第三方单点认证
操作场景
云桌面支持配置多种第三方认证源,包括个人社交认证、企业社交认证、企业认证源,为企业用户登录云桌面带来更简易便捷的登录方式和更好的用户体验。管理员可以根据企业需要添加、修改和删除认证源。
暂不支持OAuth2.0、LDAP、SAML2.0认证之间的互相切换,也不支持同时开启。
数据
该操作需要的配置数据如表1所示。
| 协议类型 | 参数 | 配置说明 | 取值样例 |
|---|---|---|---|
| OAuth 2.0 视图类型 > 可视化视图 | APP ID | 第三方认证源平台创建应用获取的Application(client)ID。
请根据实际情况获取配置,如配置有疑问,请参考提交工单,填写工单信息,获取技术支持。 | ed2a****0feb |
| APP Secret | 第三方认证源平台创建应用获取的client_secret。 AZURE获取方式:在AZURE平台创建的应用名中参数“Client Credentials”的参数值单击“Add a certificate or secret”进入“Client Secrets”页面,单击“New client secret”创建。 DINGTALK获取方式:在DINGTALK平台创建的应用名中的“APP Secret”的值。 请根据实际情况获取配置,如配置有疑问,请参考提交工单,填写工单信息,获取技术支持。 | VdS8****lpoA | |
| 认证成功校验字段 | AZURE配置参数:“displayName”或 “userPrincipalName” DINGTALK参数:nick 说明: AZURE平台上创建的用户必须和云桌面用户一致,否则无法校验通过。 | displayName | |
| 校验字符分隔符配置 | 截取规则: 1、从后往前扫描,在分隔符字段首次出现的位置进行拆分,取前段部分。 2、默认分隔符为“@”。 3、分隔符只允许输入大写字母、小写字母、数字和.-_$#@>。 | 如:test#EXT#&te@teleperformance.com 分隔符为:@、#EXT# 分隔后返回:test | |
| Azure租户ID | 登录租户的Directory(tenant)ID AZURE获取方式:在AZURE平台创建的应用名中参数“Directory(tenant)ID”的值。 请根据实际情况获取配置,如配置有疑问,请参考提交工单,填写工单信息,获取技术支持。 说明: 配置第三方源选择“AZURE”时需要配置。 | feff****eed9 | |
| 域名映射 | 对接多域场景下:
| wks001.vdesktop.com | |
| OAuth 2.0 视图类型 > JSON视图 | 配置JSON文件 | 请参考提交工单,填写工单信息,获取技术支持。 | - |
| SAML2.0 | 身份提供者名称 | 用户自定义,名称只能由英文字母、数字及特殊字符"-"组成,字符范围:1~64个字符 | 由租户管理员自定义。 |
| 接入服务器地址 | 服务器接入地址(互联网接入地址或云专线接入地址),输入内容不能为空,字符范围1~255个字符 | 在云桌面的管理控制台上获取。 | |
| IDP元数据 | Identity Provider(身份提供者,简称 "IDP")的元数据文件,其中包含了关于IDP的配置信息,如身份提供者的实体ID、支持的身份验证方法、签名证书等。文件必须是有效的UTF-8编码的XML文件,且文件大小不超过1MB。 | 由租户管理员提供。 | |
| 用户唯一标识 | 用户唯一标识配置为url格式,该标识对应的值必须与Workspace的用户名保持一致。 | 由租户管理员提供。 | |
| LDAP | 服务器地址 | 认证服务器使用IP地址。 获取方式:搭建LDAP服务器时使用的IP地址,请根据实际情况填写。 | 10.134.151.140 |
| 端口 | 认证服务器与云桌面进行数据通信的端口。 获取方式:搭建LDAP时使用的端口,请根据实际情况填写。 | 636或389 | |
| Base DN | LDAP目录的根目录。 获取方式:“基准DN”填写从LDAP服务器收集的LDAP目录的根目录。 | DC=huawei,DC=com | |
| 管理员DN | 具有LDAP认证服务器管理员权限的DN。 获取方式:搭建LDAP时创建的管理员账号,请根据实际情况填写。 | CN=manager,DC=huawei,DC=com | |
| 管理员密码 | 具有LDAP认证服务器管理员权限密码。 获取方式:搭建LDAP时创建的管理员密码,请根据实际情况填写。 说明: 访问LDAP服务器的密码。 | - | |
| 用户查询Base | 创建LDAP时用户所在目录 获取方式:创建用户时使用的目录名称,请根据实际情况填写。 | cn=users | |
| SSL/TLS证书校验 |
| 开启 | |
| 证书上传 | 开启SSL/TLS证书校验后,需要上传证书 获取方式:用户搭建LDAP服务器开启LDAPS时使用的证书。 | - |
操作步骤
(可选)配置Auth URL的白名单
开启OAuth2.0,配置第三方认证源需要在第三方认证平台上配置白名单。
- 登录管理控制台。
- 在左侧导航中依次选择“租户配置 > 基础配置”。
进入“基础配置”页面。
- 在“网络配置”中获取“互联网接入地址”和“云专线接入地址”的IP地址。
如租户的网络配置方式只配置了“互联网接入地址”或“云专线接入地址”其中的一个,请根据实际情况配置。
- 在AZURE平台创建的应用名中单击“Redirect URls”,将3中获取的“互联网接入地址””和“云专线接入地址”IP配置在白名单中。
配置第三方单点登录
开启第三方单点登录后,对接平台上创建的用户名必须和云桌面用户名保持一致,否则无法校验通过。
