如何在具有Microsoft域间服务的Synology NAS上实施SSO解决方案?

如何在具有Microsoft域间服务的Synology NAS上实施SSO解决方案?

部分文章为机器自动翻译,文中可能有文法错误或语义模糊之处。若本文目前只有英文版,可能近期就会提供翻译。

用途

本教程将引导您如何将Synology NAS加入Microsoft域间服务(前身为 Azure AD 域服务)并为 DSM 服务激活 ID 单点登录 (SSO)。

注意:

  1. 以下说明基于Microsoft Entra ID 。实际步骤可能因用户界面更新而异。
  2. 连接到Microsoft Entra ID域不一定需要VPN。本教程仅提供一种可能的解决方案,使用Microsoft Entra Domain Services 可能会产生费用。请参阅Microsoft Entra ID以了解详细信息。

解决方案

A. 开始之前的准备

  • 确保您的Synology NAS运行的是 DSM 6.2 或以上版本。
  • 在Microsoft Entra 的虚拟网络与Synology NAS的本地网络之间设置Site-to-Site IPSec VPN隧道。建议设置与Synology Router的VPN连接(请参阅本文以了解详细说明)。

B. 设置 Entra ID 托管域

  1. 登录Microsoft Entra 网络门户
  2. 在搜索栏中,键入“Microsoft Entra Domain Services”。
  3. 从结果中选择Microsoft域内服务
    1.png
  4. Microsoft域内服务页面上,单击创建
    2.png
  5. 基本信息选项卡上配置以下内容:
    • 订阅:选择您的Microsoft Entra ID服务订阅。
    • 资源群组:在这里单击新建并输入名称,例如“SynologySQ”。
    • DNS 域名:命名托管域。在这里使用内置后缀“.onmicrosoft.com”命名托管域。可以参阅本文以了解有关域自定义的更多信息。
    • 区域:选择您的域的位置。在这里选择东亚
    3.png
  6. 进入网络选项卡。为托管域指定虚拟网络子网
    4.png
  7. 进入管理选项卡。单击管理群组成员身份可指定域administrators。
    5.png
  8. 根据需要自定义同步选项卡中的设置,然后单击查看 + 创建
  9. 验证了设置之后,单击创建以设置 Entra ID 托管域。此过程可能需要长达一小时。

注意:

  1. 如果您在设置 Entra ID 托管域时遇到问题,请联系Microsoft以获得进一步帮助。

C. 将Synology NAS加入 Entra ID 托管域

对于 DSM 7

  1. 使用属于administrators群组的帐户登录 DSM。
  2. 进入控制面板>域/ LDAP >域/ LDAP
  3. 单击加入
  4. 配置以下设置,然后单击下一步
    6.png
    • 服务器类型:选择自动检测
    • 服务器地址:输入 Entra ID 托管域的名称。
    • DNS 服务器:输入 Entra ID 托管域的IP地址。您可以在Entra 门户>所有资源>您的托管域>属性> IP地址中进行查看。
      7.png
  5. 配置以下设置:
    • 域帐户:输入 Entra ID 托管域管理员帐户的用户名。 1
    • 域密码:输入上述帐户的密码。
    • DC IP/ FQDN :输入 Entra ID 托管域的IP地址。
    8.png
  6. 单击下一步,向导将运行一些检查并将Synology NAS加入托管域。加入过程完成后,您会在域/ LDAP选项卡上看到“已连接”状态。
    9.png

对于 DSM 6.2

  1. 使用属于administrators群组的帐户登录 DSM。
  2. 请进入控制面板>域/ LDAP >
  3. 勾选加入域
  4. 配置以下设置:
    10.png
    • :输入 Entra ID 托管域的名称。
    • DNS Server :输入 Entra ID 托管域的IP地址。您可以在Entra 门户>所有资源>您的托管域>属性> IP地址中进行查看。
      11.png
  5. 单击应用。此时会出现一个弹出窗口,要求提供Microsoft域内服务的管理员帐户和密码,以进行身份验证。 1输入您的信息,然后单击下一步
  6. 加入过程完成后,您会在选项卡上看到“已连接”状态。
    12.png

D. 在Synology NAS上激活 Entra ID SSO

  1. 登录Entra 门户
  2. 前往Azure Active Directory >应用注册,然后单击新建注册
  3. 配置以下设置并单击注册
    • 名称:为应用程序命名,例如“AzureSSO”。
    • 支持帐户类型:选择可以使用此应用程序的帐户类型。如果组织中只有一个 Entra ID 租户,请选择仅限此组织目录中的帐户。有关此选项的更多信息,可以参阅本文
    • 重定向 URI :从下拉菜单中选择Web。此外,请以下列格式输入应用程序登录页面的 URI。确保使用 HTTPS 和有效证书连接到 NAS。此外,此字段不能为QuickConnect地址。您可将证书导入 DSM从 Let's Encrypt 获取证书。
      URI 以 DSM 7 为例 以 DSM 6.2 为例
      https:// NAS 的域名或IP地址2 :端口/ https://synonas.synology.me:5001/ https://synonas.synology.me:5001/webman/login.cgi
      13.png
  4. 总览页面上,复制应用程序(客户端)ID目录(租户)ID
    15.png
  5. 进入证书和密码,然后单击新建客户端密码
    16.png
  6. 在弹出窗口中,配置以下设置并单击添加
    • 描述:为此客户端密码命名。
    • 到期:为此客户端密码选择有效持续时间。建议您选择自定义并设置足够长的时间,以避免客户端密码过期。如果客户端密码在过期后,用户将无法通过 Entra ID SSO验证登录 DSM。
    17.png
  7. 复制新添加的客户端密码的
    18.png
  8. 进入 DSM控制面板>域/ LDAP > SSO客户端,然后执行以下操作:
    • 对于 DSM 7 :勾选启用 OpenID Connect SSO服务,然后单击OpenID Connect SSO设置。在弹出窗口中,从配置文件下拉菜单中选择azure
      19.png
    • 对于 DSM 6.2 :勾选启用 OpenID Connect SSO服务。从下拉菜单中选择azure ,然后单击编辑
      20.png
  9. 粘贴复制的应用程序 ID目录 ID (请参阅步骤 5)和密钥值(请参阅步骤 8)。此外,输入应用程序登录页面的重定向 URI (请参阅步骤 3)。确保所有信息都正确后,单击保存
    • 对于 DSM 7
      21.png
    • 对于 DSM 6.2
      622.png
  10. 配置完成后,单击应用
    22.png
  11. Entra ID 域用户现在可以使用其 Entra ID 凭据登录您的Synology NAS 。若要使用SSO,请在登录门户中选择Azure SSO验证
    23.png
  12. 用户会看到一个要求提供其用户名和密码的弹出窗口。单击帐户或输入其用户名和密码以登录 DSM。
    24.png

注意:

  1. 请确认是否已启用Microsoft Entra Domain Services之后创建管理员帐户。否则,在可以使用此管理员帐户将Synology NAS加入Microsoft域内服务之前,您必须更改帐户密码,以将Microsoft Entra ID的密码散列同步到Microsoft域内服务。请参阅Microsoft 教程以了解详细信息。
  2. 如果您已为Synology NAS注册了DDNS主机名,请进入 DSM控制面板>外部访问> DDNS 。您会看到其域名和IP地址。
用途
目录
解决方案
A. 开始之前的准备
B. 设置 Entra ID 托管域
C. 将Synology NAS加入 Entra ID 托管域
D. 在Synology NAS上激活 Entra ID SSO