Synology SSO Server配置Okta SAML全指南：DSM 7.x步骤+属性映射+故障速解

在企业IT环境中，员工常需切换Okta（统一身份平台）与Synology NAS账户，分别访问云端应用与本地存储服务，不仅降低工作效率，还增加密码管理成本。通过Synology SSO Server配置Okta SAML单点登录（SSO），可实现“一次登录Okta，无缝访问Synology服务（如File Station、GitLab）”，既简化操作流程，又通过Okta的集中身份管理提升安全管控能力。但多数用户因不熟悉SAML协议的IdP（身份提供商）与SP（服务提供商）交互逻辑、Synology SSO属性映射规则，或Okta应用配置细节，导致出现“登录无响应”“用户信息同步失败”“证书验证错误”等问题。本文基于Synology官方技术文档，从“前提准备→Synology IdP配置→Okta SP配置→测试验证→故障解决”五大维度，手把手完成Okta与Synology SSO的SAML集成，覆盖DSM 7.x全版本，兼顾企业级安全需求与实操落地性。

一、前提准备：4大核心条件，奠定SAML集成基础

SAML SSO配置对环境版本、权限、证书有严格要求，基础条件不满足会直接导致后续步骤失败，需优先核查，确保无卡点。

1. 环境与版本适配（必须达标，功能缺一不可）

| 组件                | 版本要求                          | 说明                                  |

|---------------------|-----------------------------------|---------------------------------------|

| Synology DSM        | DSM 7.0及以上版本                 | DSM 6.2及以下版本SSO Server无完整SAML IdP功能，需升级 |

| Synology SSO Server | 2.0.0及以上版本                   | 从“套件中心→所有套件”搜索安装，安装后需更新至最新版 |

| Okta                | Okta Identity Cloud（企业版/开发者版） | 需支持SAML 2.0协议，开发者版可通过Okta官网免费申请 |

| 网络环境            | Okta与Synology SSO可互通（公网/局域网） | 局域网集成需确保双方IP可达，公网访问需配置DSM端口转发（443端口） |

- 版本检查方法： 

- DSM版本：登录DSM→点击右上角“问号”图标→“关于DSM”，确认版本号（如DSM 7.2.1-69057 Update 4）； 

- SSO Server版本：进入“套件中心→已安装”，找到“SSO Server”查看版本； 

- Okta版本：登录Okta控制台→点击右上角“问号”→“About Okta”，确认是否为支持SAML的版本。

2. 权限准备：2类关键管理员权限（缺一不可）

| 操作对象                | 所需权限                          | 获取方式                                  |

|-------------------------|-----------------------------------|-------------------------------------------|

| Synology SSO Server     | DSM超级管理员权限（如admin账户）  | 由NAS管理员分配，需具备“套件管理”“用户管理”“安全配置”权限 |

| Okta                    | Okta Admin（组织管理员权限）      | 由Okta组织创建者分配，需具备“应用管理”“用户管理”“SAML配置”权限 |

3. 证书准备：确保SAML通信加密（生产环境推荐CA证书）

SAML协议通过证书验证身份合法性，防止数据传输中被篡改，需提前准备合规证书：

- 推荐方案（生产环境）：使用第三方CA签发的SSL证书（如Let’s Encrypt、DigiCert），需与Synology SSO Server的访问域名绑定（如“sso.yourcompany.com”）； 

- 临时方案（测试环境）：使用Synology自签名证书，需在Okta控制台导入该证书的公钥，避免验证失败； 

- 证书获取与配置步骤： 

1. 登录DSM→“控制面板→安全→证书”→点击“新增”； 

2. 选择“从Let’s Encrypt获取证书”（推荐），输入域名并完成验证，或选择“创建自签名证书”； 

3. 证书创建后，确保默认应用于“SSO Server”（在“证书→设置默认证书”中选择）。

4. 提前记录关键信息（减少后续配置错误）

| 信息类别                | 需记录的内容                          | 用途                                  |

|-------------------------|-----------------------------------|---------------------------------------|

| Synology SSO访问地址    | DSM的HTTPS域名（如https://sso.yourcompany.com） | 作为Okta SAML的回调地址前缀            |

| Okta组织URL             | Okta登录域名（如https://yourcompany.okta.com） | 配置Synology IdP的SP元数据地址          |

| Synology用户属性        | 用户名（uid）、邮箱（mail）、姓名（displayName） | 用于SAML属性映射，确保Okta与Synology用户信息同步 |

