一、前言:Entra ID SAML SSO—— 解决企业 DSM 多账号管理的 “效率痛点”

对于使用Synology DSM搭建企业存储与协作系统的用户而言,“多账号分散管理” 是长期困扰:员工需记住 DSM 独立账号、同时管理 Office 365(Entra ID 关联账号)等多个系统密码,不仅增加记忆负担,还可能因密码复杂度不足引发安全风险。而激活 Entra ID SAML SSO(单点登录)功能,恰好能解决这一痛点 —— 员工只需通过企业 Entra ID 账号(如 Office 365 账号),即可一键登录 DSM,无需重复输入密码,同时实现 “账号权限统一管控”(Entra ID 账号禁用后,DSM 权限同步失效)。
Synology DSM 激活 Entra ID SAML SSO的核心是建立 “Entra ID 身份认证” 与 “DSM 权限授权” 的关联,需严格遵循 “Entra ID 应用注册→DSM SAML 配置→用户映射验证” 的流程。本文严格依据 Synology 官方《How to activate Entra ID SAML SSO》技术文档,从前提准备到分步配置,再到故障排查,全程拆解操作细节,即使是初次接触单点登录的 IT 管理员,也能快速完成企业级 SAML SSO 部署。

二、前提准备:4 大核心条件,确保配置前不踩坑

在启动 SAML SSO 配置前,需先确认 DSM 版本、Entra ID 权限、网络环境等是否达标,这是配置成功的基础,缺一不可:

1. 确认版本与权限兼容性

组件
最低要求
检查 / 获取方法
Synology DSM 版本
7.0.1-42218 及以上(推荐 7.2.x 最新版)
登录 DSM→控制面板→系统→系统信息,查看 “DSM 版本”
Entra ID 账号权限
拥有 “全局管理员” 或 “应用程序管理员” 权限(需注册企业应用)
登录 Microsoft Entra ID 管理中心→用户→查看 “角色分配”,确认权限等级
DSM 管理员权限
需 DSM “admin” 或 “属于管理员组” 的账号(用于启用 SAML SSO 功能)
登录 DSM→控制面板→用户与群组→查看账号所属用户组
网络环境
DSM 需能访问 Entra ID 服务(需开放 outbound 443 端口,禁用代理拦截)
登录 DSM→控制面板→网络→网络工具→ping “login.microsoftonline.com”,确认连通性

2. 准备关键信息与工具

信息 / 工具名称
获取途径
用途
Entra ID 租户 ID
登录 Entra ID 管理中心→租户设置→租户信息,复制 “租户 ID”(如 “xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”)
用于 DSM 识别 Entra ID 租户,建立认证连接
DSM 访问 URL
企业内部访问用 DSM 局域网 IP(如 “https://192.168.1.100:5001”),外部访问用 DDNS 域名(如 “https://nas.company.com:5001”)
作为 Entra ID “回复 URL”,认证成功后跳转回 DSM 的地址
文本编辑器(如 Notepad)
本地电脑安装,用于临时保存 Entra ID 元数据 URL、证书等信息
避免配置过程中反复切换页面查找信息,提升效率
HTTPS 证书
DSM 需已配置有效 HTTPS 证书(自签名或 CA 颁发,推荐 Let’s Encrypt 免费证书)
SAML SSO 强制要求 HTTPS 加密传输,HTTP 环境下无法启用

三、Step 1:Entra ID 端配置 —— 注册 DSM 应用并获取认证信息

Entra ID 是 SAML SSO 的 “身份认证源”,需先注册 DSM 为 “企业应用”,生成 SAML 认证所需的元数据、证书等关键信息:

