|
|
|
|
@ -0,0 +1,49 @@
|
|
|
|
|
# SSO вход на Synology через Authentik
|
|
|
|
|
|
|
|
|
|
!!! note
|
|
|
|
|
|
|
|
|
|
1. Чуть от себя, чуть с [официальной документации](https://kb.synology.com/en-af/DSM/help/DSM/AdminCenter/file_directory_service_sso?version=7).
|
|
|
|
|
2. Портал авторизации сделан на базе Authentik.
|
|
|
|
|
|
|
|
|
|
!!! caution
|
|
|
|
|
|
|
|
|
|
Применимо к DSM 7.1 и выше
|
|
|
|
|
|
|
|
|
|
# Подготовка
|
|
|
|
|
|
|
|
|
|
Будут использоваться следующие заполнители:
|
|
|
|
|
|
|
|
|
|
- `synology.company`— это полное доменное имя сервера Synology DSM.
|
|
|
|
|
- `authentik.company`— это полное доменное имя установки authentik.
|
|
|
|
|
|
|
|
|
|
## Настройки на Authentik
|
|
|
|
|
|
|
|
|
|
В интерфейсе администратора Authentik, в разделе *«Поставщики»* создайте поставщика OAuth2/OpenID со следующими настройками:
|
|
|
|
|
|
|
|
|
|
- Название: Synology
|
|
|
|
|
- URI перенаправления: `https://synology.company/#/signin` (обратите внимание на отсутствие косой черты и включение порта веб-интерфейса)
|
|
|
|
|
- Ключ подписи: выберите любой доступный ключ.
|
|
|
|
|
- Режим темы: `Based on the Users's Email`
|
|
|
|
|
- Обратите внимание на `Client ID` и `Client secret`.
|
|
|
|
|
|
|
|
|
|
Далее. Создайте приложение, использующее этого провайдера. При необходимости примените ограничения доступа к приложению.
|
|
|
|
|
|
|
|
|
|
## Настройка Synology DSM
|
|
|
|
|
|
|
|
|
|
Чтобы настроить Synology DSM для использования Authentik в качестве поставщика OpenID Connect 1.0:
|
|
|
|
|
|
|
|
|
|
1. В панели управления DSM перейдите в раздел **Домен/LDAP** -> **Клиент SSO**.
|
|
|
|
|
2. Установите флажок **Выберите SSO по умолчанию на странице входа в систему**.
|
|
|
|
|
3. Установите флажок **Включить службу OpenID Connect SSO**.
|
|
|
|
|
4. Нажмите на кнопку **Настройки OpenID Connect SSO**.
|
|
|
|
|
5. Настройте следующие значения:
|
|
|
|
|
- Профиль: OIDC
|
|
|
|
|
- Тип учетной записи: Домен/LDAP/локальный
|
|
|
|
|
- Имя: Authentik
|
|
|
|
|
- Well-known url: скопируйте его из «URL-адреса конфигурации OpenID» в провайдере аутентификации (URL-адрес заканчивается на «/.well-known/openid-configuration»).
|
|
|
|
|
- Идентификатор приложения: «Идентификатор клиента» от поставщика аутентификации.
|
|
|
|
|
- Секрет приложения: «Секрет клиента» от провайдера аутентификации.
|
|
|
|
|
- Переадресация URI: `https://synology.company/#/signin` (он должен точно соответствовать «URI перенаправления» в authentik)
|
|
|
|
|
- Область действия авторизации: `openid profile email`
|
|
|
|
|
- Заявка на имя пользователя: `preferred_username`
|
|
|
|
|
- Сохраните настройки.
|
TheSt1tch
9 months ago