Knowledge Center

Wie kann ich eine SSO -Lösung auf Synology NAS mit Microsoft Entra Domain Services implementieren?

Letzte Aktualisierung:21. Okt. 2024

Wie kann ich eine SSO -Lösung auf Synology NAS mit Microsoft Entra Domain Services implementieren?

Einige Artikel wurden maschinell aus dem Englischen übersetzt und können Ungenauigkeiten oder Grammatikfehler enthalten.

Zweck

Diese Anleitung erklärt, wie sie ein Synology NAS mit Microsoft Entra Domain Services (ehemals Azure AD Domain Services) verbinden und Entra ID Single Sign-on (SSO) für DSM-Dienste aktivieren können.

Anmerkungen:

  1. Die folgende Anleitung basiert auf der Microsoft Entra ID . Die tatsächlichen Schritte können ein wenig abweichen, wenn sich die Benutzeroberfläche von Microsoft Azure ändert.
  2. Die Verbindung zu einer Microsoft Entra ID Domain erfordert nicht unbedingt ein VPN. In dieser Anleitung wird nur eine mögliche Lösung angeführt und die Verwendung von Microsoft Entra Domain Services kann kostenpflichtig sein. Für weitere Informationen siehe Microsoft Entra ID .

Inhalt

Lösung

A. Bevor Sie beginnen

  • Stellen Sie sicher, dass auf Ihrem Synology NAS DSM 6.2 oder höher ausgeführt wird.
  • Richten Sie einen Site-to-Site IPSec VPN - Tunnel zwischen dem virtuellen Netzwerk von Microsoft Entra und dem lokalen Netzwerk Ihres Synology NAS ein. Wir empfehlen, die VPN Verbindung mit einem Synology Router einzurichten (eine detaillierte Anleitung finden Sie in diesem Artikel ).

B. Eine unter Entra ID verwaltete Domäne einrichten

  1. Melden Sie sich beim Microsoft Entra-Webportal an.
  2. Geben Sie in der Suchleiste "Microsoft Entra Domain Services" ein.
  3. Wählen Sie in den Ergebnissen Microsoft Entra Domain Services .
    1.png
  4. Klicken Sie auf der Seite Microsoft Entra Domain Services auf Erstellen .
    2.png
  5. Konfigurieren Sie Folgendes auf der Registerkarte Grundeinstellungen:
    • Abonnement : Wählen Sie Ihr Abonnement für den Microsoft Entra ID -Dienst aus.
    • Ressourcengruppe : Klicken Sie hier auf Neu erstellen und geben Sie einen Namen ein, z. B. „SynologySQ“.
    • DNS-Domänenname : Geben Sie Ihrer verwalteten Domäne einen Namen. Hier benennen wir die verwaltete Domäne mit dem integrierten Suffix „.onmicrosoft.com“. Mehr über die Anpassung von Domänen erfahren Sie in diesem Artikel .
    • Region : Wählen Sie den Standort Ihrer Domain. Hier wählen wir Ostasien aus .
    3.png
  6. Gehen Sie zur Registerkarte Netzwerk . Geben Sie Virtuelles Netzwerk und Subnetz für Ihre verwaltete Domäne an.
    4.png
  7. Gehen Sie zur Registerkarte Verwaltung . Klicken Sie auf Gruppenmitgliedschaft verwalten und legen Sie die Domänen- administrators fest.
    5.png
  8. Passen Sie die Einstellungen auf der Registerkarte Synchronisierung nach Bedarf an und klicken Sie auf Überprüfen und erstellen .
  9. Nachdem die Einstellungen überprüft wurden, klicken Sie auf Erstellen , um Ihre verwaltete Entra ID-Domäne einzurichten. Dieser Vorgang kann bis zu eine Stunde dauern.