1. 登录 Entra ID 管理中心并注册应用

  1. 打开浏览器,访问Microsoft Entra ID 管理中心,用拥有 “全局管理员” 权限的账号登录;
  1. 在左侧导航栏中,依次点击 “应用程序→企业应用程序→新建应用程序”;
  1. 在 “浏览 Microsoft Entra Gallery” 页面,搜索 “Synology DSM”(官方已收录的应用模板,无需手动配置 SAML 参数),点击搜索结果进入应用详情页;
  1. 输入 “应用名称”(如 “Synology DSM - 技术部”,便于区分多部门应用),点击 “创建”,系统开始自动创建应用(约 1-2 分钟),创建完成后跳转至应用 “概览” 页面。

2. 配置 SAML 认证参数(核心步骤)

  1. 在应用左侧菜单中,点击 “单一登录”,在 “选择单一登录方法” 中,选择 “SAML”;
  1. 进入 “SAML 基本配置” 页面,点击 “编辑”,添加 DSM 的 “回复 URL” 和 “标识符(实体 ID)”:
    • 回复 URL(Assertion Consumer Service URL):输入 DSM 的 HTTPS 访问地址,格式为 “https://DSM访问URL/saml/acs”(如 “https://192.168.1.100:5001/saml/acs”);
    • 标识符(实体 ID):输入 DSM 的唯一标识,格式为 “https://DSM访问URL”(如 “https://192.168.1.100:5001”);
    • 点击 “保存”,系统提示 “基本 SAML 配置已更新”。

3. 获取 SAML 认证关键信息(DSM 配置需用到)

配置完成后,需记录 3 类信息,后续在 DSM 中导入:
  1. SAML 元数据 URL:
  1. 应用 ID(Client ID):
    • 返回应用 “概览” 页面,复制 “应用程序 (客户端) ID”(如 “yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy”);
  1. 登录 URL:
    • 在 “设置单一登录” 页面,复制 “登录 URL”(如 “https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/saml2”)。

四、Step 2:DSM 端配置 —— 启用 SAML SSO 并关联 Entra ID

DSM 作为 SAML SSO 的 “服务提供方(SP)”,需导入 Entra ID 的认证信息,建立身份映射关系,步骤如下:

1. 启用 DSM SAML SSO 功能

  1. 登录 DSM(用管理员账号),打开 “控制面板”,在左侧菜单中找到 “域 / LDAP”,切换到 “SSO” 选项卡;
  1. 勾选 “启用 SAML SSO”,在 “身份提供商(IdP)类型” 下拉菜单中,选择 “Microsoft Entra ID”;
  1. 点击 “导入 IdP 元数据”,选择 “通过 URL 导入”,粘贴 Step 1 中获取的 “SAML 元数据 URL”,点击 “下一步”;
    • 若导入失败(如网络拦截),可手动下载 Entra ID 元数据 XML 文件(访问元数据 URL,保存为.xml),选择 “通过文件导入” 上传;
  1. 系统自动解析元数据,填充 “IdP 登录 URL”“IdP 实体 ID”“IdP 证书” 等信息,无需手动输入,点击 “下一步”。

2. 配置 DSM SAML 参数与用户映射

  1. 配置 SP 参数:
    • “SP 实体 ID”:默认填充 DSM 访问 URL(需与 Entra ID 中配置的 “标识符” 一致,如 “https://192.168.1.100:5001”);
    • “ACS URL”:默认填充 “https://DSM访问URL/saml/acs”(需与 Entra ID 中 “回复 URL” 完全一致,包括端口号);
    • 勾选 “启用单点登出”(可选,实现 Entra ID 登出后 DSM 同步登出),点击 “下一步”。
  1. 配置用户映射规则(关键!决定 Entra ID 账号能否匹配 DSM 用户):
    • “IdP 用户属性”:选择 Entra ID 中用于匹配 DSM 用户的属性,推荐 “userPrincipalName”(即 Entra ID 账号的邮箱格式,如 “user@company.com”);
    • “DSM 用户属性”:选择 DSM 中对应的匹配属性,需与 “IdP 用户属性” 格式一致,推荐 “用户名”(若 DSM 用户名为邮箱格式)或 “电子邮件”;
    • 点击 “测试映射”,输入一个已存在的 Entra ID 账号(如 “test@company.com”)和对应的 DSM 账号(如 “test”),点击 “验证”,提示 “映射成功” 说明规则有效;
    • 验证通过后,点击 “下一步”。

