在企业场景中,若部署多台 Synology DSM 设备(如办公 NAS、备份 NAS、分支 NAS),传统 “每台 DSM 单独登录” 的方式会带来两大痛点:一是 IT 管理员需为员工维护多套账号密码,管理成本高;二是员工频繁忘记不同 DSM 的登录信息,操作效率低。而通过 Synology SSO Server(单点登录服务器)结合 SAML(安全断言标记语言)协议,可实现 “一次登录,访问所有 DSM 设备” 的单点登录(SSO)效果 —— 员工只需在 SSO Server 验证身份,即可无缝访问授权的 DSM,无需重复输入密码。但多数 IT 管理员不清楚 “如何将 SSO Server 配置为 SAML IdP(身份提供商)”“DSM 作为 SP(服务提供商)该如何设置”,甚至因元数据导入错误、属性映射不当导致配置失败。本文基于 Synology 官方技术文档,从 “基础认知→前置准备→IdP 配置→SP 配置→验证登录”5 个维度,提供企业级 SAML 单点登录落地指南,确保多 DSM 设备实现高效、安全的统一登录。
一、先搞懂:SAML 与 SSO Server 的核心逻辑?为什么企业需要配置?
在动手配置前,需先明确 SAML 协议与 Synology SSO Server 的角色定位,避免因概念混淆导致操作偏差:
1. 核心概念:SAML 协议的 “IdP 与 SP” 分工
SAML(Security Assertion Markup Language)是企业级单点登录的主流协议,通过 “身份提供商(IdP)” 与 “服务提供商(SP)” 的协作实现统一登录,在 Synology 场景中的分工如下:
- IdP(身份提供商):由 Synology SSO Server 担任,负责 “身份验证”—— 员工在此输入统一账号密码(如企业域账号),验证通过后生成 “身份断言”(含用户权限、角色信息);
- SP(服务提供商):由各台 Synology DSM 担任,负责 “资源访问控制”——DSM 不直接验证密码,而是接收 IdP 发送的 “身份断言”,验证合法性后允许用户登录(无需再输 DSM 密码);
- 核心流程:员工访问 DSM(SP)→DSM 跳转至 SSO Server(IdP)→IdP 验证身份→IdP 发送断言至 DSM→DSM 验证断言并允许登录,全程仅需一次密码输入。
2. 企业配置 DSM SAML 单点登录的 3 大核心价值
对部署多 DSM 设备的企业而言,SAML 单点登录能显著提升管理效率与安全性:
- 降低管理成本:IT 管理员仅需在 SSO Server 维护一套员工账号,无需为每台 DSM 单独创建账号,减少 80% 的账号管理工作量;
- 提升员工效率:员工无需记忆多套 DSM 账号密码,一次登录即可访问所有授权的 DSM 设备(如办公 DSM、备份 DSM),操作步骤从 “N 次登录” 简化为 “1 次登录”;
- 增强安全性:支持 “多因素认证(2FA)”(如 SSO Server 启用安全密钥、短信验证),且可统一管控登录权限(如员工离职时,在 SSO Server 禁用账号,所有 DSM 同步失效,避免权限残留)。
二、前置准备:配置前必做的 4 件事,避免因条件缺失导致失败
Synology SAML 单点登录对 “软件版本、账号权限、网络连通性” 有明确要求,未满足会导致配置中断或功能缺失,需逐一确认:
三、核心步骤 1:配置 Synology SSO Server 作为 SAML IdP(身份提供商)
这是单点登录的 “身份验证核心”,需在 IdP NAS(安装 SSO Server 的 NAS)上完成 SAML 配置、元数据导出,步骤如下(以 DSM 7.x 为例):
步骤 1:启用 SSO Server 的 SAML 服务
- 登录 IdP NAS(如 192.168.1.100)的 DSM,打开「Synology SSO Server」套件;
- 点击左侧菜单栏「SAML→身份提供商(IdP)」,进入 IdP 配置页面;
- 点击「启用 SAML 身份提供商」,系统会自动生成 “IdP 实体 ID”(如 “https://192.168.1.100:5001/sso/saml/idp/metadata”)和 “签名证书”(用于加密身份断言,防止篡改);
