Search

如何在 QTS 上設定 Azure SSO?

最後修訂日期: 2023-03-17

適用產品

NAS 全系列

詳細資料

QNAP NAS 支援 Azure Active Directory Domain Service (Azure AD DS) 單一登入,使用者可利用 Azure AD DS 單一登入 (SSO) 的方式來登入 NAS。

以網域使用者匯入 Azure 帳戶時,管理員還可從網域使用者清單選擇帳戶,調整每個 Azure 網域使用者的設定,包括共用資料夾權限、網域群組權限及網域使用者儲存空間。

需求

  • Azure 站對站 VPN
  • Azure AD Domain Service
  • QNAP NAS 安裝 QTS 4.5.1 (含) 以上版本
  • 用於儲存用戶端 ID、租用戶 ID、回覆 URL 及公開金鑰的文字編輯器

如要把多個 NAS 加入 SSO 服務,請按照本教學流程,針對每個 NAS 進行操作。

取得用戶端 ID 及回覆 URL

  1. 開啟[Azure Activity Directory]。
  2. 前往[Manage (管理)]>[App registrations (應用程式註冊)]。
  3. 按一下[+New registration (+新增註冊)]
  4. 輸入註冊詳細資料。
    1. Name (名稱):輸入應用程式名稱。
    2. Application type (應用程式類型):選擇[Web app/API (網頁應用程式/API)]
    3. Sign-on URL (登入網址):輸入 NAS IP 位址。
  5. 按一下[Create (建立)]

    摘要頁面隨即開啟。
  6. 應用程式 ID 複製到您的文字編輯器。

    重要事項

    應用程式 ID 在 SSO 設定會作為用戶端 ID

  7. 按一下[Settings (設定)]
  8. 前往[General (一般)]>[Reply URLs (回覆 URL)]
    [Reply URLs (回覆 URL)]側邊欄隨即出現。
  9. 按一下[URL]。
  10. 編輯 URL 並在末端加入[:8080/cgi-bin]
  11. 將已編輯的 URL 複製到文字編輯器。
    重要事項

    此 URL 在 SSO 設定會作為[Reply URL (回覆 URL)]

  12. 按一下[Save (儲存)]

從 Azure 取得租用戶 ID

  1. 開啟[Azure Activity Directory]。
  2. 前往[Manage (管理)]>[Properties (屬性)]
  3. 在[Directory properties (目錄屬性)]下,找到[Directory Id (目錄 ID)]
  4. 將目錄 ID 複製到文字編輯器。

    重要事項

    目錄 ID 在 SSO 設定會作為[租用戶 ID]

從 Microsoft 取得公開金鑰

取得 CA 憑證

  1. 前往 https://login.microsoftonline.com/common/discovery/keys
  2. CA 憑證的數值是[x5c]
    備註

    利用 JSON 格式工具可讓關鍵字更容易辨認。

  3. 將 CA 憑證的數值複製到文字編輯器。
備註
  • 基於安全考量,許多 CA 憑證包含簽署金鑰。
  • 這些憑證會定期變換,在緊急情況下,可以立即變換。
  • 請嘗試使用這些金鑰來找出用於簽署 id_token 的正確金鑰。
  • 如需更多資訊,請參閱:在 Microsoft 身分識別平台中簽署金鑰變換

將 CA 憑證轉換為金鑰

有幾種方法可將 CA 憑證轉換為金鑰。在這個範例中,我們會使用 Linux 環境。

  1. 從文字編輯器複製 CA 憑證並貼到以下命令之間的空格:
    cat rsa_key_azure-cert.pem

  2. 使用下列命令以在[pem]檔中產生公開金鑰:
    openssl x509 -pubkey -noout -in rsa_key_azure-cert.pem > rsa_key_azure-pub.pem
  3. 將公開金鑰 (包括開頭和結尾) 複製到文字編輯器。

    重要事項

    公開金鑰會在 SSO 設定為[公開金鑰]

在 QTS 上設定 SSO

  1. 使用管理者帳號登入至 NAS。
  2. 前往[控制台]>[權限]>[網域安全認證]>[Windows AS/LDAP],然後選擇[AD 認證 (網域成員)]
  3. 使用[快速設定精靈][手動設定]來加入 Azure AD DS,作為加入本地 AD 網域。
  4. 前往[SSO]分頁。
  5. 勾選[啟用 Azure 單一登入 (SSO)]
  6. 從文字編輯器複製並貼上用戶端 Id、租用戶 ID、回覆 URL 及公開金鑰
  7. 按一下[套用]

使用 Azure AD 帳戶登入 NAS

  1. 在登入 NAS 時,按一下[Azure SSO]

    Microsoft Pick an account (選擇帳戶) 的視窗隨即開啟。
  2. 選擇要登入 NAS 的帳戶。

這篇文章有幫助嗎?

31% 的人認為有幫助。
謝謝您,我們已經收到您的意見。

請告訴我們如何改進這篇文章:

如果您想提供其他意見,請於下方輸入。

選擇規格

      顯示更多 隱藏更多

      選擇其他偏好的語言:

      open menu
      back to top