一、什么是无影

阿里云无影云桌面（ Elastic Desktop Service）的原产品名为弹性云桌面，融合了无影产品技术后更名升级。它可以为您提供易用、安全、高效的云上桌面服务，帮助您快速构建、高效管理桌面办公环境，提供安全、灵活的办公体系。我非常的关心云桌面准入这块的体验，所以特意来测试一下。云​桌面提供了最常见的用户、密码认证机制。还提供多因素认证、SSO单点登录。我这里分别进行了测试。最后的效果还是很让人满意的。这里把测试过程分享给大家。

二、环境构建

1.用户名密码

在控制台中，输入用户名、邮箱、手机号，创建用户。我们就可以在对应邮箱收到一封关于”无影云桌面使用说明 ”邮箱。使用实际的客户端，就可以进行登录体验。

如果您需要批量用户创建创建需求，可以使用模板按照特定格式准备数据后，可以实现一键导入、创建过程。

2.双因素认证登录

（1）在工作区详情页面，将多因素认证设置为开启。

（2）终端用户绑定虚拟MFA设备。

支持TOTP，可配合阿里云APP、google authenticator或其他支持TOTP的虚拟MFA应用使用。

首次登录时需要设置工作区ID和连接方式，下次登录时，系统将自动使用首次配置并跳过该步骤。

3.SSO(IDaaS)

（1）在无影云桌面侧创建与IDaaS用户账户同名的便捷用户

 

（2）在IDaaS侧添加应用，将无影云桌面配置为可信SAML SP

在无影云控制台导入数据文件，完成整个配置过程。

（3）在无影云桌面侧将IDaaS配置为可信SAML IdP

在无影云控制台导入数据文件，完成整个配置过程。

更多细节:请参考官方文档https://help.aliyun.com/document_detail/314653.html

使用该认证方式，输入正确用户名、密码即可完成准入认证。

三、效果展示

1. 用户名密码

使用该认证方式，输入正确用户名、密码即可完成准入认证。

2. 双因素认证登录

使用该认证方式，输入MFA设备上的6位验证码即可完成准入认证。

3.SSO(IDaaS)

使用该认证方式，输入IDaaS账户的信息，进行身份验证即可完成准入认证。

​

四、心得体会

 

多因素认证MFA（Multi-factor authentication）是一种简单有效的安全实践，可以在用户名和密码之外再增加一层安全保护。开启MFA后，终端用户在登录客户端时，系统将校验两层安全要素，即在用户名和密码（第一层安全要素）的基础上，增加了MFA安全码（第二层安全要素，MFA设备生成的动态验证码），以此提高账号安全性。

对于SSO目前仅软终端（Windows客户端、macOS客户端）和硬件终端（阿里云云终端）支持SSO功能；移动终端（iOS客户端、Android客户端）和Web客户端暂不支持SSO功能。我也发现网友也提供提供了不错的测试用例，这里推荐给大家参考一下。

以下3截图来自https://developer.aliyun.com/article/852819

 

总言之，这款产品安全准入这一块还是做的很不错的，除了上文介绍的，我们通过安全网关接入，隔离外部网络和桌面VPC；使用RAM或AD进行账号安全管理，可对接企业认证系统。完全符合我们现在的安全诉求。