From 700091c3513e4b18fdb2f754ef5dc79f6ab837b1 Mon Sep 17 00:00:00 2001 From: TheSt1tch Date: Sat, 27 Apr 2024 12:03:57 +0500 Subject: [PATCH] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=BB=D0=B5?= =?UTF-8?q?=D0=BD=D0=B0=20=D1=81=D1=82=D0=B0=D1=82=D1=8C=D1=8F=20=D0=BF?= =?UTF-8?q?=D0=BE=20=D0=B2=D1=85=D0=BE=D0=B4=D1=83=20=D0=B2=20Synology=20?= =?UTF-8?q?=D1=87=D0=B5=D1=80=D0=B5=D0=B7=20SSO?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/hardware/synology/sso-client.md | 49 ++++++++++++++++++++++++++++ mkdocs.yml | 1 + 2 files changed, 50 insertions(+) create mode 100644 docs/hardware/synology/sso-client.md diff --git a/docs/hardware/synology/sso-client.md b/docs/hardware/synology/sso-client.md new file mode 100644 index 0000000..d6410bb --- /dev/null +++ b/docs/hardware/synology/sso-client.md @@ -0,0 +1,49 @@ +# SSO вход на Synology через Authentik + +!!! note + + 1. Чуть от себя, чуть с [официальной документации](https://kb.synology.com/en-af/DSM/help/DSM/AdminCenter/file_directory_service_sso?version=7). + 2. Портал авторизации сделан на базе Authentik. + +!!! caution + + Применимо к DSM 7.1 и выше + +# Подготовка + +Будут использоваться следующие заполнители: + +- `synology.company`— это полное доменное имя сервера Synology DSM. +- `authentik.company`— это полное доменное имя установки authentik. + +## Настройки на Authentik + +В интерфейсе администратора Authentik, в разделе *«Поставщики»* создайте поставщика OAuth2/OpenID со следующими настройками: + +- Название: Synology +- URI перенаправления: `https://synology.company/#/signin` (обратите внимание на отсутствие косой черты и включение порта веб-интерфейса) +- Ключ подписи: выберите любой доступный ключ. +- Режим темы: `Based on the Users's Email` +- Обратите внимание на `Client ID` и `Client secret`. + +Далее. Создайте приложение, использующее этого провайдера. При необходимости примените ограничения доступа к приложению. + +## Настройка Synology DSM + +Чтобы настроить Synology DSM для использования Authentik в качестве поставщика OpenID Connect 1.0: + +1. В панели управления DSM перейдите в раздел **Домен/LDAP** -> **Клиент SSO**. +2. Установите флажок **Выберите SSO по умолчанию на странице входа в систему**. +3. Установите флажок **Включить службу OpenID Connect SSO**. +4. Нажмите на кнопку **Настройки OpenID Connect SSO**. +5. Настройте следующие значения: + - Профиль: OIDC + - Тип учетной записи: Домен/LDAP/локальный + - Имя: Authentik + - Well-known url: скопируйте его из «URL-адреса конфигурации OpenID» в провайдере аутентификации (URL-адрес заканчивается на «/.well-known/openid-configuration»). + - Идентификатор приложения: «Идентификатор клиента» от поставщика аутентификации. + - Секрет приложения: «Секрет клиента» от провайдера аутентификации. + - Переадресация URI: `https://synology.company/#/signin` (он должен точно соответствовать «URI перенаправления» в authentik) + - Область действия авторизации: `openid profile email` + - Заявка на имя пользователя: `preferred_username` + - Сохраните настройки. diff --git a/mkdocs.yml b/mkdocs.yml index 350a9e6..407be56 100755 --- a/mkdocs.yml +++ b/mkdocs.yml @@ -145,6 +145,7 @@ nav: - Траблшутинг: hardware/tsd/troubleshooting.md - Synology: - HPE Microserver Gen10: hardware/synology/install-hpe-ms-gen10.md + - SSO Login: hardware/synology/sso-client.md - Update CA root Cert: hardware/synology/update-ca-root-cert.md - HPE iLo: hardware/hpe-ilo.md - Proxmox: