Come è possibile implementare una soluzione SSO su Synology NAS con Microsoft Entra Domain Services?
Ultimo aggiornamento:21 ott 2024
Come è possibile implementare una soluzione SSO su Synology NAS con Microsoft Entra Domain Services?
Alcuni articoli sono stati tradotti dall’inglese con strumenti meccanici e possono contenere imprecisioni oppure errori di grammatica.
Scopo
In questo tutorial viene descritto come unire un Synology NAS a Microsoft Entra Domain Services (in precedenza Azure AD Domain Services) e attivare Entra ID single sign-on (SSO) per i servizi DSM.
Note:
- Le istruzioni riportate di seguito sono basate su Microsoft Entra ID . I passaggi effettivi possono variare in base agli aggiornamenti dell'interfaccia utente.
- La connessione a un dominio Microsoft Entra ID non richiede necessariamente una VPN. Questo tutorial fornisce solo una possibile soluzione e l'utilizzo di Microsoft Entra Domain Services potrebbe comportare dei costi. Per i dettagli, fare riferimento a Microsoft Entra ID .
Soluzione
R. Prima di iniziare
- Verificare che Synology NAS esegua DSM 6.2 o versioni successive.
- Configurare un tunnel Site-to-Site IPSec VPN tra la rete virtuale di Microsoft Entra e la rete locale di Synology NAS. Si consiglia di configurare la connessione VPN con un Synology Router (per istruzioni dettagliate, consultare questo articolo ).
B. Configurare un dominio gestito Entra ID
- Accedere al portale Web Microsoft Entra .
- Nella barra di ricerca, digitare "Microsoft Entra Domain Services".
- Selezionare Microsoft Entra Domain Services dai risultati.
- Nella pagina Servizi di dominio Microsoft Entra , fare clic su Crea .
- Configurare quanto segue nella scheda Fondamentali :
- Abbonamento : selezionare l'abbonamento al servizio Microsoft Entra ID .
- Gruppo risorse : qui, fare clic su Crea nuovo e inserire un nome, ad esempio "SynologySQ".
- Nome dominio DNS : assegnare un nome al dominio gestito. Qui, denominiamo il dominio gestito con il suffisso integrato ".onmicrosoft.com". Per ulteriori informazioni sulla personalizzazione del dominio, consultare questo articolo .
- Regione : selezionare la posizione per il dominio. Qui, selezioniamo Asia orientale .
- Andare alla scheda Rete . Specificare Rete virtuale e Subnet per il dominio gestito.
- Andare alla scheda Amministrazione . Fare clic su Gestisci appartenenza gruppo per specificare gli administrators di dominio.
- Personalizzare le impostazioni nella scheda Sincronizzazione in base alle proprie esigenze e fare clic su Rivedi + crea .
- Dopo avere convalidato le impostazioni, fare clic su Crea per configurare il dominio gestito Entra ID. Questo processo potrebbe richiedere fino a un'ora.
Note:
C. Unire Synology NAS al dominio gestito Entra ID
Per DSM 7
- Accedere a DSM utilizzando un account appartenente al gruppo administrators .
- Andare Pannello di controllo di controllo > Dominio/ LDAP > Dominio/ LDAP .
- Fare clic su Partecipa .
- Configurare le seguenti impostazioni e fare clic su Avanti :
- Tipo di server : selezionare Rilevamento automatico o Dominio .
- Indirizzo server : inserire il nome del dominio gestito Entra ID.
- Server DNS : inserire l'indirizzo IP del dominio gestito Entra ID. È possibile verificarlo sul portale Entra > Tutte le risorse > dominio gestito > Proprietà > Indirizzi IP .
- Configurare le seguenti impostazioni:
- Account dominio : inserire il nome utente dell'account dell'amministratore del dominio gestito Entra ID. 1
- Password dominio : inserire la password dell'account sopra.
- DC IP/ FQDN : inserire gli indirizzi IP del dominio gestito Entra ID.
- Fare clic su Avanti e la procedura guidata eseguirà alcuni controlli e unirà Synology NAS al dominio gestito. Al termine del processo di associazione, verrà visualizzato lo stato "Connesso" nella scheda Dominio/ LDAP .
Per DSM 6.2
- Accedere a DSM utilizzando un account appartenente al gruppo administrators .
- Andare Pannello di controllo di controllo > Dominio/ LDAP > Dominio .
- Spuntare Unisci dominio .
- Configurare le seguenti impostazioni:
- Dominio : inserire il nome del dominio gestito Entra ID.
