Hoe kan ik een SSO oplossing implementeren op Synology NAS met Microsoft Entra Domain Services?
Laatst bijgewerkt:21 okt. 2024
Hoe kan ik een SSO oplossing implementeren op Synology NAS met Microsoft Entra Domain Services?
Sommige artikelen zijn automatisch vanuit het Engels vertaald en kunnen onjuistheden of grammaticafouten bevatten.
Doel:
Deze tutorial beschrijft hoe u een Synology NAS kunt koppelen aan Microsoft Entra Domain Services (voorheen Azure AD Domain Services) en Entra ID single sign-on (SSO) voor DSM-services kunt activeren.
Opmerkingen:
- De onderstaande instructies zijn gebaseerd op Microsoft Entra ID . De daadwerkelijke stappen kunnen variëren afhankelijk van de updates van de gebruikersinterface.
- Om verbinding te maken met een Microsoft Entra ID domein is niet per se een VPN vereist. Deze tutorial biedt slechts een mogelijke oplossing en het gebruik van Microsoft Entra Domain Services kan kosten met zich meebrengen. Raadpleeg Microsoft Entra ID voor details.
Oplossing
A. Voordat u begint:
- Zorg dat uw Synology NAS DSM 6.2 of hoger gebruikt.
- Stel een Site-to-Site IPSec VPN - tunnel in tussen het virtuele netwerk van Microsoft Entra en het lokale netwerk van uw Synology NAS. We raden aan om de VPN verbinding met een Synology Router in te stellen (raadpleeg dit artikel voor gedetailleerde instructies).
B. Een door Entra ID beheerd domein instellen
- Meld u aan bij het Microsoft Entra-webportaal .
- Typ "Microsoft Entra Domain Services" in de zoekbalk.
- Selecteer Microsoft Entra Domain Services in de resultaten.
- Klik op de pagina Microsoft Entra Domain Services op Maken .
- Configureer het volgende op het tabblad Basis :
- Abonnement : selecteer uw abonnement op de Microsoft Entra ID -service.
- Brongroep : hier klikken we op Nieuwe maken en voeren we een naam in, bijv. "SynologySQ".
- DNS-domeinnaam : geef uw beheerde domein een naam. Hier noemen we het beheerde domein met het ingebouwde achtervoegsel ".onmicrosoft.com". Raadpleeg dit artikel voor meer informatie over het aanpassen van domeinen.
- Regio : selecteer de locatie voor uw domein. Hier selecteren we Oost-Azië .
- Ga naar het tabblad Netwerken . Specificeer het Virtueel netwerk en Subnet voor uw beheerde domein.
- Ga naar het tabblad Beheer . Klik op administratorsbeheren om domeinbeheerders op te geven.
- Pas de instellingen naar wens aan op het tabblad Synchronisatie en klik op Controleren + maken .
- Nadat de instellingen zijn gevalideerd, klikt u op Maken om uw door Entra ID beheerde domein in te stellen. Dit proces kan een uur duren.
Opmerkingen:
C. Synology NAS aan het door Entra ID beheerde domein
Voor DSM 7
- Meld u aan bij DSM met een account van de groep administrators .
- Ga naar Configuratiescherm > Domein/ LDAP > Domein/ LDAP .
- Klik op Deelnemen .
- Configureer de volgende instellingen en klik op Volgende :
- Servertype : selecteer Automatisch detecteren of Domein .
- Serveradres : voer de naam van uw door Entra ID beheerde domein in.
- DNS server : voer het IP -adres van het door Entra ID beheerde domein in. U kunt dit controleren in het Entra-portaal > Alle bronnen > uw beheerde domein > Eigenschappen > IP -adressen .
- Configureer de volgende instellingen:
- Domeinaccount : voer de gebruikersnaam van het door Entra ID beheerde domeinbeheerdersaccount in. 1
- Domeinwachtwoord : voer het wachtwoord van de bovenstaande account in.
- DC IP/ FQDN : voer de IP -adressen van het door Entra ID beheerde domein in.
- Klik op Volgende en de wizard voert enkele controles uit en koppelt uw Synology NAS aan het beheerde domein. Wanneer het koppelingsproces is voltooid, ziet u de status "Verbonden" op het tabblad Domein/ LDAP .
Voor DSM 6.2
- Meld u aan bij DSM met een account van de groep administrators .
- Ga naar Configuratiescherm > Domein/ LDAP > Domein .
- Schakel het selectievakje Lid worden van domein in .
- Configureer de volgende instellingen:
- Domein : voer de naam van uw door Entra ID beheerde domein in.
- DNS Server : voer het IP -adres van het door Entra ID beheerde domein in. U kunt dit controleren in het Entra-portaal > Alle bronnen > Uw beheerde domein > Eigenschappen > IP -adressen .
