一、什么是无影
阿里云无影云桌面( Elastic Desktop Service)的原产品名为弹性云桌面,融合了无影产品技术后更名升级。它可以为您提供易用、安全、高效的云上桌面服务,帮助您快速构建、高效管理桌面办公环境,提供安全、灵活的办公体系。我非常的关心云桌面准入这块的体验,所以特意来测试一下。云桌面提供了最常见的用户、密码认证机制。还提供多因素认证、SSO单点登录。我这里分别进行了测试。最后的效果还是很让人满意的。这里把测试过程分享给大家。
二、环境构建
1.用户名密码
在控制台中,输入用户名、邮箱、手机号,创建用户。我们就可以在对应邮箱收到一封关于”无影云桌面使用说明 ”邮箱。使用实际的客户端,就可以进行登录体验。
如果您需要批量用户创建创建需求,可以使用模板按照特定格式准备数据后,可以实现一键导入、创建过程。
2.双因素认证登录
(1)在工作区详情页面,将多因素认证设置为开启。
(2)终端用户绑定虚拟MFA设备。
支持TOTP,可配合阿里云APP、google authenticator或其他支持TOTP的虚拟MFA应用使用。
首次登录时需要设置工作区ID和连接方式,下次登录时,系统将自动使用首次配置并跳过该步骤。
3.SSO(IDaaS)
(1)在无影云桌面侧创建与IDaaS用户账户同名的便捷用户
(2)在IDaaS侧添加应用,将无影云桌面配置为可信SAML SP
在无影云控制台导入数据文件,完成整个配置过程。
(3)在无影云桌面侧将IDaaS配置为可信SAML IdP
在无影云控制台导入数据文件,完成整个配置过程。
更多细节:请参考官方文档https://help.aliyun.com/document_detail/314653.html
使用该认证方式,输入正确用户名、密码即可完成准入认证。
三、效果展示
1. 用户名密码
使用该认证方式,输入正确用户名、密码即可完成准入认证。
2. 双因素认证登录
使用该认证方式,输入MFA设备上的6位验证码即可完成准入认证。
3.SSO(IDaaS)
使用该认证方式,输入IDaaS账户的信息,进行身份验证即可完成准入认证。
四、心得体会
多因素认证MFA(Multi-factor authentication)是一种简单有效的安全实践,可以在用户名和密码之外再增加一层安全保护。开启MFA后,终端用户在登录客户端时,系统将校验两层安全要素,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以此提高账号安全性。
对于SSO目前仅软终端(Windows客户端、macOS客户端)和硬件终端(阿里云云终端)支持SSO功能;移动终端(iOS客户端、Android客户端)和Web客户端暂不支持SSO功能。我也发现网友也提供提供了不错的测试用例。
总言之,这款产品安全准入这一块还是做的很不错的,除了上文介绍的,我们通过安全网关接入,隔离外部网络和桌面VPC;使用RAM或AD进行账号安全管理,可对接企业认证系统。完全符合我们现在的安全诉求。