简单几步配置使群晖DSM支持sso统一身份认证系统登录
①打开群晖控制面板
②选择域与LDAP
③然后选择sso客户端
④勾选按登录页面的默认值选择sso
⑤勾选启用CAS sso服务,然后打开CAS sso设置
⑥服务器ID填写NAS的DSM登录页面地址(此处只允许填写https链接)
⑦服务器URL填写sso服务器地址(此处只允许填写https链接)
⑧服务器验证URL填写 sso 服务器验证地址(正常情况下与sso 服务器地址不同)
然后点击保存就可以使用sso统一验证登录了(此方法仅限通过CAS协议登录,其他协议请参考下方说明)
SSO 客户端
Synology 支持四种单点登录协议:OpenID Connect、SAML、CAS 和 Synology SSO。确保启用与您的 SSO 服务器兼容的 SSO 协议。
在本文中,SSO 服务器和作为 SSO 客户端应用程序的 Synology NAS 可能按如下所示进行称呼:
- SSO 服务器:IdP(身份识别提供程序,Identity provider)
- 用作 SSO 客户端的 Synology NAS:Synology NAS
如果要默认使用 SSO 登录 Synology NAS,请选中按登录页面的默认值选择 SSO 复选框。
OpenID Connect SSO 服务
OpenID Connect (OIDC) 是以 OAuth 2.0 为基础的开源验证协议。它使客户端应用程序可以验证终端用户的身份,并从 IdP 获取 JSON 格式的配置文件信息。
如果您将 Synology NAS 设置为 OIDC SSO 客户端,则用户在登录 OIDC SSO IdP 后即可访问 Synology NAS 提供的服务。
若要将 Synology NAS 设置为 OIDC SSO 客户端:
- 前往控制面板 > 域/LDAP > SSO 客户端。
- 选中启用 OpenID Connect SSO 服务复选框。
- 单击 OpenID Connect SSO 设置按钮。
- 从配置文件下拉菜单中选择 OIDC。
- 在弹出窗口的字段中指定信息:
- 帐户类型:若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地或域/LDAP。
- 名称:自定义配置文件名称。这会显示在 SSO 登录界面上。
- Well-known URL:此 URL 可为您的 Synology NAS 提供所有必要的 IdP 信息。
- 应用程序 ID:Synology NAS 的唯一标识符。这通常称为客户端 ID。
- 应用程序密钥:只有 Synology NAS 和 IdP 才知道的私钥。Synology NAS 可用来向 IdP 要求身份验证。
- 重定向 URI:Synology NAS 的 URL,在 IdP 确认验证请求后,会将用户重定向到此地址。
- 授权范围:它包含一个或多个与访问令牌关联的范围。它确定在使用访问令牌访问 OAuth 2.0 保护的端点时可用的资源。
- 用户名声明:每个授权范围返回的一组用户属性。系统会使用此组属性识别用户。
- 单击保存以保存并退出弹出窗口。
- 单击应用以保存设置。
注意:
- 如果您将 Synology NAS 设置为 Azure 或 WebSphere SSO 客户端,则不允许本地用户通过 OIDC SSO 登录,因为 Azure 和 WebSphere 要求客户端应用程序加入与 IdP 相同的目录服务。
- 若要允许目录用户通过 OIDC SSO 登录,请前往 Synology NAS 并在控制面板 > 域/LDAP > 域/LDAP 中将其加入目录服务。确保 IdP 也加入同一目录服务。
SAML SSO 服务
安全断言标记语言 (SAML) 是适用于用户验证的开放标准。在此框架下,客户端应用程序可通过与 IdP 交换基于 XML 的断言来获取并验证用户信息。
如果您将 Synology NAS 设置为 SAML SSO 客户端,则用户在登录 SAML SSO IdP 后即可访问 Synology NAS 提供的服务。
若要将 Synology NAS 设置为 SAML SSO 客户端:
- 前往控制面板 > 域/LDAP > SSO 客户端。
- 选中启用 SAML SSO 服务复选框。
- 单击 SAML SSO 设置按钮。
- 在弹出窗口中,单击导入元数据并上传从 IdP 获取的 SAML 元数据文件。您也可在字段中指定以下信息:
- 名称:自定义配置文件名称。这会显示在 SSO 登录界面上。
- 帐户类型:若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地或域/LDAP。
- SP 实体 ID:此 Synology NAS 的 URL,当 IdP 确认 SAML 断言后,会将用户重定向到此地址。此地址必须是 HTTPS,不能是 QuickConnect 地址。这通常称为重定向 URI、应用程序 ID 或断言使用者服务 URL (ACS URL)。
- IdP 单点登录 URL:发送 SAML 响应的 IdP 端点。这通常称为登录 URL、SSO URL 或 SAML 端点 (SAML Endpoint)。