- Klik op Toepassen . Er verschijnt een pop-upvenster waarin u om de beheerdersaccount en het wachtwoord van uw Microsoft Entra Domain Services wordt gevraagd voor verificatie. 1 Voer uw gegevens in en klik op Volgende .
- Wanneer het koppelingsproces is voltooid, ziet u de status "Verbonden" op het tabblad Domein .
D. Activeer Entra ID SSO op Synology NAS
- Meld u aan bij het Entra-portaal .
- Ga naar Azure Active Directory > App-registraties en klik op Nieuwe registratie .
- Configureer het volgende en klik op Registreren :
- Naam : geef de toepassing een naam, bijv. "AzureSSO".
- Ondersteunde accounttypes : selecteer de accounttypes die deze toepassing kunnen gebruiken. Als er slechts één Entra ID-tenant in uw organisatie is, selecteert u Alleen accounts in deze organisatiedirectory . Raadpleeg dit artikel voor meer informatie over deze optie.
- URI omleiden : selecteer Web in het vervolgkeuzemenu. Voer ook de URI van de aanmeldingspagina van uw toepassing in het volgende formaat in. Zorg dat HTTPS en een geldig certificaat worden gebruikt om verbinding te maken met uw NAS. Dit veld mag ook geen QuickConnect -adres zijn. U kunt een certificaat importeren naar DSM of een certificaat verkrijgen van Let's Encrypt .
URI Voorbeeld voor DSM 7 Voorbeeld voor DSM 6.2 https:// domeinnaam of IP -adres 2 van uw NAS : poort / https://synonas.synology.me:5001/ https://synonas.synology.me:5001/webman/login.cgi
- Kopieer op de pagina Overzicht de Toepassings (client) ID en Directory (tenant) ID .
- Ga naar Certificaten en geheimen en klik op Nieuw clientgeheim .
- Configureer het volgende in het pop-upvenster en klik op Toevoegen :
- Beschrijving : geef dit clientgeheim een naam.
- Verloopt : selecteer de geldigheidsduur voor dit clientgeheim. We raden u aan om Aangepast te kiezen en een tijd in te stellen die lang genoeg is om te voorkomen dat het clientgeheim verloopt. Als het clientgeheim verloopt, kunnen gebruikers zich niet aanmelden bij DSM via Entra ID SSO verificatie.
- Kopieer de Waarde van het nieuw toegevoegde clientgeheim.
- Ga naar DSM Configuratiescherm > Domein/ LDAP > SSO -client en doe het volgende:
- Voor DSM 7 : schakel het selectievakje OpenID Connect SSO -service inschakelen in en klik op OpenID Connect SSO -instellingen . Selecteer in het pop-upvenster azure in het vervolgkeuzemenu Profiel .
- Voor DSM 6.2 : schakel het selectievakje OpenID Connect SSO -service inschakelen in . Selecteer azure in het vervolgkeuzemenu en klik op Bewerken .
- Voor DSM 7 : schakel het selectievakje OpenID Connect SSO -service inschakelen in en klik op OpenID Connect SSO -instellingen . Selecteer in het pop-upvenster azure in het vervolgkeuzemenu Profiel .
- Plak de gekopieerde waarden van Toepassings-ID , Directory-ID (zie stap 5) en Sleutel (zie stap 8). Voer ook de Redirect URI van de aanmeldingspagina van uw toepassing in (zie stap 3). Klik op Opslaan wanneer u zeker bent dat alle informatie correct is.
- Voor DSM 7
- Voor DSM 6.2
- Voor DSM 7
- Klik op Toepassen wanneer de configuratie is voltooid.
- Entra ID-domeingebruikers kunnen zich nu aanmelden bij uw Synology NAS met hun Entra ID-gegevens. Om u aan te melden met SSO selecteert u Azure SSO verificatie in het aanmeldingsportaal.
- Gebruikers zien een pop-upvenster waarin hun gebruikersnaam en wachtwoord worden gevraagd. Klik op een account of voer de gebruikersnaam en het wachtwoord in om u aan te melden bij DSM.
Opmerkingen:
- Zorg dat de administratoraccount is gemaakt nadat Microsoft Entra Domain Services is ingeschakeld. Anders, voordat u deze administratoraccount kunt gebruiken om uw Synology NAS te koppelen aan Microsoft Entra Domain Services, moet u het accountwachtwoord wijzigen om de wachtwoordhash te synchroniseren van Microsoft Entra ID naar Microsoft Entra Domain Services. Raadpleeg de tutorial van Microsoft voor meer informatie.
- Als u een DDNS -hostnaam voor uw Synology NAS hebt geregistreerd, gaat u naar DSM Configuratiescherm > Externe toegang > DDNS . U ziet de domeinnaam en het IP -adres.