大数跨境
首页
>
群晖SSO单点登录
>

群晖SSO单点登录

群晖SSO单点登录 苏州鑫鸿溢网络科技有限公司
2025-08-18
2
导读:一、什么叫单点登录 单点登录(Single Sign On),简称为 SSO,一种用户验证解决方案,可
一、什么叫单点登录
     单点登录(Single Sign On),简称为 SSO,一种用户验证解决方案,可提供单点登录架构以集成所有网页应用程序。Synology SSO 让企业可以保护网页应用程序,同时简化验证管理。
二、为何使用 Synology 单点登录?
  1. 每天登录一次可确保用户验证安全并更快地访问所有网页应用程序,从而使登录体验变得安全且轻松。
  2. SSO 为方便起见简化了用户名和密码管理,从而降低了对忘记密码方面的 IT 帮助台支持的需求。

三、群晖SSO单点登录

      Synology 支持四种单点登录协议:OpenID Connect、SAML、CAS 和 Synology SSO。确保启用与您的 SSO 服务器兼容的 SSO 协议。

      在本文中,SSO 服务器和作为 SSO 客户端应用程序的 Synology NAS 可能按如下所示进行称呼:

  • SSO 服务器:IdP(身份识别提供程序)
  • 用作 SSO 客户端的 Synology NAS:Synology NAS

如果要默认使用 SSO 登录 Synology NAS,请选中按登录页面的默认值选择 SSO 复选框。

OpenID Connect SSO 服务

OpenID Connect (OIDC) 是以 OAuth 2.0 为基础的开源验证协议。它使客户端应用程序可以验证终端用户的身份,并从 IdP 获取 JSON 格式的配置文件信息。

如果您将 Synology NAS 设置为 OIDC SSO 客户端,则用户在登录 OIDC SSO IdP 后即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 OIDC SSO 客户端:

  1. 前往控制面板 > 域/LDAP > SSO 客户端
  2. 选中启用 OpenID Connect SSO 服务复选框。
  3. 单击 OpenID Connect SSO 设置按钮。
  4. 配置文件下拉菜单中选择 OIDC
  5. 在弹出窗口的字段中指定以下信息:
    1. 帐户类型
      :若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地域/LDAP
    2. 名称
      :自定义配置文件名称。这会显示在 SSO 登录界面上。
    3. Well-known URL
      :此 URL 可为您的 Synology NAS 提供所有必要的 IdP 信息。
    4. 应用程序 ID
      :Synology NAS 的唯一标识符。这通常称为客户端 ID
    5. 应用程序密钥
      :只有 Synology NAS 和 IdP 才知道的私钥。Synology NAS 可用来向 IdP 要求身份验证。
    6. 重定向 URI
      :Synology NAS 的 URL,在 IdP 确认验证请求后,会将用户重定向到此地址。
    7. 授权范围
      :它包含一个或多个与访问令牌关联的范围。它确定在使用访问令牌访问 OAuth 2.0 保护的端点时可用的资源。
    8. 用户名声明
      :每个授权范围返回的一组用户属性。系统会使用此组属性识别用户。
  6. 单击保存以保存并退出弹出窗口。 
  7. 单击应用以保存设置。 

注意:

  • 如果您将 Synology NAS 设置为 Azure 或 WebSphere SSO 客户端,则不允许本地用户通过 OIDC SSO 登录,因为 Azure 和 WebSphere 要求客户端应用程序加入与 IdP 相同的目录服务。请参阅控制面板 > 文件共享 > 域/LDAP > SSO 客户端 > Azure AD SSO 文章,了解有关将 Azure 设置为 IdP 的更多信息。
  • 若要允许目录用户通过 OIDC SSO 登录,请前往 Synology NAS 并在控制面板 > 域/LDAP > 域/LDAP 中将其加入目录服务。确保 IdP 也加入同一目录服务。

SAML SSO 服务

安全断言标记语言 (SAML) 是适用于用户验证的开放标准。在此框架下,客户端应用程序可通过与 IdP 交换基于 XML 的断言来获取并验证用户信息。

如果您将 Synology NAS 设置为 SAML SSO 客户端,则用户在登录 SAML SSO IdP 后即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 SAML SSO 客户端:

  1. 前往控制面板 > 域/LDAP > SSO 客户端
  2. 选中启用 SAML SSO 服务复选框。
  3. 单击 SAML SSO 设置按钮。
  4. 在弹出窗口中,单击导入元数据并上传从 IdP 获取的 SAML 元数据文件。您也可在字段中指定以下信息:
    1. 名称
      :自定义配置文件名称。这会显示在 SSO 登录界面上。
    2. 帐户类型
      :若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地域/LDAP
    3. SP 实体 ID
      :此 Synology NAS 的 URL,当 IdP 确认 SAML 断言后,会将用户重定向到此地址。此地址必须是 HTTPS,不能是 QuickConnect 地址。这通常称为重定向 URI应用程序 ID 或断言使用者服务 URL (ACS URL)
    4. IdP 单点登录 URL
      :发送 SAML 响应的 IdP 端点。这通常称为登录 URLSSO URL 或 SAML 端点
    5. IdP 实体 ID
      :用于识别 IdP 的唯一属性。这通常称为 IdP 发行者发行者标识符
    6. 证书
      :IdP 的公共密钥证书。此证书将用于验证 IdP 的 SAML 断言和响应。
  5. 单击保存以保存并退出弹出窗口。
  6. 单击应用以保存设置。

注意:

