Instrukcja obsługi How to set up Azure SSO on QTS?

Wszystkie serie NAS

---

Szczegóły​

QNAP NAS obsługuje pojedyncze logowanie z usługi Azure Active Directory Domain Service (Azure AD DS), umożliwiając użytkownikom logowanie się do serwera NAS za pomocą konta Azure AD DS w trybie Single Sign On (SSO).

Ponieważ konta Azure są importowane jako użytkownicy domeny, administrator może również wybierać konta z listy użytkowników domeny i dostosowywać ustawienia poszczególnych użytkowników domeny Azure, w tym uprawnienia do folderów współdzielonych, uprawnienia grup domeny oraz miejsce dyskowe użytkowników domeny.

Wymagania​

• Połączenie VPN typu site-to-site z platformą Azure
• Usługa Azure AD Domain Service
• QNAP NAS z systemem QTS 4.5.1 (lub nowszym)
• Edytor tekstu do przechowywania identyfikatora klienta (Client ID), identyfikatora dzierżawcy (Tenant ID), adresu URL odpowiedzi (Reply URL) oraz klucza publicznego (Public Key)

Jeśli dołączasz do usługi SSO więcej niż jeden serwer NAS, musisz powtórzyć ten samouczek dla każdego z nich.

Spoiler: Uzyskiwanie identyfikatora klienta (Client ID) oraz adresu URL odpowiedzi (Reply URL)

1. Otwórz Azure Active Directory.
2. Przejdź do Manage > App registrations.
3. Kliknij +New registration.
4. Wprowadź szczegóły rejestracji.
   1. Name: Wprowadź nazwę aplikacji.
   2. Application type: Wybierz Web app/API.
   3. Sign-on URL: Wprowadź adres IP serwera NAS.
5. Kliknij Create.
   
   
   
   
   
   Otworzy się strona podsumowania.
6. Skopiuj Application ID do edytora tekstu.
   
   
   
   
   
   Ważne
   Application ID zostanie użyty jako Client ID w konfiguracji SSO.
7. Kliknij Settings.
   
   
   
8. Przejdź do General > Reply URLs.
   Pojawi się panel boczny Reply URLs.
   
   
   
9. Kliknij adres URL.
10. Edytuj adres URL, dodając :8080/cgi-bin na końcu.
11. Skopiuj edytowany adres URL do edytora tekstu.
    Ważne
    Ten adres URL zostanie użyty jako Reply URL w konfiguracji SSO.
12. Kliknij Save.
    
    
    

Spoiler: Uzyskiwanie identyfikatora dzierżawcy (Tenant ID) z platformy Azure

1. Otwórz Azure Active Directory.
2. Przejdź do Manage > Properties.
3. W obszarze Directory properties znajdź Directory ID.
4. Skopiuj Directory ID do edytora tekstu.
   
   
   
   
   
   Ważne
   Directory ID zostanie użyty jako Tenant ID w konfiguracji SSO.

Spoiler: Uzyskiwanie klucza publicznego (Public Key) z firmy Microsoft

Uzyskiwanie certyfikatu CA​

1. Przejdź pod adres https://login.microsoftonline.com/common/discovery/keys
   
   
   
2. Certyfikatem CA jest wartość x5c.
   
   
   uwaga
   Użyj formatera JSON, aby tekst kluczy był bardziej czytelny.
   
3. Skopiuj wartość certyfikatu CA do edytora tekstu.

uwaga

• Ze względów bezpieczeństwa istnieje wiele certyfikatów CA zawierających klucze podpisujące.
• Certyfikaty te są rotowane okresowo, a w sytuacjach awaryjnych mogą być wymieniane natychmiast.
• Wypróbuj te klucze, aby znaleźć właściwy, który został użyty do podpisania id_token.
• Więcej informacji znajdziesz w artykule Signing key rollover in the Microsoft identity platform.

Konwersja certyfikatu CA na klucz​

Istnieje kilka metod konwersji certyfikatu CA na klucz. W tym przykładzie używamy środowiska Linux.

1. Skopiuj i wklej certyfikat CA z edytora tekstu w miejsce między poniższym poleceniem:
   
   

   cat rsa_key_azure-cert.pem

   
   
   
2. Użyj poniższego polecenia, aby wygenerować klucz publiczny do pliku pem:
   
   

   openssl x509 -pubkey -noout -in rsa_key_azure-cert.pem > rsa_key_azure-pub.pem

3. Skopiuj klucz publiczny (wraz z początkiem i końcem) do edytora tekstu.
   
   
   
   
   
   Ważne
   Klucz publiczny zostanie użyty jako Public Key w konfiguracji SSO.

Spoiler: Konfiguracja SSO w systemie QTS

1. Zaloguj się do serwera NAS jako administrator.
2. Przejdź do Panel sterowania > Uprawnienia > Zabezpieczenia domeny > Windows AS/LDAP i wybierz Uwierzytelnianie AD (członkowie domeny).
3. Użyj Kreatora szybkiej konfiguracji lub Konfiguracji ręcznej, aby dołączyć do Azure AD DS w taki sam sposób, jak przy dołączaniu do lokalnej domeny AD.
   
   
   
4. Przejdź do karty SSO.
5. Zaznacz opcję Enable Azure Single Sign-on (SSO).
6. Skopiuj i wklej Client ID, Tenant ID, Reply URL oraz Public Key z edytora tekstu.
   
   
   
7. Kliknij Apply.

Spoiler: Logowanie do serwera NAS przy użyciu konta Azure AD

1. Podczas logowania do serwera NAS kliknij Azure SSO.
   
   
   
   
   
   Otworzy się okno wyboru konta firmy Microsoft (Pick an account).
2. Wybierz konto, którym chcesz zalogować się do serwera NAS.