Всем привет!!!
В этом материале я познакомлю вас в Synology SSO server, его настройками и интеграцией всех служб DSM в него, что бы был единый вход и не нужно было вводить в каждом приложении данные авторизации.
SSO (Single Sign-On) — это технология единого входа, которая позволяет пользователям переходить из одного раздела портала или системы в другую без повторной аутентификации. SSO (Single Sign-On) можно использовать дома для упрощения доступа к различным онлайн-сервисам и приложениям. Вот некоторые варианты применения SSO дома:
- Управление аккаунтами: SSO позволяет объединить все ваши аккаунты в одном месте, упрощая процесс аутентификации и авторизации.
- Безопасность: SSO обеспечивает более высокий уровень безопасности, так как вам нужно вводить пароль только один раз, что снижает риск взлома.
- Удобство: SSO избавляет вас от необходимости запоминать множество разных паролей для разных сервисов, что упрощает жизнь и экономит время.
- Экономия времени: SSO сокращает время, затрачиваемое на авторизацию, так как вам не нужно каждый раз вводить свои данные.
- Централизация управления: SSO позволяет управлять всеми вашими аккаунтами из одного места, что облегчает контроль над ними.
В данной статье я буду показывать на примере DDNS от Synology, но по моему мнению идеально это будет работать при использовании собственного доменного имени. Так как запоминать длинные имена четвертого уровня типа drive.XXX.synology.me гораздо сложнее чем имена третьего уровня типа drive.domen.ru. Но если мы говорим не только о сервисах Synology, то вполне адекватно выглядит и DDNS.
Если вы решите приобрести домен вместо использования службы Synology DDNS, убедитесь, что исходные имена FQDN соответствуют IP-адресами.
Для работы SSO нужен сервер и его можно установить из центра пакетов Synology SSO server
После открытия Synology SSO server нас встречает такое окно. Тут нужно выбрать либо только Домен\LDAP или еще и локальный. Последнее я рекомендую выбрать. С URL адресом поинтереснее. В него нужно вписать адрес вашего SSO сервер. В целом этот адрес может совпадать с адресом DSM, но рекомендуется поменять нажав кнопку настройки.
- URL-адрес сервера не может быть IP-адресом. Это должно быть имя домена, к которому можно получить доступ по протоколу HTTPS и который имеет действительный сертификат TLS.
- URL-адрес сервера не поддерживает Synology QuickConnect.
- При внесении каких-либо изменений в URL-адрес сервера обновите информацию IdP в приложениях.
Тут нас встречает несколько вариантов:
- Псевдоним – этот имя добавляется к имени вашего домена в конец и таким образом открывается служба SSO
- Порты – какой бы домен не был бы выбран, если задан порт, то будет открываться служба SSO
- Домен – можно указать пользовательский домен для SSO сервера
Я думаю в идеале нужно воспользоваться портами, но не всегда есть возможность подключаться к портам, поэтому я буду использовать псевдоним, который работает на стандартных портах 80 и 443 соответственно. Домен так же можно использовать вместо псевдонима, тут кома как нравится.
В данном примере я буду использовать псевдоним, так как считаю это наиболее удобным в данной ситуации.
Позже я выяснил, что все же лучше в поле URL прописывать порт приложения SSO указанный в настройках, например https://xpe423.synology.me:8843. Это нужно для сторонних приложений в docker или proxmox. Для приложений Synology подходит любой вариант.
Когда вы определились с общими настройками и настроили их, настало время настроить службу. В данном руководстве я покажу на примере Synology SSO, но будет статья про proxmox по протоколу OIDC (OpenID Connect).
На вкладке Synology SSO выставите две опции как показано на картинке ниже.
Теперь идем на вкладку Приложения, нажимаем добавить новое, выбираем Synology SSO
На следующем шаге придумайте название. По этому названию в будущем можно определить какая служба им пользуется. В строке переадресация URL укажите адрес Synology DSM по которому вы входите в ваш сервер.
Т.е. после авторизации на сервере SSO он переадресует вас именно по этому адресу.
Таких приложений может много с разными именами и протоколами. При нажатии на кнопку редактирования будет видно ID приложения, которое пригодится на следующем этапе.
Теперь настало время подключить к серверу SSO этот же сервер Synology NAS. Для этого откройте панель управления, Домен/LDAP, Клиент SSO. Тут включите выбор SSO по умолчанию. Затем включите службу Synoloyg SSO и в ее настройках укажите следующие параметры:
- Название – придумайте любое, если это какой-то другой сервер, то логично было бы указать его имя в этом поле.
- Тип учетной записи выберите тот где содержится локальный как на моей картинке ниже
- URL адрес сервера SSO возьмите тот, который указан в общих настройках SSO server, настраивалось ранее
- ID приложения вставьте текст из предыдущего шага, когда создавалось это самое приложение в окне редактирования, показано на картинке выше.
На этом настройка SSO клиента на Synology NAS закончена. Можно открыть окно браузера инкогнито или разлогиниться и вас встретит уже окно авторизации такого вида:
А если попробуете авторизоваться, то перекинет на окно SSO сервера где и будет проходить эта самая авторизация, если вы еще не входили и этот вход первый. Если вход второй и так далее, то этого окна не будет, на предыдущем шаге вам сразу откроется окно DSM и не нужно будет вводить данные авторизации повторно.
Теперь если вы захотите зайти в drive.XXX.synology.me или в photos.XXX.synology.me или в downloads.XXX.synology.me, то не придется проходить повторную авторизацию. Очень удобно и очень просто, нужно только один раз настроить Synology SSO server