二、核心步骤一：Synology SSO Server配置SAML身份提供商（IdP）

Synology SSO Server作为SAML流程中的“身份源头”（IdP），需完成IdP创建、属性映射、元数据导出，为Okta提供身份验证依据。

步骤1：打开SSO Server并进入IdP配置页面

1. 登录Synology DSM→在桌面找到“SSO Server”套件图标（蓝色盾牌标识），双击打开； 

2. 在左侧导航栏中，点击“身份提供商（IdP） ”→“创建IdP”（若已有IdP，需新建专用IdP用于Okta集成，避免冲突）。

步骤2：配置IdP基础信息（关键参数，错误会导致集成失败）

1. 在“创建IdP”页面，按以下要求填写基础配置： 

- IdP名称：自定义命名（如“Okta-Integration-IdP”，便于后续识别）； 

- 协议版本：默认选择“SAML 2.0”（Okta仅支持SAML 2.0协议，不可修改）； 

- 证书：从下拉菜单选择提前准备的SSL证书（CA证书或自签名证书，需与SSO访问域名匹配）； 

- 默认语言：选择“中文（简体）”或“English”，不影响功能逻辑； 

- 签名算法：默认“SHA-256”（Okta推荐算法，无需修改）； 

2. 点击“下一步”，进入“属性映射”配置页面（核心环节，确保Okta能获取正确的用户信息）。

步骤3：配置SAML属性映射（Okta必填字段）

Okta需通过SAML获取Synology用户的“唯一标识（NameID）”“邮箱”等字段，需按以下规则映射Synology用户属性：

1. 点击“新增”，依次添加3个必填属性（可参考下表）：

| SAML属性类型       | SP属性名（Okta接收的字段名） | IdP属性名（Synology用户属性） | 配置说明                                  |

|--------------------|------------------------------|--------------------------------|-------------------------------------------|

| NameID（唯一标识） | NameID                       | mail（用户邮箱）               | 推荐用邮箱作为唯一标识，避免用户名重复问题 |

| 普通属性           | email                        | mail                           | Okta用户的登录邮箱，需与Synology用户邮箱一致 |

| 普通属性           | username                     | uid                            | Okta显示的用户名，对应Synology登录名      |

2. 单个属性配置示例（以“email”属性为例）： 

- 点击“新增”→在“属性类型”中选择“普通属性”； 

- “SP属性名”输入“email”（需与Okta后续配置的字段名完全一致，区分大小写）； 

- “IdP属性名”从下拉菜单选择“mail”（Synology用户的邮箱属性，系统预设）； 

- “默认值”留空（无需填写，直接读取用户实际属性）； 

- 点击“确定”完成该属性添加； 

3. 重复上述操作，添加“username”属性与“NameID”属性（NameID配置时需在“属性类型”选择“NameID”）； 

4. 所有属性添加完成后，点击“下一步”→“完成”，Synology IdP创建成功。

步骤4：导出IdP元数据（后续导入Okta）

1. 在“身份提供商（IdP）”列表中，找到刚创建的“Okta-Integration-IdP”，点击右侧“操作”→“导出元数据”； 

2. 在弹出的窗口中，选择“XML格式”（Okta仅支持XML格式元数据），点击“下载”，将元数据文件（如“idp-metadata.xml”）保存到本地电脑； 

- 关键提示：元数据文件包含IdP地址、证书公钥等敏感信息，需妥善保存，避免泄露给未授权人员。

三、核心步骤二：Okta配置SAML服务提供商（SP）

Okta作为SAML流程中的“服务接收方”（SP），需创建SAML应用、导入Synology IdP元数据、配置回调地址，实现与Synology SSO的身份交互。

