Synology SSO Server 为云应用程序提供单点登录(SSO)解决方案。通过 SSO,您的团队成员只需一组凭据即可登录多个应用程序。

本文将指导您为 DiskStation Manager (DSM) 设置 SAML SSO。如果您想设置 OIDC SSO,请参阅 OIDC 配置指南

环境

SSO 服务器和客户端应运行 DSM 7.2 或以上

解决方案

A. 设置 Synology SSO Server

  1. 在您的 SSO 服务器上,前往 SSO Server > 常规设置
  2. 从下拉菜单中选择帐户类型
    • 域/LDAP/本地:允许本地用户和外部目录用户通过 SSO 访问您的 NAS 上的应用程序。
    • 域/LDAP:允许外部目录用户通过 SSO 访问您的 NAS 上的应用程序。
  3. 单击 设置。输入将用作 SSO 登录页面的域名,然后单击 保存
  4. 在 服务器 URL 字段中再次输入您的域名。

B. 配置 SSO Server 作为身份提供者(IdP)

  1. 前往 SSO Server > 服务
  2. 选中启用 SAML 服务器复选框,并复制以下信息,这些信息将在下一部分使用。或者,您也可以单击 导出元数据 以获取可导入的 .xml 文件。
    • IdP 单点登录 URL
    • IdP 实体 ID
    • 证书
  3. 切换到 应用程序 页面。
  4. 选择 SAML 并单击 下一步
  5. 输入以下信息并保存设置:选项操作应用程序名称为您的 DSM 命名应用程序配置文件。重定向 URI您的 客户端 NAS 的 URL,服务器 NAS 确认 SAML 断言后,用户将被重定向到该地址。此地址必须为 HTTPS,且不能为 QuickConnect 地址。应用程序 ID输入与 重定向 URI 相同的 URL。名称 ID 格式选择 Persistent。默认名称 ID定义在 DSM 中用于识别用户的默认值。建议选择 帐户1

C. 配置 DSM 作为服务提供者(SP)

  1. 打开一个新的浏览器标签页。在您的 SSO 客户端上,前往 控制面板 > 域/LDAP > SSO 客户端
  2. 选中 启用 SAML SSO 服务复选框。
  3. 单击 SAML SSO 设置
  4. 请填写以下信息并单击保存。如果您已从服务器 NAS 导出 IdP 信息,请单击导入元数据并选择您的 .xml 文件。选项操作名称自定义配置文件名称。该名称将显示在 SSO 登录界面上。帐户类型选择与A 部分第 2 步中配置的相同选项。SP 实体 ID输入在B 部分中配置的重定向 URI。IdP 实体 ID输入您在 B 部分复制的IdP 实体 ID。IdP 单点登录 URL输入您在 B 部分复制的IdP 单点登录 URL。响应签名验证选择签署 SAML 响应。证书导入在 B 部分获取的证书。
  5. 单击应用以保存设置。

D. 验证 SAML SSO 是否正常工作

  1. 打开私有的浏览器窗口。
  2. 前往 DSM 登录页面并选择 SSO 作为验证方法。Synology SSO 页面将会弹出。
  3. 输入有权访问 SSO 服务的用户的登录凭据。如果 SAML 运行正常,您将登录 DSM。

注意:

  1. 为确保信息安全,我们不建议将电子邮件地址设置为默认名称 ID。如果您仍选择使用电子邮件地址,请确保其在目录服务中不可修改。