器时使用的IP地址,请根据实际情况填写。

10.134.151.140

端口

认证服务器与云桌面进行数据通信的端口。

获取方式:搭建LDAP时使用的端口,请根据实际情况填写。

636或389

Base DN

LDAP目录的根目录。

获取方式:“基准DN”填写从LDAP服务器收集的LDAP目录的根目录。

DC=huawei,DC=com

管理员DN

具有LDAP认证服务器管理员权限的DN。

获取方式:搭建LDAP时创建的管理员账号,请根据实际情况填写。

CN=manager,DC=huawei,DC=com

管理员密码

具有LDAP认证服务器管理员权限密码。

获取方式:搭建LDAP时创建的管理员密码,请根据实际情况填写。

说明:

访问LDAP服务器的密码。

-

用户查询Base

创建LDAP时用户所在目录

获取方式:创建用户时使用的目录名称,请根据实际情况填写。

cn=users

SSL/TLS证书校验

  • 开启:搭建LDAP服务器使用LDAPS
  • 关闭:搭建LDAP服务器使用LDAP

开启

证书上传

开启SSL/TLS证书校验后,需要上传证书

获取方式:用户搭建LDAP服务器开启LDAPS时使用的证书。

-

操作步骤

(可选)配置Auth URL的白名单

开启OAuth2.0,配置第三方认证源需要在第三方认证平台上配置白名单。

  1. 登录管理控制台
  2. 在左侧导航中依次选择“租户配置 > 基础配置”。

    进入“基础配置”页面。

  3. 在“网络配置”中获取“互联网接入地址”和“云专线接入地址”的IP地址。

    如租户的网络配置方式只配置了“互联网接入地址”或“云专线接入地址”其中的一个,请根据实际情况配置。

  4. 在AZURE平台创建的应用名中单击“Redirect URls”,将3中获取的“互联网接入地址””和“云专线接入地址”IP配置在白名单中。

配置第三方单点登录

开启第三方单点登录后,对接平台上创建的用户名必须和云桌面用户名保持一致,否则无法校验通过。

  1. 登录管理控制台
  2. 在左侧导航中依次选择“租户配置 > 认证配置 > 主认证配置”,单击“修改”。
  3. 在主认证类型选择“第三方单点认证”。

    • 协议类型默认为:OAuth2.0 执行4
    • 协议类型默认为:LDAP 执行5

  4. 视图类型选择“可视化视图”,根据表1中OAuth 2.0的配置参数完成配置。
  5. 根据表1中LDAP的配置参数完成配置。
  6. 单击“保存”。