- (可选,企业推荐)上传自定义证书:若企业有 CA 签发的 SSL 证书,点击「导入证书」,上传证书文件(.pem 格式),增强安全性;若无,使用系统自动生成的证书即可;
- 点击「保存」,SSO Server 的 SAML IdP 服务正式启用。
步骤 2:创建 SAML 服务提供者(SP)信任条目(添加 DSM 设备)
需在 IdP 中添加各 SP(DSM)的信任关系,确保 IdP 仅向授权的 DSM 发送身份断言:
- 在「SAML→身份提供商(IdP)」页面,点击「添加服务提供者(SP)」;
- 在 “基本信息” 页面,输入 SP(DSM)的关键信息:
- SP 名称:自定义名称(如 “办公 DSM”,便于识别);
- SP 实体 ID:输入 DSM 的 SAML 实体 ID(格式:https://DSM的IP:5001/saml/metadata,如 “https://192.168.1.101:5001/saml/metadata”);
- 断言消费者服务 URL(ACS URL):DSM 接收身份断言的地址(格式:https://DSM的IP:5001/saml/acs,如 “https://192.168.1.101:5001/saml/acs”);
- (可选)单点登录服务 URL:默认与 ACS URL 一致,无需修改;
- 点击「下一步」,进入 “属性映射” 页面(核心:将 IdP 的用户属性映射到 SP);
- 系统默认映射 “用户名”(IdP 的 “username” 映射到 SP 的 “NameID”),满足基本登录需求;
- (企业进阶)若需映射用户组(如 IdP 的 “财务组” 映射到 DSM 的 “财务组”),点击「添加属性」,设置 “IdP 属性” 为 “group”,“SP 属性” 为 “Group”,点击「保存」;
- 点击「下一步」,进入 “权限设置” 页面,选择允许登录的用户 / 组:
- 勾选 “允许所有用户”(简单场景),或 “指定用户组”(如仅允许 “办公组” 用户登录该 DSM);
- 点击「完成」,该 DSM(SP)的信任条目添加完成,IdP 已认可该 DSM 为授权的服务提供者。
步骤 3:导出 IdP 元数据(用于导入到 SP)
IdP 元数据含 IdP 的 SAML 端点、证书信息,需导出后导入到各 SP(DSM):
- 在「SAML→身份提供商(IdP)」页面,点击「导出元数据」;
- 选择保存路径(如 IdP NAS 的 “元数据备份” 共享文件夹),文件名设为 “IdP_Metadata.xml”,点击「确定」;
- (可选)验证元数据完整性:用记事本打开导出的 “IdP_Metadata.xml”,确认文件包含
等标签(无乱码、无缺失),确保后续导入 SP 时能正常解析。
四、核心步骤 2:配置 Synology DSM 作为 SAML SP(服务提供商)
每台需要实现单点登录的 DSM,都需作为 SP 导入 IdP 元数据,配置 SAML 登录,步骤如下(以 DSM 7.x 为例,多 DSM 设备重复此步骤):
步骤 1:启用 DSM 的 SAML 服务
- 登录目标 DSM(如办公 DSM,IP:192.168.1.101),进入「控制面板→安全性→单点登录(SSO)」;
- 点击「启用 SAML 服务提供商(SP)」,系统会自动生成 DSM 的 “SP 实体 ID” 和 “ACS URL”(需与 IdP 配置时输入的一致,若不一致需修改 IdP 的 SP 信任条目);
- (可选)导出 SP 元数据:点击「导出元数据」,保存为 “SP_Metadata_Office.xml”,可导入到 IdP(用于 IdP 自动识别 SP 信息,简化 IdP 配置);
- 点击「保存」,DSM 的 SAML SP 服务启用。
步骤 2:导入 IdP 元数据(建立与 IdP 的信任)
- 在 DSM 的「单点登录(SSO)」页面,点击「添加身份提供商(IdP)」;
- 选择 “导入方式”:推荐「通过元数据文件导入」(更准确,避免手动输入错误);
- 点击「浏览」,选择之前从 IdP 导出的 “IdP_Metadata.xml” 文件,点击「下一步」;
- 系统自动解析元数据,显示 “IdP 实体 ID”“单点登录服务 URL”“签名证书” 等信息,确认与 IdP 配置一致后,点击「下一步」;
- 配置 “用户映射”(关键:关联 IdP 用户与 DSM 用户):