3. 分配 DSM SSO 权限(控制哪些用户可通过 Entra ID 登录)

  1. 在 “SSO 用户权限” 页面,选择允许通过 SAML SSO 登录的用户 / 用户组:
    • 推荐按 “用户组” 分配:点击 “添加”,选择 “用户组”(如 “技术部”),勾选 “允许通过 SAML SSO 登录”;
    • 若需限制个别用户:选择 “用户”,单独勾选权限;
  1. 点击 “应用” 保存所有配置,DSM 端 SAML SSO 配置完成,系统提示 “需重启 DSM 服务生效”,点击 “确定”,等待 DSM 自动重启(约 1-2 分钟)。

五、Step 3:验证 Entra ID SAML SSO 登录(确保配置生效)

配置完成后,需通过 “管理员测试→普通用户测试” 两步验证,确保不同权限用户均能正常登录:

1. 管理员账号测试(优先验证配置正确性)

  1. 打开新的浏览器窗口(或隐私模式),输入 DSM 访问 URL(如 “https://192.168.1.100:5001”);
  1. 此时 DSM 登录页面会新增 “通过 Entra ID 登录” 按钮(蓝色,位于常规登录框下方),点击该按钮;
  1. 自动跳转至 Entra ID 登录页面,输入拥有 DSM 管理员权限的 Entra ID 账号(如 “admin@company.com”)和密码;
  1. 若配置正确,登录成功后会自动跳转回 DSM 桌面,右上角显示 “通过 SAML SSO 登录”,说明管理员测试通过。

2. 普通用户账号测试(验证权限匹配)

  1. 用 Entra ID 管理中心,为一个普通用户(如 “staff@company.com”)分配 “Synology DSM” 企业应用权限(应用→企业应用→选择 DSM 应用→用户和组→添加用户);
  1. 用该普通用户的 Entra ID 账号,重复 Step 1 的登录步骤;
  1. 登录成功后,检查该用户在 DSM 中的权限(如能否访问 “技术部共享文件夹”),确认与预配置的 DSM 用户权限一致,说明普通用户测试通过。

六、常见问题与解决方案:SAML SSO 配置的 6 大高频痛点

1. 问题 1:点击 “通过 Entra ID 登录” 后,跳转提示 “回复 URL 不匹配”

  • 原因:DSM 中配置的 “ACS URL” 与 Entra ID 中 “回复 URL” 不一致(如 DSM 用 IP,Entra ID 用域名;或端口号缺失);
  • 解决:
    1. 分别检查 Entra ID“应用→单一登录→基本 SAML 配置” 中的 “回复 URL”,与 DSM“域 / LDAP→SSO→ACS URL”;
    1. 确保两者完全一致(包括 “http/https”“IP / 域名”“端口号”),修改后重新测试登录。

2. 问题 2:Entra ID 登录成功后,跳转回 DSM 提示 “用户映射失败”

  • 原因:Entra ID 的 “userPrincipalName” 与 DSM 用户属性不匹配(如 Entra ID 账号是 “user@company.com”,DSM 用户名是 “user123”);
  • 解决:
    1. 登录 DSM→控制面板→用户与群组,确认目标用户的 “用户名” 或 “电子邮件” 是否与 Entra ID 的 “userPrincipalName” 一致;
    1. 若无法修改 DSM 用户名,在 DSM“SSO 配置→用户映射” 中,将 “IdP 用户属性” 改为 “sAMAccountName”(Entra ID 的短账号,如 “user”),重新测试映射。

