Organization
      返回首頁
      1. Help Center
      2. my.anydesk II
      3. Organization

      通過 IDP 添加多個用戶

      適用於擁有 Enterprise-Cloud / Ultimate-Cloud 許可證的用戶。

      IDP(Identity Provider 身份提供商)作為用戶提供商,允許組織的所有者使用支持的身份管理系統為該組織創建用戶OpenID Connect(例如,Microsoft Azure Active Directory)。這樣,您可以在 my.anydesk II 中設置 IDP,您組織的用戶將能夠使用組織的 ID 及其公司憑據通過 SSO 登錄。

      		 table of contents_chinese-traditional

      先決條件 
      配置IDP 
      設置 IDP 映射器 

       

      在本章中,您將了解 IDP 設置需要哪些先決條件,如何通過 my.anydesk 管理控制台配置 IDP,以及如何設置 IDP 映射器。

      有關用戶提供商類型的更多信息,請參閱 用戶提供商

       

      先決條件

      my.anydesk II 配置IDP之前,您需要先設置您的身份提供商。您可以使用任何支持 OpenID Connect 的第三方身份提供商,例如 Microsoft Azure Active Directory。

      my.anydesk II 中的IDP配置,需要以下數據:

      • 客戶機密 (Client Secret)。 將 URL 複製並粘貼到 Client Secret 字段中 配置 IDP 設置
      • 應用程序客戶端 ID) 。將 URL 複製並粘貼到 客戶端 ID 字段。
      • 授權端點。 將 URL 複製並粘貼到 身份驗證 URL 字段。
      • 令牌端點。 將 URL 複製並粘貼到 令牌 URL 字段。

       

      配置 IDP

      您需要配置 IDP 以在 my.anydesk II 和您的身份提供商之間創建聯結。

      ❗ 您將無法在 my.anydesk II 中編輯通過 IDP 創建的用戶,因為它們與身份提供商同步。

      my.anydesk II 中配置 IDP :

      1. 打開 my.anydesk II 並轉到組織。
      2. 常規 部分,單擊 編輯 ,並在 User Provider 字段中,選擇 IDP
      3. Switch active provider 窗口中,選擇 Proceed
      4. 向下滾動到 IDP 設置 部分,單擊 編輯 並提供以下信息:
        • 重定向 URI - IDP 設置完成後自動生成。完成設置後復制重定向 URI 值並將其粘貼到您各自的身份提供商。
        • 客戶端 ID - 複製 應用程序(客戶端 ID) 的值您的 IDP 並將其粘貼到此處。它用於將 my.anydesk 註冊為您的提供商的 OIDC 客戶端。
        • Client Secret - 從您的 IDP 複製 Client Secret 值把它貼在這裡。它用於將 my.anydesk 註冊為您的提供商的 OIDC 客戶端。
        • 令牌 URL - 從您的 IDP 複製 令牌端點 值和把它貼在這裡。它向客戶端 (my.anydesk) 返回訪問令牌、ID 令牌和刷新令牌。
        • 授權 URL - 從您的 IDP 複製 授權端點 值和把它貼在這裡。用於my.anydesk客戶端的認證授權。
        • 信任電子郵件 - 關閉開關,讓用戶通過 my.anydesk II 驗證他們的電子郵件地址。打開開關以禁用 my.anydesk II 電子郵件驗證。
        • Backchannel Logout - 打開開關以通過配置的 IDP 啟用對反向通道註銷的支持。 如果啟用,則必須提供 註銷 URL 字段。
        • 註銷 URL - 提供從外部 IDP 註銷用戶的端點。 Backchannel Logout 必須啟用。
        • 允許的時鐘偏差 - 以秒為單位提供值(默認值為 0 )。 它確定驗證 IDP 令牌時可接受的偏差。
        • 默認範圍 - 請求授權時包含的範圍。默認為 openid 。提供您要請求的其他範圍的逗號分隔列表。
        • 驗證簽名 - 打開開關以啟用已配置 IDP 的簽名驗證。 如果啟用,則必須提供 JWKS URL 字段。
        • JWKS URL - my.anydesk II 可以檢索已配置 IDP 密鑰的 URL。 驗證簽名 必須啟用。
          idp setup
      5. 單擊 完成編輯
      6. 保存身份提供商後,複製分配的 Redirect URI
      7. 打開您的身份提供商並轉到 身份驗證。

      ❗ 出於示例目的,此處使用 Microsoft AzureAD 身份提供商來展示該過程。您可以根據需要使用任何其他第三方身份提供商。

      8. 點擊 添加平台 ,選擇 Web 並粘貼您在將身份提供商保存到 my.anydesk IIredirect uri

      9. 單擊 配置

      完成上述步驟後,您的身份提供商的所有用戶將能夠登錄到 my.anydesk II 使用組織 ID 的 SSO。

       

      設置 IDP 映射器

      您可以將組織中的角色映射到 my.anydesk II 。這樣,您就不需要手動為用戶分配角色。

      首先,您需要在您的身份提供商中配置一個組令牌。然後,為了設置 IDP 映射器,至少需要一個 角色 已存在於 my.anydesk II 管理控制台中。然後可以將該角色映射到身份提供商中的角色。

      映射角色後,其狀態將變為 映射 。這意味著用戶不能再手動聯結到該角色。刪除 IDP 映射器將刪除 映射的 狀態,並允許您手動將用戶聯結到該角色。

      設置 IDP 映射器:

      1. 打開 my.anydesk II 並轉到 組織
      2. 向下滾動到 IDP 映射器 部分,單擊 創建新 IDP映射器 並提供以下信息:
        • Key - 輸入您要映射的 IDP 屬性的鍵。
        • - 輸入您要映射的 IDP 屬性的值。
        • 名稱 - 輸入 IDP 映射器的名稱。
        • 聲明 - 提供以下信息:
        • 角色 - 從下拉列表中選擇您希望分配給 my.anydesk.com 管理控制台中指定 IDP 用戶的角色。
          create new idp mapper
      3. 單擊 創建新的 IDP 映射器。

      之後,如果符合Key值標準的用戶登錄到他們的 my.anydesk II 帳戶,他們將自動擁有分配給他們映射到的角色的所有權限。

      例子

      例如,如果您希望您的身份提供商的每個用戶的名字都是 John 將被賦予 administrator AnyDesk角色,然後為 Key 字段,輸入 FirstName (取決於您 IDP 中的密鑰),作為 字段,輸入 John ,並在 角色 字段,選擇 admin