步骤1：登录Okta控制台并创建SAML应用

1. 打开浏览器，访问Okta组织URL（如https://yourcompany.okta.com），使用Okta Admin账户登录； 

2. 在左侧导航栏中，点击“Applications”→“Applications”→“Create App Integration”； 

3. 在“Create a new app integration”窗口中： 

- 选择“SAML 2.0”（SAML协议类型）； 

- 点击“Next”进入应用配置页面。

步骤2：配置应用基础信息与IdP元数据

1. 应用基础信息设置： 

- “App name”输入自定义名称（如“Synology SSO Integration”）； 

- “App logo”（可选）：上传Synology或企业logo，便于用户识别； 

- 点击“Next”进入SAML设置页面。 

2. 导入Synology IdP元数据（自动填充关键参数，减少手动错误）： 

- 在“Configure SAML”页面，找到“Import IdP metadata”模块； 

- 点击“Browse files”，选择本地保存的“idp-metadata.xml”文件，点击“Upload”； 

- 系统会自动填充“IdP Entity ID”“IdP Single Sign-On URL”“IdP Certificate”三个核心参数（无需手动修改，若未自动填充，需检查元数据文件完整性）。

步骤3：配置SAML关键参数（回调地址与属性映射）

1. 回调地址（Single Sign-On URL）配置： 

- 在“Application ACS URL”字段中，输入Synology SSO的回调地址，格式为：`https://DSM域名/sso/saml/callback`（如https://sso.yourcompany.com/sso/saml/callback）； 

- “Use this for Recipient URL and Destination URL”勾选（将回调地址同时作为接收方URL与目标URL）； 

- “Audience URI (SP Entity ID)”输入Synology SSO的Entity ID，可从IdP元数据中提取（打开元数据文件，搜索“entityID”，复制对应值，如https://sso.yourcompany.com/sso/idp/metadata）。 

2. NameID格式配置： 

- 在“Name ID format”下拉菜单中，选择“EmailAddress”（与Synology IdP的NameID属性“mail”对应，确保唯一标识一致）； 

- “Application username”选择“Email”（与NameID格式匹配）。 

3. 属性映射配置（与Synology IdP对应）： 

- 在“Attribute Statements (Optional)”模块，点击“Add Attribute”； 

- 按以下表格添加属性（确保与Synology IdP的SP属性名一致）：

| Okta用户属性（Source） | SAML属性名（Name） | 命名空间（Namespace，可选） | 说明                                  |

|-------------------------|---------------------|------------------------------|---------------------------------------|

| user.email              | email               | 留空                         | 对应Synology IdP的“email”属性          |

| user.login              | username            | 留空                         | 对应Synology IdP的“username”属性       |

4. 点击“Next”，完成SAML配置。

步骤4：分配Okta用户/组（确保用户有权访问应用）

1. 在Okta应用页面，点击“Assignments”→“Assign”→“Assign to People”； 

2. 搜索并选择需访问Synology服务的Okta用户（或“Assign to Groups”批量分配组）； 

3. 点击“Assign”→“Save and Go Back”，完成用户分配（未分配的用户无法通过Okta登录Synology SSO）。

四、步骤三：测试SAML SSO登录（验证集成是否成功）

集成完成后需通过“管理员测试→普通用户测试”两步验证，确保登录流程正常、用户信息同步无误，避免实际使用时出现故障。

1. 管理员测试（验证配置正确性）

1. 退出当前Okta与Synology登录状态； 

2. 访问Okta组织URL，登录Okta Admin账户； 

3. 在Okta应用列表中，找到“Synology SSO Integration”应用，点击“Sign in”（触发SAML SSO流程）； 

4. 若自动跳转至Synology服务页面（如File Station登录成功），且右上角显示Okta同步的用户名/邮箱，说明管理员测试通过。

2. 普通用户测试（验证权限与属性同步）

1. 在Synology DSM中创建1个普通用户（如“okta-user1”），配置邮箱（需与Okta用户邮箱一致），并分配“File Station使用权限”； 

2. 在Okta中为“okta-user1”分配“Synology SSO Integration”应用（参考步骤三-步骤4）； 

3. 使用“okta-user1”登录Okta，点击Synology应用“Sign in”； 

4. 验证要点： 

- 能否成功登录Synology服务（如仅能访问已授权的File Station文件夹）； 

- 进入Synology“控制面板→用户与群组”，确认“okta-user1”的邮箱、用户名与Okta信息一致。

五、常见问题解答：解决SAML集成的5类高频故障

1. Q：Okta点击“Sign in”后，跳转至Synology提示“无效的SAML响应”，怎么办？

A：多为属性映射错误或NameID格式不匹配，解决步骤： 

1. 检查Synology IdP属性映射：进入SSO Server→编辑IdP→“属性映射”，确认“NameID”属性名是“mail”，且Okta的NameID格式为“EmailAddress”； 