- 映射方式:选择 “按用户名映射”(默认,IdP 的用户名需与 DSM 的用户名一致,如 IdP 的 “user1” 对应 DSM 的 “user1”);
- (企业进阶)若 IdP 用户名与 DSM 用户名不同,选择 “按属性映射”,设置 “IdP 属性” 为 “email”,“DSM 属性” 为 “电子邮件”,通过邮箱关联用户;
- 点击「下一步」,配置 “登录选项”:
- 勾选「允许用户通过 SAML 登录」(必选);
- (可选)勾选「默认登录方式为 SAML」(用户访问 DSM 时直接跳转至 IdP 登录,无需选择登录方式);
- (可选)保留「允许本地账号登录」(备用,避免 SAML 配置失败后无法登录 DSM);
- 点击「完成」,IdP 元数据导入成功,DSM 与 IdP 的信任关系建立。
五、关键验证:测试 DSM SAML 单点登录是否生效
配置完成后,需用测试账号(如 “user1”)验证登录流程,确保单点登录正常:
步骤 1:发起 SAML 登录
- 打开浏览器,输入 DSM(SP)的登录地址(如 “https://192.168.1.101:5001”);
- 若勾选 “默认登录方式为 SAML”,页面会自动跳转至 SSO Server(IdP)的登录页面;
- 若未勾选默认,点击登录页面下方的「通过 SAML 登录」,手动跳转至 IdP。
步骤 2:IdP 身份验证
- 在 SSO Server 登录页面,输入测试账号 “user1” 的密码(IdP 的统一密码,非 DSM 密码);
- (若启用 2FA)完成多因素认证(如输入手机验证码、插入安全密钥);
- 验证通过后,页面自动跳转回 DSM(SP)。
步骤 3:确认 DSM 登录成功
- 跳转回 DSM 后,无需再输入密码,直接进入 DSM 桌面;
- 验证权限:访问 DSM 中的共享文件夹(如 “办公文档”),确认 “user1” 的权限与配置一致(如仅能读取,无法删除);
- 多设备测试:用相同账号登录另一台配置好 SAML 的 DSM(如备份 DSM),确认无需重复输入密码,直接登录成功,单点登录生效。
六、常见问题解答:DSM SAML 单点登录配置的 5 大高频问题(官方方案)
Q1:配置后访问 DSM,跳转 IdP 登录成功,但返回 DSM 时提示 “身份断言验证失败”,怎么办?
- 原因:1. IdP 与 SP 的系统时间差超过 5 分钟(SAML 断言有时间有效期,默认 5 分钟);2. IdP 的签名证书未被 SP 信任;3. 断言中的 “SP 实体 ID” 与 DSM 的 SP 实体 ID 不一致;
- 解决步骤:
- 同步系统时间:确保 IdP NAS 与所有 SP NAS 的系统时间一致(建议开启「控制面板→日期和时间→与 NTP 服务器同步」,使用同一 NTP 服务器,如 “ntp.aliyun.com”);
- 验证证书信任:在 SP DSM 的「单点登录→IdP 列表」,点击 IdP 名称→「查看证书」,确认证书未过期且与 IdP 导出的一致;
- 核对 SP 实体 ID:在 IdP 的「SAML→SP 列表」,查看该 DSM 的 “SP 实体 ID”,与 SP DSM 的「单点登录→SP 信息」中的 “SP 实体 ID” 完全一致(含 IP、端口、路径,区分 http/https)。
Q2:IdP 登录成功后,跳转回 DSM 提示 “未找到匹配的本地用户”,怎么处理?
- 原因:SAML 用户映射失败 ——IdP 传递的用户名 / 属性,在 DSM 中无对应的本地用户(如 IdP 的用户是 “user1@company.com”,DSM 中仅存在 “user1”);
- 解决:
- 检查用户映射配置:在 SP DSM 的「单点登录→IdP 列表→编辑」,确认 “用户映射” 方式正确;
- 方式 1(按用户名映射):确保 IdP 的用户名与 DSM 的本地用户名完全一致(如均为 “user1”,无邮箱后缀);
- 方式 2(按属性映射):若 IdP 传递的是邮箱,在 DSM 中为本地用户 “user1” 配置相同的电子邮件(「控制面板→用户与群组→user1→编辑→电子邮件」);
- 重建本地用户:若上述方法无效,在 DSM 中删除原 “user1”,重新创建与 IdP 用户名一致的本地用户。
Q3:企业有多台 DSM 设备,每台都要手动配置 SP,有没有批量配置方法?