3. 问题 3:普通用户通过 Entra ID 登录后,无任何共享文件夹权限

  • 原因:未在 DSM 中为该用户 / 用户组分配 SAML SSO 权限,或 Entra ID 未分配应用权限;
  • 解决:
    1. 登录 DSM→域 / LDAP→SSO→SSO 用户权限,确认该用户 / 组已勾选 “允许通过 SAML SSO 登录”;
    1. 登录 Entra ID 管理中心→应用→DSM 应用→用户和组,确认该用户已在 “已分配用户” 列表中,若未添加则点击 “添加用户” 完成分配。

4. 问题 4:导入 Entra ID 元数据时提示 “网络连接失败”

  • 原因:DSM 无法访问 Entra ID 元数据 URL(可能是防火墙拦截 443 端口,或代理配置错误);
  • 解决:
    1. 登录 DSM→控制面板→网络→代理,确认 “启用代理服务器” 未勾选(或已配置代理能访问外网);
    1. 进入 DSM “网络工具”,ping “login.microsoftonline.com”,若无法 ping 通,检查企业防火墙是否开放 “outbound 443 端口”,放行 Entra ID 相关域名(如 “*.microsoftonline.com”)。

七、注意事项:5 个关键操作准则,保障 SAML SSO 长期稳定

  1. HTTPS 证书定期更新:DSM 的 HTTPS 证书过期后,SAML SSO 会因 “不安全连接” 中断,需提前 30 天通过 “控制面板→安全性→证书” 更新证书(推荐用 Let’s Encrypt 自动续期);
  1. Entra ID 账号权限同步:若员工离职,需先在 Entra ID 中禁用该账号,再在 DSM 中删除对应用户 —— 仅禁用 Entra ID 账号,即可阻止其通过 SAML SSO 登录 DSM,无需重复操作;
  1. 避免多浏览器同时登录:同一用户用 “常规账号” 和 “SAML SSO” 同时登录不同浏览器,可能导致 DSM 权限冲突,建议统一使用 SAML SSO 登录;
  1. 测试环境优先验证:企业级部署前,先在测试 DSM(非生产环境)中完成配置与测试,确认无问题后再推广到生产环境,避免影响业务;
  1. 备份 SAML 配置:登录 DSM→控制面板→更新与还原→配置备份,定期备份系统配置,包含 SAML SSO 参数,避免配置丢失后需重新部署。

八、总结:Entra ID SAML SSO 的核心价值与适用场景

Synology DSM 激活 Entra ID SAML SSO的核心价值,在于 “统一身份认证 + 简化权限管理”:对员工而言,减少密码记忆负担,提升登录效率;对 IT 管理员而言,实现 “一次账号管控(Entra ID),多系统同步生效”,降低运维成本。尤其适合以下场景:
  • 企业已部署 Office 365(默认关联 Entra ID),需统一 DSM 登录账号;
  • 员工数量≥50 人,多账号管理成本高;
  • 对数据安全要求高,需实现 “账号禁用后权限即时失效”。
通过本文的分步配置,企业可快速完成 Entra ID SAML SSO 部署,关键是确保 “Entra ID 与 DSM 的 URL、用户属性完全匹配”,遇到问题时优先排查 URL 一致性与权限分配。若需更复杂的配置(如多 Entra ID 租户关联),可参考 Synology 官方《企业级 SAML SSO 部署指南》,或联系技术支持获取定制化方案。
Synology DSM 激活 Entra ID SAML SSO 教程:企业单点登录配置与故障排查

新闻中心

联系我们

技术支持

  • ·

    Synology 无法访问共享文...

  • ·

    Synology NAS Win...

  • ·

    如何用 DiXiM Media ...

  • ·

    Synology DSM常规设置...

  • ·

    Active Backup fo...

  • ·

    Synology NAS打开Of...

  • ·

    Synology Migrati...

  • ·

    Synology Office多...

相关文章

地址:北京市海淀区白家疃尚品园             1号楼225

北京群晖时代科技有限公司

联系群晖
微信咨询