如何在 QTS 上设置 Azure SSO?
最后修订日期:
2023-03-17
适用产品
所有 NAS 系列
详细信息
QNAP NAS 支持从 Azure Active Directory 域服务 (Azure AD DS) 进行单点登录,用户可以使用 Azure AD DS 进行单点登录 (SSO) 来登录到 NAS。
由于 Azure 帐户以域用户身份导入,因此管理员还可以从域用户列表中选择帐户,并调整每个 Azure 域用户的设置,包括共享文件夹权限、域组权限和域用户存储。
要求
- Azure 站点到站点 VPN
- Azure AD 域服务
- 运行 QTS 4.5.1(或更高版本)的 QNAP NAS
- 用于存储客户端 ID、租户 ID、回复 URL 和公钥的文本编辑器
如果您要将多个 NAS 加入 SSO 服务,每个 NAS 都必须完成本教程的操作。
获取客户端 ID 和回复 URL
- 打开 Azure Active Directory。
- 转到“管理”>“应用注册”。
- 单击 + 新建注册。
- 输入注册详细信息。
- 名称: 输入应用名称。
- 应用程序类型:选择 Web 应用/API。
- 登录 URL:输入 NAS IP 地址。
- 单击创建。
此时会打开摘要页面。 - 将应用程序 ID 复制到文本编辑器。
重要应用程序 ID 在 SSO 配置中将充当客户端 ID。
- 单击设置。
- 转到“常规”> 回复 URL。
此时会出现回复 URL 边栏。
- 单击 URL。
- 编辑此 URL,在末尾添加 :8080/cgi-bin。
- 将编辑过的 URL 复制到文本编辑器。重要
此 URL 在 SSO 配置中将充当回复 URL。
- 单击保存。
从 Azure 获取租户 ID
- 打开 Azure Active Directory。
- 转到“管理”>属性。
- 在“目录”属性下,找到目录 ID。
- 将“目录 ID”复制到文本编辑器。
重要目录 ID 在 SSO 配置中将充当租户 ID。
从 Microsoft 获取公钥
获取 CA 证书
- 转到 https://login.microsoftonline.com/common/discovery/keys
- CA 证书为 x5c 的值。注意
使用 JSON 格式化程序使密钥文本更易于查看。
- 将 CA 证书值复制到文本编辑器。
注意
- 出于安全考虑,有很多 CA 证书包含签名密钥。
- 这些证书定期轮换,出现紧急状况时,可以立即轮换。
- 请尝试这些密钥,找到用于签署 id_token 的正确密钥。
- 有关更多信息,请参考 Microsoft 标识平台中的签名密钥滚动更新。
将 CA 证书转换为密钥
有多种方法可以将 CA 证书转换为密钥。在本例中,我们使用 Linux 环境。
- 从文本编辑器复制 CA 证书并粘贴到以下命令之间的空白处:
cat rsa_key_azure-cert.pem
- 使用以下命令在 pem 文件中生成公钥:
openssl x509 -pubkey -noout -in rsa_key_azure-cert.pem > rsa_key_azure-pub.pem - 将公钥(包括开头和结尾)复制到文本编辑器。
重要此公钥在 SSO 配置中将充当公钥
在 QTS 上配置 SSO
- 以管理员身份登录 NAS。
- 转到控制台 > 权限 > 域安全认证 > Windows AS/LDAP,并选择 AD 身份验证(域成员)。
- 与加入本地 AD 域一样,使用快速配置向导或手动配置加入 Azure AD DS。
- 转到 SSO 选项卡。
- 选中启用 Azure 单点登录(SSO)。
- 从文本编辑器复制客户端 ID、租户 ID、回复 URL 和公钥并粘贴。
- 单击应用。
使用 Azure AD 帐户登录到 NAS。
- 登录 NAS 后,单击 Azure SSO。
此时将打开 Microsoft 的“选取帐户”窗口。 - 选择要用于登录到 NAS 的帐户。