- DNS Server : inserire l'indirizzo IP del dominio gestito Entra ID. È possibile verificarlo sul portale Entra > Tutte le risorse > Dominio gestito > Proprietà > Indirizzi IP .
- Fare clic su Applica . Verrà visualizzata una finestra a comparsa che richiede l'account amministratore e la password di Microsoft Entra Domain Services per l'autenticazione. 1 Inserire le informazioni e fare clic su Avanti .
- Al termine del processo di associazione, verrà visualizzato lo stato "Connesso" nella scheda Dominio .
D. Attivare Entra ID SSO su Synology NAS
- Accedere al portale Entra .
- Andare su Azure Active Directory > Registrazioni app e fare clic su Nuova registrazione .
- Configurare quanto segue e fare clic su Registra :
- Nome : denominare l'applicazione, ad esempio "AzureSSO".
- Tipi di account supportati : selezionare i tipi di account che possono utilizzare questa applicazione. Se nell'organizzazione è presente un solo tenant Entra ID, selezionare Account solo in questa directory dell'organizzazione . Per ulteriori informazioni su questa opzione, consultare questo articolo .
- Reindirizza URI : selezionare Web dal menu a discesa. Inoltre, inserire l'URI della pagina di accesso dell'applicazione nel seguente formato. Verificare che HTTPS e un certificato valido siano utilizzati per la connessione al NAS. Inoltre, questo campo non può essere un indirizzo QuickConnect . È possibile importare un certificato in DSM o ottenerne uno da Let's Encrypt .
URI Esempio per DSM 7 Esempio per DSM 6.2 https:// nome dominio o indirizzo IP 2 del NAS : porta / https://synonas.synology.me:5001/ https://synonas.synology.me:5001/webman/login.cgi
- Nella pagina Panoramica , copiare l' ID applicazione (client) e l'ID directory (tenant) .
- Andare su Certificati e segreti e fare clic su Nuovo segreto client .
- Nella finestra a comparsa, configurare quanto segue e fare clic su Aggiungi :
- Descrizione : denominare questo segreto client.
- Scade : selezionare la durata di validità per questo segreto client. Si consiglia di scegliere Personalizzato e impostare un tempo sufficientemente lungo per evitare la scadenza del segreto client. Se il segreto client scade, gli utenti non possono accedere a DSM tramite l'autenticazione Entra ID SSO .
- Copiare il valore del segreto client appena aggiunto.
- Andare Pannello di controllo di controllo DSM > Dominio/ LDAP > Client SSO e procedere come segue:
- Per DSM 7 : selezionare Abilita servizio OpenID Connect SSO e fare clic su Impostazioni SSO OpenID Connect . Nella finestra a comparsa, selezionare azure dal menu a discesa Profilo .
- Per DSM 6.2 : selezionare Abilita servizio OpenID Connect SSO . Selezionare azure dal menu a discesa e fare clic su Modifica .
- Per DSM 7 : selezionare Abilita servizio OpenID Connect SSO e fare clic su Impostazioni SSO OpenID Connect . Nella finestra a comparsa, selezionare azure dal menu a discesa Profilo .
- Incollare i valori copiati di Application ID , Directory ID (vedere il passaggio 5) e Key (vedere il passaggio 8). Inoltre, immettere l' URI di reindirizzamento della pagina di accesso dell'applicazione (vedere il passaggio 3). Fare clic su Salva per verificare che tutte le informazioni siano corrette.
- Per DSM 7
- Per DSM 6.2
- Per DSM 7
- Fare clic su Applica quando la configurazione è completa.
- Gli utenti di dominio Entra ID possono ora accedere a Synology NAS utilizzando le proprie credenziali Entra ID. Per accedere con SSO, selezionare Azure SSO Authentication nel portale di accesso.
- Gli utenti vedranno una finestra a comparsa che richiede il nome utente e la password. Fare clic su un account o inserire il nome utente e la password per accedere a DSM.
Note:
- Verificare che l'account amministratore sia stato creato dopo l'abilitazione di Microsoft Entra Domain Services. In caso contrario, prima di utilizzare l'account di questo amministratore per unire Synology NAS a Microsoft Entra Domain Services, è necessario modificare la password dell'account per sincronizzare l'hash della password da Microsoft Entra ID a Microsoft Entra Domain Services. Per i dettagli, consultare il tutorial di Microsoft .
- Se è stato registrato un nome host DDNS per Synology NAS, andare Pannello di controllo di controllo DSM > Accesso esterno > DDNS . Verranno visualizzati il nome dominio e l'indirizzo IP .