如何使用 Microsoft Azure AD Domain Services 在 Synology NAS 上实施 SSO 解决方案

Synology 提供单一登录 (SSO) 解决方案以整合您所有的网页应用程序和服务。在用户使用其凭据登录您的任何一个网页应用程序和服务之后，他们可以访问任何其他应用程序和服务而无需再次登录。

除了上述好处之外，借助您现有的 Microsoft Azure™ 订阅，还可以将 Synology NAS 作为 SSO 客户端加入到 Microsoft Azure Active Directory Domain Services。这使您无需在本地部署和管理域控制器。

本教程将引导您了解如何将 Synology NAS 加入到 Azure AD Domain Services 以及如何启用 Azure SSO 服务。

目录

1. 开始之前的准备
2. 启用 Microsoft Azure AD Domain Services
3. 将 Synology NAS 加入到 Azure AD 域
4. 在 Synology NAS 上启用 Azure SSO 服务

1.开始之前的准备

在继续进行设置之前，请确认您已具有如下所述的充足环境。

• Synology NAS 的操作系统已更新为 DiskStation Manager (DSM) 6.2 或以上版本。
• 在 Microsoft Azure 虚拟网络与 Synology NAS 所处的网络之间设置了 IPSec VPN 隧道。建议使用 Synology Router 设置本地网络。

2.启用 Microsoft Azure AD Domain Services

1. 登录到您的 Microsoft Azure 帐户。
2. 单击 New > Security + Identity > Azure AD Domain Services。
   
3. 配置基本设置。
   
4. 在 Network 步骤中，为 Azure AD Domain Services 选择 Virtual network 和 Subnet。
   

   注：

   • 对于 Azure 虚拟网络的设置，可以参阅有关如何在 Synology Router 与 Microsoft Azure 之间设置 Site-to-Site VPN 的教程。
5. 在 Administrator group 步骤中，指定有权管理域的成员。
   
6. 检查设置概要，然后单击 OK 以启用 Azure AD Domain Services。
   
7. 在新创建的 Azure AD 域部署完成之后，找到该域在虚拟网络上的 IP 地址，这会在以后用于 Synology NAS 上的配置。
   
8. 可能需要在 Azure 门户上更新 DNS 服务器并设置密码同步。要了解详细步骤，请按照 Azure 门户上的说明执行操作。

3.将 Synology NAS 加入到 Azure AD 域

1. 在希望加入到 Azure AD 域的 Synology NAS 上以管理员身份登录 DSM。
2. 进入控制面板 > 域/LDAP > 域，然后配置以下设置：
   
   1. 勾选加入域复选框。
   2. 域：在这里输入 SYNOLOGY.COM。
   3. DNS Server：输入 Azure AD 域的 IP 地址。如果您有多个地址，只需用逗号分隔开。
   4. 单击应用。
3. 输入 Azure AD 域管理员的凭据，然后单击下一步。
   
4. 阅读注意事项，然后单击确定以开始加入。
   
5. 域加入完成后，单击完成。
   
6. 现在可以查看在 Azure Active Directory 上管理的用户和群组。
   

4.在 Synology NAS 上启用 Azure SSO 服务

1. 在 Azure 门户上，进入 Azure Active Directory > App registrations，并单击 New application registration。
   
2. 配置以下设置，然后单击 Create：
   
   • Name：输入应用程序的名称。
   • Application type：选择 Web app / API。
   • Sign-on URL：输入应用程序登录页面的 URL。
3. 您会在列表中看到刚才创建的应用程序，单击可获取基本信息。
   
4. 复制 Application ID。然后单击 Settings > Keys。
   注：您可以跳过步骤 7 和 8 以便先粘贴复制的值。
   
5. 按照下列步骤生成应用程序密钥：
   
   1. 设置密钥的 DESCRIPTION 和有效期限 (EXPIRES)。
   2. 单击 Save。
   3. 密钥会显示在 VALUE 列中。必须在离开此页面之前立即复制。
      注：您可以跳过步骤 7 和 8 以便先粘贴复制的值。
6. 请进入 Azure Active Directory > Properties 以复制 Directory ID。
   
7. 进入 DSM 控制面板 > 域/LDAP > SSO 客户端，然后执行以下步骤：
   
   1. 勾选启用 OpenID Connect SSO 服务。
   2. 在配置文件下拉列表中选择 azure。
   3. 单击编辑。
8. 粘贴复制的应用程序 ID、密钥和目录 ID 值，以及输入应用程序登录页面的重定向 URI。
   
9. 配置完成后，请记住单击应用。
   
10. 由 Azure Active Directory 管理的有效用户现在可以使用其原始凭据登录 Synology NAS 托管网页应用程序。若要使用 SSO 登录，请从下拉列表中选择 Azure SSO 验证。
    
11. 用户会看到一个需要提供其帐户和密码的弹出窗口。
    
12. 用户随后会看到确认信息。只需单击 Accept 即可登录。