Hur konfigurerar jag Azure SSO på QTS?
Berörda produkter
Alla NAS-serier
Information
QNAP NAS stöder enkel inloggning med Azure Active Directory Domain Service (Azure AD DS) och gör det möjligt för användare att logga in på NAS-enheten med sin Azure AD DS förr enkel inloggning (SSO).
Eftersom Azure-konton importeras som domänanvändare kan administratören även välja kontona på domänanvändarlistan och justera inställningarna för varje Azure-domänanvändare, inklusive behörigheter till delade mappar, domängruppsprivilegier och domänanvändarlagring.
Krav
- En plats till plats-VPN med Azure
- Azure AD Domain Services
- A QNAP NAS med QTS 4.5.1 (eller senare).
- En textredigerare för att lagra klient-ID, klientorganisations-ID, svars-URL och offentlig nyckel
Om du ansluter fler än en NAS till SSO-tjänsten måste du följa dessa självstudier för varje NAS.
Hämta klient-ID och svars-URL
- Öppna Azure Active Directory.
- Öppna Hantera > Appregistreringar.
- Klicka på +Ny registrering
- Ange registreringsinformationen.
- Namn: Ange appens namn.
- Programtyp: Välj Webbapp/API
- Inloggnings-URL: Ange NAS-enhetens IP-adress.
- Klicka på Skapa.
Sammanfattningssidan öppnas. - Kopiera Program-ID till textredigeraren.
Viktigt!Program-ID används som Klient-ID i SSO-konfigurationen.
- Klicka på Inställningar.
- Öppna Allmänt > Svars-URL.
Marginallisten Svars-URL öppnas.
- Klicka på URL.
- Redigera URL genom att lägga till :8080/cgi-bin i slutet.
- Kopiera redigerad URL till textredigeraren.Viktigt!
Denna URL används som Svars-URL i SSO-konfigurationen.
- Klicka på Spara.
Hämta Klientorganisations-ID från Azure
- Öppna Azure Active Directory.
- Öppna Hantera > Egenskaper
- Sök efter Katalog-ID under Katalogegenskaper.
- Kopiera Katalog-ID till textredigeraren.
Viktigt!Katalog-ID används som Klientorganisations-ID i SSO-konfigurationen.
Hämta den offentliga nyckeln från Microsoft
Skaffa CA-certifikatet
- Öppna https://login.microsoftonline.com/common/discovery/keys
- CA-certifikatet har värdet x5c.Obs!
Använd en JSON-formaterare för att göra nycklarna mer läsbara.
- Kopiera CA-certifikatets värde till textredigeraren.
- Av säkerhetsskäl finns det många CA-certifikat som innehåller signeringsnycklar.
- Sådana certifikat rullar periodiskt och kan i händelse av nödfall förnyas omedelbart.
- Prova dessa nycklar för att hitta rätt nyckel som användes för att underteckna id_token.
- Mer information finns i Återställning av signeringsnyckel i Microsofts identitetsplattform.
Konvertera CA-certifikatet till en nyckel
Det finns flera sätt att konvertera ett CA-certifikat till en nyckel. I det här exemplet använder vi en Linux-miljö.
- Kopiera och klistra in CA-certifikatet från textredigeraren i mellanrummet mellan följande kommando:
cat rsa_key_azure-cert.pem
- Använd följande kommando för att generera den offentliga nyckeln till en pem-fil:
openssl x509 -pubkey -noout -in rsa_key_azure-cert.pem > rsa_key_azure-pub.pem - Kopiera den offentliga nyckeln (inklusive början och slutet) till textredigeraren.
Viktigt!Den offentliga nyckeln används som Offentlig nyckel i SSO-konfigurationen.
Konfigurera SSO på QTS
- Logga in på NAS-enheten som administratör.
- Öppna Kontrollpanelen > Privilegum > Domänsäkerhet > Windows AS/LDAP och välj AD-autentisering (domänmedlemmar).
- Använd Snabbkonfigurationsguide eller Manuell konfigurering för att ansluta till Azure AD DS, som att ansluta till en lokal AD-domän.
- Öppna fliken SSO.
- Markera Aktivera Azure SSO (Single Sign-on)
- Kopiera och klistra in Klient-ID, Klientorganisations-ID, Svars-URL och Offentlig nyckel från textredigeraren.
- Klicka på Tillämpa.
Logga in på NAS-enheten med ett Azure AD-konto
- Klicka på Azure SSO när du loggar in på NAS-enheten.
Microsofts fönster Välj ett konto öppnas. - Välj kontot för att logga in på NAS-enheten.