  • 如果您的 IdP 提供以下选项,请确保按照以下方式配置它们以满足 Synology NAS 的要求:
    选项
    选择

    Synology NAS 的 SAML 绑定类型

    HTTP 重定向选项

    Synology NAS 的名称 ID 格式

    未指定

    Synology NAS 的名称 ID 值/属性

    用户名、帐户或电子邮件选项,具体取决于您的要求

    是否对 SAML 断言和 SAML 响应进行签名

    根据您的 IdP 设置,对其中一项或两项进行签名。
  • 若要允许本地用户通过 SAML SSO 登录,请前往 IdP,并确保它包含与 Synology NAS 中的本地用户名称相同的本地用户。
  • 若要允许目录用户通过 SAML SSO 登录,请前往 Synology NAS 并在控制面板 > 域/LDAP > 域/LDAP 中将其加入目录服务。确保 IdP 也加入同一目录服务。

CAS SSO 服务

集中式验证服务 (CAS) 是一种基于票据的用户验证协议。在此协议中,IdP 通过发送和验证服务票据来验证最终用户的身份。

如果您将设置 Synology NAS 为 CAS SSO 客户端,则用户在登录 CAS SSO IdP 后即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 CAS SSO 客户端:

  1. 前往控制面板 > 域/LDAP > SSO 客户端
  2. 选中启用 CAS SSO 服务复选框。
  3. 单击 CAS SSO 设置按钮。
  4. 在弹出窗口的字段中指定以下信息:
    1. 名称
      :自定义配置文件名称。这会显示在 SSO 登录界面上。
    2. 帐户类型
      :若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地域/LDAP
    3. 服务 ID
      :Synology NAS 的 URL。验证成功后,IdP 会将用户重定向到此位置。
    4. 服务器 URL
      :IdP 的 URL。
    5. 服务器验证 URL
      :Synology NAS 会使用此 URL 向 IdP 确认服务票据的有效性,而 IdP 会发回 XML 文档。
  5. 单击保存以保存并退出弹出窗口。
  6. 单击应用以保存设置。

注意:

  • 若要允许本地用户通过 CAS SSO 登录,请前往 IdP,并确保它包含与 Synology NAS 中的本地用户名称相同的本地用户。
  • 若要允许目录用户通过 CAS SSO 登录,请前往 Synology NAS 并在控制面板 > 域/LDAP > 域/LDAP 中将其加入目录服务。确保 IdP 也加入同一目录服务。

Synology SSO 服务

Synology SSO 是基于 OAuth 2.0 框架的用户身份验证解决方案。它专为 Synology NAS 上的套件(如 Synology MailPlus)提供单点登录架构。

如果使用由 Synology NAS 提供支持的 SSO Server,则可以将 Synology NAS 设置为 SSO 客户端。用户在登录 SSO Server 后,即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 Synology SSO 客户端:

  1. 前往控制面板 > 域/LDAP > SSO 客户端
  2. 选中启用 Synology SSO 服务复选框。
  3. 单击 Synology SSO 设置按钮。
  4. 在弹出窗口的字段中指定以下信息:
    1. 名称
      :自定义配置文件名称。这会显示在 SSO 登录界面上。
    2. 帐户类型
      :若要允许本地用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录,请从下拉菜单中选择域/LDAP/本地域/LDAP
      注意:若要允许本地用户通过 SSO 登录,请确保从 SSO Server > 常规设置 > 帐户类型的下拉菜单中选择域/LDAP/本地
    3. SSO 服务器 URL
      SSO Server 的完整 URL。 前往 SSO Server > 常规设置获取信息。
    4. 应用程序 ID
      :前往 SSO Server > 应用程序。选择在 SSO Server 中设置的 Synology NAS 的名称,然后单击编辑以查找此信息。如果您尚未将 Synology NAS 添加到 SSO Server,请参阅 SSO Server > 应用程序文章以了解详细步骤。
    5. 单击保存以保存并退出弹出窗口。
    6. 单击应用以保存设置。

注意:

  • 如果 IdP 使用 HTTPS 协议,浏览器可能会因为缺少受信任证书而封锁 SSO 登录。
  • 如果 IdP 使用 HTTP 协议,而 Synology NAS 使用 HTTPS 连接,则用户应配置其浏览器的设置,以允许使用不安全的连接。
  • 如果您已在 DSM 的控制面板 > 安全性 > 安全性中选中启动 HTTP 内容安全政策 (CSP) 标头来提高安全性复选框,将不支持采用 IPv6 格式的 IdP 的 IP 地址。

-联系我们-

【服务热线】:400-988-5018 

微       信】:13338702229    18151777718

【公司网站】:http://www.xinhongyicn.com

【企业邮箱】:sales@xinhongyicn.com

【公司地址】:苏州市吴中区木渎凯马惠润国际1-2211

【主营】:群晖NAS存储、数据安全防泄漏、服务器、分布式存储、超融合、3D设计云桌面、希捷硬盘、西数硬盘、网络设备和网络安全设备。

#群晖华东区域核心代理商#群晖华东区域SCB服务商#鑫云华东区域核心代理商#深信服金牌授权#希捷硬盘核心代理商#西部数据核心代理商

【声明】内容源于网络
0
0
苏州鑫鸿溢网络科技有限公司
我们是一家主营群晖NAS存储、AOI产线大容量存储;希捷、西部数据 硬盘设备项目方案商。有存储安全深信服防火墙超融合需求的公司可以联系我们哈!同城可以上门测试、安装讲解!13338702229
内容 0
粉丝 0
苏州鑫鸿溢网络科技有限公司 我们是一家主营群晖NAS存储、AOI产线大容量存储;希捷、西部数据 硬盘设备项目方案商。有存储安全深信服防火墙超融合需求的公司可以联系我们哈!同城可以上门测试、安装讲解!13338702229
总阅读0
粉丝0
内容0