시놀로지/헤놀로지 DSM에 OIDC를 이용한 SSO 연동하기.(Feat. Authentik)
안녕하세요. 오랜만에 DSM 관련 팁이네요 ㅎㅎ
언제추가 됐는지는 모르겠지만 시놀로지에서 이제 OIDC를 통한 SSO 로그인도 지원을하고있습니다!
요즘 OIDC를 지원하는 오픈소스 프로젝트들이 많아서 아주 좋은데요.
쉽게 말해 이미 사용하고있는 Open ID Connect 서비스가있다면 해당서비스의 계정으로 DSM도 사용가능하다는 뜻입니다.
저같은경우 Immich도 Authentik 과 연동해놓았고 Authentik 계정 하나로 DSM과 Immich 또 다른 서비스들과 모두 함께 사용이 가능해집니다.
(이미 Authentik 을 구축해봤기때문에 Authentik 계정으로 모두 통합되는것이죠. Authentik은 또 Google SSO이니 ㅎㅎ..)
아직 아쉬운점은 DSM에 계정이 있는사람만 SSO를 사용할 수 있다는점이네요 ㅠ
구축 환경
DSM 7.2.1
Authentik
Authentik에 Application 만들기
Client ID 와 Secret은 별도 저장
Redirect URIs 는 DSM 페이지 주소를 적어주시면 됩니다.
이렇게 Provider를 만들어줬으니 Application에 매핑해주시면됩니다.
이제 준비는 완료됐습니다.
Provider에서 well-known id 주소와 Client ID / Secret정도만 기록해주세요.
DSM에 OIDC 적용하기
이제 DSM에서 이 ODIC를 적용해주면 됩니다.
Synology NAS을(를) OIDC SSO 클라이언트로 설정하기:
- 제어판 > 도메인/LDAP > SSO 클라이언트로 이동합니다.
- OpenID Connect SSO 서비스 활성화 확인란을 선택합니다.
- OpenID Connect SSO 설정 버튼을 클릭합니다.
- 프로필 드롭다운 메뉴에서 OIDC를 선택합니다.
- 팝업 창의 필드에 정보를 지정합니다.
- 계정 유형: 로컬 사용자가 SSO를 통해 로그인할 수 있도록 하려면 드롭다운 메뉴에서 도메인/LDAP/로컬을 선택합니다. 디렉토리 사용자가 SSO를 통해 로그인할 수 있도록 하려면 드롭다운 메뉴에서 도메인/LDAP/로컬 또는 도메인/LDAP를 선택합니다.
- 이름: 사용자 지정 프로필 이름입니다. 이는 SSO 로그인 인터페이스에 표시됩니다.
- Well-known URL: 이 URL은 Synology NAS에 필요한 모든 IdP 정보를 제공합니다.
- 응용 프로그램 ID: Synology NAS의 고유 식별자입니다. 이를 종종 클라이언트 ID라고 합니다.
- 응용 프로그램 비밀: Synology NAS 및 IdP에서만 알 수 있는 개인 키입니다. 이를 통해 Synology NAS이(가) IdP에 인증할 수 있습니다.
- 리디렉션 URI: IdP가 인증 요청을 확인한 후 사용자가 리디렉션되는 Synology NAS의 URL입니다.
- 권한 부여 범위: 여기에는 액세스 토큰과 연결된 범위가 하나 이상 포함되어 있습니다. 이 설정에 따라 액세스 토큰을 사용하여 OAuth 2.0으로 보호되는 끝점에 액세스할 때 사용할 수 있는 리소스가 결정됩니다.
- 사용자 이름 클레임: 각 권한 부여 범위에서 반환된 사용자 속성의 집합입니다. 시스템은 이 정보를 사용하여 사용자를 식별합니다.
저장을 클릭하여 저장하고 팝업 창에서 나갑니다.
적용을 클릭하여 설정을 저장합니다.
이제 셋팅은 완료되었습니다.
로그인창에가서보시면 SSO 인증 탭이 생겼고
누르면 Authentik 인증으로 넘어가고 로그인됩니다.
로그인에도 SSO로 로그인했다고 나옵니다.
계정까지 함께 자동생성이 되면 좋을것같은데,, 이건 방법을 찾아봐야겠네요.
암튼 끝!