- IdP 实体 ID:用于识别 IdP 的唯一属性。这通常称为 IdP 发行者 (Issuer)、发行者或标识符 (Identifier)。
- 证书:IdP 的公共密钥证书。此证书将用于验证 IdP 的 SAML 断言和响应。
- 单击保存以保存并退出弹出窗口。
- 单击应用以保存设置。
注意:
- 如果您的 IdP 提供以下选项,请确保按照以下方式配置它们以满足 Synology NAS 的要求:
选项 选择 Synology NAS 的 SAML 绑定类型 HTTP 重定向选项 Synology NAS 的名称 ID 格式 Unspecified Synology NAS 的名称 ID 值/属性 用户名、帐户或电子邮件选项,具体取决于您的要求 是否对 SAML 断言和 SAML 响应进行签名 - SAML 响应:签名
- SAML 断言:签名或未签名
- 若要允许本地用户通过 SAML SSO 登录,请前往 IdP,并确保它包含与 Synology NAS 中的本地用户名称相同的本地用户。
- 若要允许目录用户通过 SAML SSO 登录,请前往 Synology NAS 并在控制面板 > 域/LDAP > 域/LDAP 中将其加入目录服务。确保 IdP 也加入同一目录服务。
CAS SSO 服务
集中式验证服务(Central Authentication Service,CAS)是一种基于票据的用户验证协议。在此协议中,IdP 通过发送和验证服务票据来验证最终用户的身份。
如果您将设置 Synology NAS 为 CAS SSO 客户端,则用户在登录 CAS SSO IdP 后即可访问 Synology NAS 提供的服务。
若要将 Synology NAS 设置为 CAS SSO 客户端:
- 前往控制面板 > 域/LDAP > SSO 客户端。
- 选中启用 CAS SSO 服务复选框。
- 单击 CAS SSO 设置按钮。
- 在弹出窗口的字段中指定信息:
- 名称:自定义配置文件名称。这会显示在 SSO 登录界面上。
- 帐户类型:若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地或域/LDAP。
- 服务 ID:Synology NAS 的 URL。验证成功后,IdP 会将用户重定向到此位置。
- 服务器 URL:IdP 的 URL。
- 服务器验证 URL:Synology NAS 会使用此 URL 向 IdP 确认服务票据的有效性,而 IdP 会发回 XML 文档。
- 单击保存以保存并退出弹出窗口。
- 单击应用以保存设置。
注意:
- 若要允许本地用户通过 CAS SSO 登录,请前往 IdP,并确保它包含与 Synology NAS 中的本地用户名称相同的本地用户。
- 若要允许目录用户通过 CAS SSO 登录,请前往 Synology NAS 并在控制面板 > 域/LDAP > 域/LDAP 中将其加入目录服务。确保 IdP 也加入同一目录服务。
Synology SSO 服务
Synology SSO 是基于 OAuth 2.0 框架的用户身份验证解决方案。它专为 Synology NAS 上的套件(如 Synology MailPlus)提供单点登录架构。
如果使用由 Synology NAS 提供支持的 SSO Server,则可以将 Synology NAS 设置为 SSO 客户端。用户在登录 SSO Server 后,即可访问 Synology NAS 提供的服务。
若要将 Synology NAS 设置为 Synology SSO 客户端:
- 前往控制面板 > 域/LDAP > SSO 客户端。
- 选中启用 Synology SSO 服务复选框。
- 单击 Synology SSO 设置按钮。
- 在弹出窗口的字段中指定信息:
- 名称:自定义配置文件名称。这会显示在 SSO 登录界面上。
- 帐户类型:若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地或域/LDAP。
注意:若要允许本地用户通过 SSO 登录,请确保从 SSO Server > 常规设置 > 帐户类型的下拉菜单中选择域/LDAP/本地。 - SSO 服务器 URL:SSO Server 的完整 URL。前往 SSO Server > 常规设置获取信息。
- 应用程序 ID:前往 SSO Server > 应用程序。选择在 SSO Server 中设置的 Synology NAS 的名称,然后单击编辑以查找此信息。
- 单击保存以保存并退出弹出窗口。
- 单击应用以保存设置。
注意:
- 如果 IdP 使用 HTTPS 协议,浏览器可能会因为缺少受信任证书而封锁 SSO 登录。
- 如果 IdP 使用 HTTP 协议,而 Synology NAS 使用 HTTPS 连接,则用户应配置其浏览器的设置,以允许使用不安全的连接。
- 如果您已在 DSM 的控制面板 > 安全性 > 安全性中选中启动 HTTP 内容安全政策 (CSP) 标头来提高安全性复选框,将不支持采用 IPv6 格式的 IdP 的 IP 地址。
微信赞赏支付宝赞赏