Anmerkungen:

  1. Wenn Sie Probleme beim Einrichten einer mit Entra ID verwalteten Domäne haben, wenden Sie sich bitte an Microsoft .

C. Das Synology NAS mit der verwalteten Entra ID-Domäne verbinden

Für DSM 7

  1. Melden Sie sich bei DSM mit einem Konto an, das zur Gruppe administrators gehört.
  2. Gehen Sie zu Systemsteuerung > Domain/ LDAP > Domain/ LDAP .
  3. Klicken Sie auf Beitreten .
  4. Konfigurieren Sie die folgenden Einstellungen und klicken Sie auf Weiter :
    6.png
    • Servertyp : Wählen Sie Autom. erkennen oder Domain .
    • Serveradresse: Geben Sie den Namen Ihrer mit der Entra ID verwalteten Domäne ein.
    • DNS-Server : Geben Sie die IP -Adresse der Entra ID verwalteten Domäne ein. Sie finden diese im Entra-Portal > Alle Ressourcen > Ihre verwaltete Domäne > Eigenschaften > IP Adressen .
      7.png
  5. Konfigurieren Sie die nachstehenden Einstellungen:
    • Domänenkonto : Geben Sie den Benutzernamen für das Konto des Administrators der von Entra ID verwalteten Domäne ein. 1
    • Domain-Kennwort : Geben Sie das Kennwort des obigen Kontos ein.
    • DC IP/ FQDN : Geben Sie die IP -Adressen der mit Entra ID verwalteten Domäne ein.
    8.png
  6. Klicken Sie auf Weiter , und der Assistent führt die Überprüfung durch und verbindet Ihr Synology NAS mit der verwalteten Domäne. Wenn die Verbindung hergestellt wurde, wird in der Registerkarte Domain/ LDAP der Status „Verbunden“ angezeigt.
    9.png

Für DSM 6.2

  1. Melden Sie sich bei DSM mit einem Konto an, das zur Gruppe administrators gehört.
  2. Gehen Sie zu Systemsteuerung > Domain/ LDAP > Domain .
  3. Setzen Sie ein Häkchen bei Domain beitreten .
  4. Konfigurieren Sie die nachstehenden Einstellungen:
    10.png
    • Domäne : Geben Sie den Namen der von Entra ID verwalteten Domäne ein.
    • DNS Server : Geben Sie die IP -Adresse der Entra ID verwalteten Domäne ein. Sie finden diese im Entra-Portal > Alle Ressourcen > Ihre verwaltete Domäne > Eigenschaften > IP Adressen .
      11.png
  5. Klicken Sie auf Übernehmen . Es wird ein Fenster eingeblendet, in dem Sie zur Eingabe von Administrator-Konto und Kennwort Ihrer Microsoft Entra Domain Services aufgefordert werden. 1 Geben Sie diese Informationen ein und klicken Sie auf Weiter .
  6. Wenn die Verbindung hergestellt wurde, wird in der Registerkarte Domain der Status „Verbunden“ angezeigt.
    12.png

