Hoe kan ik QTS Azure SSO in QTS instellen?
Van toepassing zijnde producten
Alle NAS-series
Details
QNAP NAS ondersteunt eenmalige aanmelding van Azure Active Directory Domain Service (Azure AD DS), waardoor gebruikers zich kunnen aanmelden bij de NAS met hun Azure AD DS voor Single Sign On (SSO).
Omdat Azure accounts worden geïmporteerd als domeingebruikers, kan de beheerder ook de accounts selecteren in de domeingebruikerslijst en de instellingen van alle Azure-domeingebruikers aanpassen, inclusief bevoegdheden voor gedeelde mappen, bevoegdheden voor domeingroepen en opslag van domeingebruikers.
Vereisten
- Een site-to-site VPN met Azure
- Een Azure AD-domeinservice
- Een QNAP NAS met QTS 4.5.1 (of later)
- Een tekstverwerker voor het opslaan van Client ID, Tenant ID, Reply URL en Public Key
Als u meer dan één NAS aan de SSO-service toevoegt, moet u deze tutorial voor elke NAS volgen.
Het Client ID en de Reply URL ophalen
- Open de Azure Active Directory.
- Ga naar Beheren > App registrations.
- Klik op +New registration.
- Voer de registratiegegevens in.
- Name: Voer een naam in voor de app.
- Application type: Kies Web app/API.
- Sign-on URL: Voer het IP-adres van de NAS in.
- Klik op Maken.
De overzichtpagina wordt geopend. - Kopieer het Application ID in uw tekstverwerker.
BelangrijkHet Application ID zal worden gebruikt als Client ID in de configuratie van SSO.
- Klik op Settings.
- Ga naar General > Reply URLs.
De zijbalk Reply URLs verschijnt.
- Klik op de URL.
- Voeg :8080/cgi-bin toe aan het einde van de URL.
- Kopieer deze bewerkte URL naar uw tekstverwerker.Belangrijk
De URL wordt gebruikt als URL voor respons in de configuratie van SSO.
- Klik op Save.
Het Tenant ID ophalen van Azure
- Open Azure Active Directory.
- Ga naar Beheren > Properties.
- Zoek onder Directory properties Directory ID.
- Kopieer het Directory ID naar uw tekstverwerker.
BelangrijkHet Directory ID wordt gebruikt als Tenant ID in de configuratie van SSO.
De Public Key ophalen van Microsoft
Verkrijg het CA certificate
- Ga naar https://login.microsoftonline.com/common/discovery/keys
- Het CA certificate is de waarde van x5c.Opmerking
Gebruik een JSON Formatter om de tekst leesbaarder te maken.
- Kopieer de waarde van het CA certicate naar uw tekstverwerker.
- Om veiligheidsredenen zijn er veel CA-certificaten met ondertekeningsleutels.
- Deze certificaten worden periodiek verlengd en kunnen in geval van nood ook meteen worden verlengd.
- Probeer deze sleutels om de juiste sleutel te vinden die is gebruikt voor het ondertekenen van id_token.
- Raadpleeg voor meer informatie Signing key rollover in the Microsoft identity platform.
Converteer het CA-certificaat naar een sleutel
Er zijn verschillende methoden om een CA-certificaat te converteren naar een sleutel. In dit voorbeeld gebruiken we een Linux-omgeving.
- Kopieer en plak het CA-certificaat van uw tekstverwerker in de ruimte met de volgende opdracht:
cat rsa_key_azure-cert.pem
- Gebruik het Linux-commando om de volgende openbare sleutel te genereren in een pem-bestand:
openssl x509 -pubkey -noout -in rsa_key_azure-cert.pem > rsa_key_azure-pub.pem - Kopieer de Public Key (inclusief begin en einde) naar uw tekstverwerker.
BelangrijkDe Public Key wordt gebruikt als Openbare sleutel in de configuratie van SSO.
Configureer SSO in QTS
- Meld u als beheerder op de NAS.
- Ga naar Configuratiescherm > Bevoegdheid > Domeinbeveiliging > Windows AS/LDAP en selecteer AD Verificatie (domeinleden).
- Gebruik de Snelle Configuratie Wizard of Handmatige configuratie voor aansluiting van Azure AD DS, als een lokaal AD-domein.
- Ga naar de tab SSO.
- Selecteer Eenmalige aanmelding via Azure (SSO) inschakelen.
- Kopieer en plak Client ID, Tenant ID, Reply URL en Openbare sleutel vanuit uw tekstverwerker.
- Klik op Toepassen.
Meld aan op de NAS met een Azure AD-account
- Klik bij het aanmelden op de NAS op Azure SSO.
Het venster Microsoft Pick een account wordt geopend. - Selecteer het account voor aanmelding op de NAS.