- 官方推荐批量方案:通过 DSM 的 “配置备份与还原” 功能,实现 SP 配置批量部署;
- 操作步骤:
- 先在 1 台 DSM(如 “模板 DSM”)上完成 SP 配置(导入 IdP 元数据、设置用户映射);
- 备份模板 DSM 的 SAML 配置:进入「控制面板→备份和还原→配置备份→备份配置」,勾选 “单点登录(SSO)”,导出配置文件(如 “SSO_SP_Template.dss”);
- 还原到其他 DSM:在目标 DSM 的「备份和还原→配置还原」,导入 “SSO_SP_Template.dss”,仅勾选 “单点登录(SSO)”,点击「还原」;
- 修改差异化信息:还原后,进入目标 DSM 的「单点登录→SP 信息」,确认 “SP 实体 ID”“ACS URL” 与目标 DSM 的 IP 一致,若不一致手动修改。
Q4:想禁用某员工的 SAML 登录权限,该在 IdP 还是 SP 中操作?
- 官方建议:在 IdP(SSO Server)中操作,实现 “一次禁用,所有 SP 同步失效”,避免在多 SP 中重复操作;
- 操作步骤:
- 登录 IdP NAS 的「Synology SSO Server」;
- 进入「用户→选择目标员工(如 “user2”)」;
- 点击「编辑→登录权限」,取消勾选「允许通过 SAML 登录」,或直接禁用该用户账号;
- 验证效果:该员工再访问任何 SP(DSM),跳转 IdP 后会提示 “无登录权限”,无法进入 DSM。
Q5:DSM 6.x 配置 SAML 时,找不到 “单点登录(SSO)” 入口,怎么办?
- 原因:DSM 6.x 的 SAML 配置入口与 7.x 不同,且需先安装 “Synology SSO Client” 套件(7.x 已集成,无需单独安装);
- DSM 6.x 配置步骤调整:
- 在 DSM 6.x 中安装 “Synology SSO Client” 套件(「套件中心」搜索安装);
- 进入「控制面板→安全性→SSO Client」,后续步骤(启用 SP、导入 IdP 元数据、用户映射)与 7.x 一致;
- 注意:DSM 6.x 不支持 “按属性映射用户组”,仅支持 “按用户名映射”,企业进阶需求建议升级至 DSM 7.x。
七、进阶安全加固:企业级 SAML 单点登录的 3 个关键设置
为提升 SAML 登录的安全性,避免身份泄露或未授权访问,企业用户需额外配置以下 3 项设置:
1. 启用 IdP 的多因素认证(2FA)
在 SSO Server(IdP)中启用 2FA,为单点登录增加 “第二道防线”:
- 登录 IdP NAS→「Synology SSO Server→安全→多因素认证」;
- 勾选「启用多因素认证」,选择认证方式(如 “安全密钥”“Synology Authenticator”“短信验证”);
- 强制所有用户启用 2FA:勾选「新用户默认启用 2FA」「现有用户 30 天内必须启用 2FA」;
- 点击「保存」,后续员工登录 IdP 时,需先输入密码,再完成 2FA 验证,防止账号密码泄露后被滥用。
2. 限制 SP 的 SAML 登录 IP 范围
仅允许企业内网 IP 访问 DSM 的 SAML 登录,禁止外网未授权访问:
- 在 SP DSM→「控制面板→安全性→防火墙」;
- 点击「新增规则」,设置规则名称(如 “SAML 登录 IP 限制”);
- 配置规则:
- 服务:选择 “HTTPS(443)”“DSM(5001)”(SAML 登录使用的端口);
- 来源 IP:输入企业内网 IP 段(如 “192.168.1.0/24”);
- 动作:选择 “允许”;
- 新增 “拒绝所有” 规则:在上述规则后,新增规则 “来源 IP = 所有,动作 = 拒绝”,确保仅内网 IP 能通过 SAML 登录 DSM。
3. 定期轮换 SAML 签名证书
避免证书长期使用导致泄露风险,建议每 6 个月轮换一次 IdP 签名证书:
- 在 IdP NAS→「Synology SSO Server→SAML→IdP」;
- 点击「重新生成证书」,系统生成新证书;
- 导出新的 IdP 元数据(“IdP_Metadata_New.xml”);
- 在所有 SP(DSM)中,删除旧 IdP 条目,导入新元数据,完成证书更新;
- 记录轮换时间,设置日历提醒下次轮换。
总结
Synology DSM SAML 单点登录的核心价值是 “统一身份、简化登录、强化安全”,企业配置的关键是 “正确分工 IdP 与 SP”——SSO Server 负责身份验证,DSM 负责资源访问,通过元数据导入建立信任,通过用户映射确保权限匹配。对多 DSM 设备的企业而言,这套方案能显著降低管理成本,提升员工效率,且通过 2FA、IP 限制等加固措施,可满足企业级安全需求。
Synology DSM SAML 单点登录配置教程:SSO Server 作为 IdP 完整步骤(2024)
相关文章
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司