D. Entra ID SSO auf dem Synology NAS aktivieren

  1. Melden Sie sich beim Entra-Portal an.
  2. Gehen Sie zu Azure Active Directory > App-Registrierungen und klicken Sie auf Neue Registrierung .
  3. Konfigurieren Sie die folgenden Einstellungen und klicken Sie auf Registrieren :
    • Name : Geben Sie der Anwendung einen Namen, z. B. „AzureSSO“.
    • Unterstützte Kontotypen: Wählen Sie die Kontotypen aus, die diese Anwendung nutzen können. Wenn es in Ihrer Organisation nur einen Entra ID-Mandanten gibt, wählen Sie Nur Konten in diesem Organisationsverzeichnis . Weitere Informationen zu dieser Option finden Sie in diesem Artikel .
    • Umleitungs-URI : Wählen Sie im Dropdown-Menü Web aus. Geben Sie die URI der Anmeldeseite Ihrer Anwendung im folgenden Format ein. Stellen Sie sicher, dass für die Verbindung zu Ihrem NAS HTTPS und ein gültiges Zertifikat verwendet werden. Dieses Feld darf auch keine QuickConnect -Adresse enthalten. Sie können ein Zertifikat in DSM importieren oder eines von Let's Encrypt erwerben .
      URI Beispiel für DSM 7 Beispiel für DSM 6.2
      https:// Domainname oder IP -Adresse 2 Ihres NAS : Port / https://synonas.synology.me:5001/ https://synonas.synology.me:5001/webman/login.cgi
      13.png
  4. Kopieren Sie auf der Übersichtsseite die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant-ID) .
    15.png
  5. Gehen Sie zu Zertifikate & Geheimnisse und klicken Sie auf Neuer geheimer Clientschlüssel .
    16.png
  6. Konfigurieren Sie im eingeblendeten Fenster folgende Einstellungen und klicken Sie auf Hinzufügen :
    • Beschreibung : Geben Sie diesem geheimen Clientschlüssel einen Namen.
    • Läuft ab : Geben Sie an, wie lange dieser geheime Clientschlüssel gültig sein soll . Es wird empfohlen, Benutzerdefiniert auszuwählen und eine ausreichend lange Zeit einzustellen, um zu verhindern, dass der geheime Clientschlüssel abläuft. Wenn der geheime Clientschlüssel abgelaufen ist, können sich Benutzer möglicherweise nicht über Entra ID SSO -Authentifizierung bei DSM anmelden.
    17.png
  7. Kopieren Sie den Wert des neu hinzugefügten geheimen Clientschlüssels.
    18.png
  8. Öffnen Sie DSM Systemsteuerung > Domain/ LDAP > SSO Client und führen Sie folgende Schritte aus:
    • Für DSM 7 : Setzen Sie ein Häkchen bei OpenID Connect SSO -Dienst aktivieren und klicken Sie auf OpenID Connect SSO Einstellungen . Wählen Sie im eingeblendeten Fenster azure im Dropdown-Menü Profil aus.
      19.png
    • Für DSM 6.2 : Setzen Sie ein Häkchen bei OpenID Connect SSO -Dienst aktivieren . Wählen Sie im Dropdown-Menü azure aus und klicken Sie auf Bearbeiten .
      20.png
  9. Fügen Sie die kopierten Werte für Anwendungs-ID , Verzeichnis-ID (siehe Schritt 5) und Schlüssel (siehe Schritt 8) ein. Geben Sie auch die Umleitungs-URI der Anmeldeseite Ihrer Anwendung ein (siehe Schritt 3). Wenn Sie kontrolliert haben, dass alle Informationen korrekt sind, klicken Sie auf Speichern .
    • Für DSM 7
      21.png
    • Für DSM 6.2
      622.png
  10. Klicken Sie auf Übernehmen , wenn die Konfiguration abgeschlossen ist.
    22.png
  11. Entra ID-Domainbenutzer können sich nun mit ihren Entra ID-Anmeldedaten bei Ihrem Synology NAS anmelden. Für die Anmeldung mit SSO wählen Sie im Anmeldeportal Azure SSO Authentifizierung aus.
    23.png
  12. Benutzern wird ein Popup-Fenster angezeigt, in dem sie Benutzernamen und Kennwort eingeben müssen. Klicken Sie auf ein Konto oder geben Sie deren Benutzernamen und Kennwort ein, um sich bei DSM anzumelden.
    24.png

Anmerkungen:

  1. Stellen Sie sicher, dass das Administratorkonto nach Aktivierung der Microsoft Entra Domain Services erstellt wird. Ansonsten müssen Sie erst das Kontokennwort ändern, um das Kennwort-Hash von Microsoft Entra ID zu Microsoft Entra Domain Services zu synchronisieren, bevor Sie dieses Administratorkonto zur Verbindung Ihres Synology NAS mit Microsoft Entra Domain Services verwenden können. Lesen Sie für Informationen dazu die Anleitung von Microsoft .
  2. Wenn Sie einen DDNS Hostnamen für Ihr Synology NAS registriert haben, öffnen Sie DSM Systemsteuerung > Externer Zugriff > DDNS . Dort sehen Sie Domainnamen und IP -Adresse Ihres Synology NAS.
Zweck
Inhalt
Lösung
A. Bevor Sie beginnen
B. Eine unter Entra ID verwaltete Domäne einrichten
C. Das Synology NAS mit der verwalteten Entra ID-Domäne verbinden
D. Entra ID SSO auf dem Synology NAS aktivieren