使用sso CAS协议登录群晖DSM

简单几步配置使群晖DSM支持sso统一身份认证系统登录

①打开群晖控制面板

②选择域与LDAP

③然后选择sso客户端

④勾选按登录页面的默认值选择sso

⑤勾选启用CAS sso服务，然后打开CAS sso设置

⑥服务器ID填写NAS的DSM登录页面地址(此处只允许填写https链接)

⑦服务器URL填写sso服务器地址(此处只允许填写https链接)

⑧服务器验证URL填写 sso 服务器验证地址（正常情况下与sso 服务器地址不同）

然后点击保存就可以使用sso统一验证登录了（此方法仅限通过CAS协议登录，其他协议请参考下方说明）

SSO 客户端

Synology 支持四种单点登录协议：OpenID Connect、SAML、CAS 和 Synology SSO。确保启用与您的 SSO 服务器兼容的 SSO 协议。

在本文中，SSO 服务器和作为 SSO 客户端应用程序的 Synology NAS 可能按如下所示进行称呼：

• SSO 服务器：IdP（身份识别提供程序，Identity provider）

• 用作 SSO 客户端的 Synology NAS：Synology NAS

如果要默认使用 SSO 登录 Synology NAS，请选中按登录页面的默认值选择 SSO 复选框。

OpenID Connect SSO 服务

OpenID Connect (OIDC) 是以 OAuth 2.0 为基础的开源验证协议。它使客户端应用程序可以验证终端用户的身份，并从 IdP 获取 JSON 格式的配置文件信息。

如果您将 Synology NAS 设置为 OIDC SSO 客户端，则用户在登录 OIDC SSO IdP 后即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 OIDC SSO 客户端：

1. 前往控制面板 > 域/LDAP > SSO 客户端。

2. 选中启用 OpenID Connect SSO 服务复选框。

3. 单击 OpenID Connect SSO 设置按钮。

4. 从配置文件下拉菜单中选择 OIDC。

5. 在弹出窗口的字段中指定信息：

1. 帐户类型：若要允许本地用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地或域/LDAP。

2. 名称：自定义配置文件名称。这会显示在 SSO 登录界面上。

3. Well-known URL：此 URL 可为您的 Synology NAS 提供所有必要的 IdP 信息。

4. 应用程序 ID：Synology NAS 的唯一标识符。这通常称为客户端 ID。

5. 应用程序密钥：只有 Synology NAS 和 IdP 才知道的私钥。Synology NAS 可用来向 IdP 要求身份验证。

6. 重定向 URI：Synology NAS 的 URL，在 IdP 确认验证请求后，会将用户重定向到此地址。

7. 授权范围：它包含一个或多个与访问令牌关联的范围。它确定在使用访问令牌访问 OAuth 2.0 保护的端点时可用的资源。

8. 用户名声明：每个授权范围返回的一组用户属性。系统会使用此组属性识别用户。

6. 单击保存以保存并退出弹出窗口。

7. 单击应用以保存设置。

SAML SSO 服务

安全断言标记语言 (SAML) 是适用于用户验证的开放标准。在此框架下，客户端应用程序可通过与 IdP 交换基于 XML 的断言来获取并验证用户信息。

如果您将 Synology NAS 设置为 SAML SSO 客户端，则用户在登录 SAML SSO IdP 后即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 SAML SSO 客户端：

1. 前往控制面板 > 域/LDAP > SSO 客户端。

2. 选中启用 SAML SSO 服务复选框。

3. 单击 SAML SSO 设置按钮。

4. 在弹出窗口中，单击导入元数据并上传从 IdP 获取的 SAML 元数据文件。您也可在字段中指定以下信息：

1. 名称：自定义配置文件名称。这会显示在 SSO 登录界面上。

2. 帐户类型：若要允许本地用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地或域/LDAP。

3. SP 实体 ID：此 Synology NAS 的 URL，当 IdP 确认 SAML 断言后，会将用户重定向到此地址。此地址必须是 HTTPS，不能是 QuickConnect 地址。这通常称为重定向 URI、应用程序 ID 或断言使用者服务 URL (ACS URL)。

4. IdP 单点登录 URL：发送 SAML 响应的 IdP 端点。这通常称为登录 URL、SSO URL 或 SAML 端点 (SAML Endpoint)。

5. IdP 实体 ID：用于识别 IdP 的唯一属性。这通常称为 IdP 发行者 (Issuer)、发行者或标识符 (Identifier)。

6. 证书：IdP 的公共密钥证书。此证书将用于验证 IdP 的 SAML 断言和响应。

5. 单击保存以保存并退出弹出窗口。

6. 单击应用以保存设置。

CAS SSO 服务

集中式验证服务（Central Authentication Service，CAS）是一种基于票据的用户验证协议。在此协议中，IdP 通过发送和验证服务票据来验证最终用户的身份。

如果您将设置 Synology NAS 为 CAS SSO 客户端，则用户在登录 CAS SSO IdP 后即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 CAS SSO 客户端：

1. 前往控制面板 > 域/LDAP > SSO 客户端。

2. 选中启用 CAS SSO 服务复选框。

3. 单击 CAS SSO 设置按钮。

4. 在弹出窗口的字段中指定信息：

1. 名称：自定义配置文件名称。这会显示在 SSO 登录界面上。

2. 帐户类型：若要允许本地用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地或域/LDAP。

3. 服务 ID：Synology NAS 的 URL。验证成功后，IdP 会将用户重定向到此位置。

4. 服务器 URL：IdP 的 URL。

5. 服务器验证 URL：Synology NAS 会使用此 URL 向 IdP 确认服务票据的有效性，而 IdP 会发回 XML 文档。

5. 单击保存以保存并退出弹出窗口。

6. 单击应用以保存设置。

Synology SSO 服务

Synology SSO 是基于 OAuth 2.0 框架的用户身份验证解决方案。它专为 Synology NAS 上的套件（如 Synology MailPlus）提供单点登录架构。

如果使用由 Synology NAS 提供支持的 SSO Server，则可以将 Synology NAS 设置为 SSO 客户端。用户在登录 SSO Server 后，即可访问 Synology NAS 提供的服务。

若要将 Synology NAS 设置为 Synology SSO 客户端：

1. 前往控制面板 > 域/LDAP > SSO 客户端。

2. 选中启用 Synology SSO 服务复选框。

3. 单击 Synology SSO 设置按钮。

4. 在弹出窗口的字段中指定信息：

1. 名称：自定义配置文件名称。这会显示在 SSO 登录界面上。

2. 帐户类型：若要允许本地用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地。若要允许目录用户通过 SSO 登录，请从下拉菜单中选择域/LDAP/本地或域/LDAP。
   注意：若要允许本地用户通过 SSO 登录，请确保从 SSO Server > 常规设置 > 帐户类型的下拉菜单中选择域/LDAP/本地。

3. SSO 服务器 URL：SSO Server 的完整 URL。前往 SSO Server > 常规设置获取信息。

4. 应用程序 ID：前往 SSO Server > 应用程序。选择在 SSO Server 中设置的 Synology NAS 的名称，然后单击编辑以查找此信息。单击保存以保存并退出弹出窗口。

5. 单击应用以保存设置。