2. 检查Okta属性映射：进入Okta应用→“SAML Configuration”，确认“Attribute Statements”的“Name”与Synology IdP的SP属性名一致（如“email”“username”无拼写错误）； 

3. 重新导出Synology IdP元数据，在Okta中重新导入，确保元数据未过期。

2. Q：Synology SSO登录提示“用户无访问权限”，但Okta已分配应用，原因是什么？

A：Synology用户未获取对应服务权限，解决方法： 

1. 登录Synology DSM→“控制面板→用户与群组”→选中Okta同步用户（如“okta-user1”）； 

2. 点击“编辑”→“应用权限”，为用户分配需访问的Synology服务（如“File Station”“GitLab”），勾选“使用”权限； 

3. 保存后，用户重新通过Okta登录，即可正常访问。

3. Q：Okta导入IdP元数据时提示“证书无效”，如何处理？

A：证书未被Okta信任或格式错误，解决步骤： 

1. 若使用Synology自签名证书： 

- 登录DSM→“控制面板→安全→证书”→选中证书→点击“导出”，选择“导出公钥”（格式为PEM）； 

- 进入Okta应用→“SAML Configuration”→“IdP Certificate”→点击“Upload Certificate”，导入公钥文件； 

2. 若使用CA证书：确认证书未过期（查看DSM证书的“有效期”），且证书链完整（从CA根证书到服务器证书无缺失）。

4. Q：SSO登录成功，但Synology服务显示“用户名不存在”，怎么办？

A：Okta用户邮箱与Synology用户邮箱不一致，解决步骤： 

1. 检查Okta用户邮箱：进入Okta→“Users→People”→选中用户，确认“Email”字段； 

2. 检查Synology用户邮箱：进入DSM→“控制面板→用户与群组”→选中对应用户，确认“电子邮件”与Okta邮箱完全一致（区分大小写，无空格）； 

3. 若不一致，修改Synology用户邮箱或Okta用户邮箱，确保两者统一。

5. Q：DSM 7.x SSO Server中“身份提供商（IdP）”选项灰色不可见，原因是什么？

A：SSO Server版本过低或权限不足，解决方法： 

1. 升级SSO Server：进入“套件中心→已安装→SSO Server”，点击“更新”，确保版本≥2.0.0； 

2. 切换管理员账户：使用DSM默认“admin”账户登录，普通管理员账户可能缺少“IdP配置权限”，需重新分配权限（控制面板→用户与群组→编辑账户→应用权限→SSO Server→勾选“管理”）。

六、总结与维护建议：确保SAML SSO长期稳定

Synology SSO Server集成Okta SAML的核心是“IdP与SP元数据同步+属性映射精准+权限分配完整”——IdP配置需保证用户属性正确传递，SP配置需确保回调地址与证书无误，测试环节需覆盖不同权限用户，避免遗漏。

后续维护关键要点：

1. 证书定期更新：CA证书过期前1个月，在DSM中更新证书，重新导出IdP元数据并导入Okta，避免证书验证失败； 

2. 用户属性变更同步：若Okta或Synology用户的邮箱、用户名修改，需同步更新双方属性，确保SAML唯一标识一致； 

3. 日志排查：登录失败时，查看Synology SSO日志（SSO Server→“日志→身份验证日志”）与Okta日志（Okta→“Reports→System Log”），定位错误原因（如“属性缺失”“证书过期”）； 

4. 权限定期审计：每季度检查Okta应用分配情况与Synology服务权限，移除无效用户，避免权限泄露。

若您在操作中遇到“Okta应用无法创建”“Synology SSO公网访问失败”等问题，可参考Synology官方文档（https://kb.synology.cn/zh-cn/DSM/tutorial/set_up_saml_for_okta_in_sso_server）获取型号适配细节，或告诉我您的DSM版本与Okta组织类型，我帮您定制解决方案。

需要我为您整理一份Synology SSO-Okta SAML配置checklist吗？包含前提确认清单、IdP/SP配置要点、属性映射表及故障排查步骤，方便您实操时逐点核对，避免遗漏关键环节。