通过 IDP 添加多个用户

适用于拥有 Enterprise-Cloud 许可证的用户。

IDP 作为用户提供方,允许组织的所有者使用支持的身份管理系统为该组织创建用户OpenID Connect(例如,Microsoft Azure Active Directory)。这样,您可以在 my.anydesk II 中设置 IDP,您组织的用户将能够使用组织的 ID 及其公司凭据通过 SSO 登录。

table of contents_chinese-simplified

先决条件 
配置IDP 
设置 IDP 映射器 

 

在本章中,您将了解 IDP 设置需要哪些先决条件,如何通过 my.anydesk 管理控制台配置 IDP,以及如何设置 IDP 映射器。

有关用户提供程序类型的更多信息,请参阅 用户提供方

 

前提条件

my.anydesk II 配置IDP之前,需要先设置身份提供方。您可以使用任何支持 OpenID Connect 的第三方身份提供方,例如 Microsoft Azure Active Directory。

my.anydesk II 中的IDP配置,需要以下数据:

  • 客户机密。(Client Secret. )将 URL 复制并粘贴到 Client Secret 字段中 配置 IDP 设置
  • 应用程序(客户端 ID) 。将 URL 复制并粘贴到 客户端 ID 字段。
  • 授权端点。 将 URL 复制并粘贴到 身份验证 URL 字段。
  • 令牌端点。 将 URL 复制并粘贴到 令牌 URL 字段。

 

配置 IDP

您需要配置 IDP 以在 my.anydesk II 和您的身份提供者之间创建连接。

❗ 您将无法在 my.anydesk II 中编辑通过 IDP 创建的用户,因为它们与身份提供者同步。

my.anydesk II my.anydesk II 中配置 IDP :

  1. 打开 my.anydesk II my.anydesk II 并转到组织
  2. 常规 部分,单击 编辑 ,并在 User Provider 字段中,选择 IDP
  3. Switch active provider 窗口中,选择 Proceed
  4. 向下滚动到 IDP 设置 部分,单击 编辑 并提供以下信息:
    • 重定向 URI - IDP 设置完成后自动生成。完成设置后复制重定向 URI 值并将其粘贴到您各自的身份提供方。
    • 客户端 ID - 复制您的 IDP中 应用程序(客户端 ID) 的值,并将其粘贴到此处。它用于将 my.anydesk 注册为您的提供商的 OIDC 客户端。
    • Client Secret - 从您的 IDP 复制 Client Secret 值,并把它粘贴在这里。它用于将 my.anydesk 注册为您的提供方的 OIDC 客户端。
    • 令牌 URL - 从您的 IDP 复制 令牌端点 值,并把它贴在这里。它向客户端 (my.anydesk) 返回访问令牌、ID 令牌和刷新令牌。
    • 授权 URL - 从您的 IDP 复制 授权端点 值,并把它贴在这里。用于my.anydesk客户端的认证授权。
    • 信任电子邮件 - 关闭开关,让用户通过 my.anydesk II 验证他们的电子邮件地址。打开开关以禁用 my.anydesk II 电子邮件验证。
    • Backchannel Logout - 打开开关以通过配置的 IDP 启用对反向通道注销的支持。 如果启用,则必须提供 注销 URL 字段。
    • 注销 URL - 提供从外部 IDP 注销用户的端点。 Backchannel Logout 必须启用。
    • 允许的时钟偏差 - 以秒为单位提供值(默认值为 0 )。 它确定验证 IDP 令牌时可接受的偏差。
    • 默认范围 - 请求授权时包含的范围。默认为 openid 。提供您要请求的其他范围的逗号分隔列表。
    • 验证签名 - 打开开关以启用已配置 IDP 的签名验证。 如果启用,则必须提供 JWKS URL 字段。
    • JWKS URL - my.anydesk II 可以检索已配置 IDP 密钥的 URL。 验证签名 必须启用。
      idp setup
  5. 单击 完成编辑
  6. 保存身份提供者后,复制分配的 Redirect URI
  7. 打开您的身份提供者并转到 身份验证。

❗ 出于示例目的,此处使用 Microsoft AzureAD 身份提供程序来展示该过程。您可以根据需要使用任何其他第三方身份提供者。

8. 点击 添加平台 ,选择 Web 并粘贴您在将身份提供方保存到  my.anydesk IIredirect uri
9. 单击 配置

完成上述步骤后,您的身份提供者的所有用户将能够登录到 my.anydesk II 使用组织 ID 的 SSO。

 

设置 IDP 映射器

您可以将组织中的角色映射到 my.anydesk II 。这样,您就不需要手动为用户分配角色。

首先,您需要在您的身份提供者中配置一个组令牌。然后,为了设置 IDP 映射器,至少需要一个 角色 已存在于 my.anydesk II 管理控制台中。然后可以将该角色映射到身份提供方中的角色。

映射角色后,其状态将变为 映射 。这意味着用户不能再手动链接到该角色。删除 IDP 映射器将删除 映射 状态,并允许您手动将用户链接到该角色。

设置 IDP 映射器:

  1. 打开 my.anydesk II 并转到 组织
  2. 向下滚动到 IDP 映射器 部分,单击 创建新 IDP映射器 并提供以下信息:
    • Key - 输入您要映射的 IDP 属性的键。
    • - 输入您要映射的 IDP 属性的值。
    • 名称 - 输入 IDP 映射器的名称。
    • 声明 - 提供以下信息:
    • 角色 - 从下拉列表中选择您希望分配给 my.anydesk.com 管理控制台中指定 IDP 用户的角色。
      create new idp mapper
  3. 单击 创建新的 IDP 映射器。

之后,如果符合键值标准的用户登录到他们的 my.anydesk II 帐户,他们将自动拥有分配给他们映射到的角色的所有权限。

例子

例如,如果您希望您的身份提供者的每个用户的名字都是 John 将被赋予 /l:style1> administrator AnyDesk角色,然后为 Key 字段,输入 FirstName (取决于您 IDP 中的密钥),作为 字段,输入 John ,并在 角色 字段,选择 admin