Directory Server SAML SSO auf Synology NAS mit Microsoft Entra ID (ehemals Azure AD) aktivieren

h3llghost · 24. Jul 2024

Ich stehe gerade vor der Herausforderung, dass ich auf dem RS1221RP+ die SAML SSO Authentifizierung nach der Anleitung von Synology einrichten wollte:

https://kb.synology.com/de-de/DSM/tutorial/How_to_activate_Entra_ID_SAML_SSO

Doch die Oberfläche meiner DSM unterscheidet sich schon von der Anleitung:

Ich kann zum Beispiel hier nicht auswählen wie die Response verifiziert werden soll.

Gibt es hier was zu beachten bzw. hat jemand damit schon Erfahrungen?

Anzeige · 24. Jul 2024

Hallo h3llghost,

Bücher und Hardware zum Thema gibt es bei Amazon: SAML SSO auf Synology NAS mit Microsoft Entra ID (ehemals Azure AD) aktivieren

joselito · 08. Aug 2024

Hi h3llghost,

in der Anleitung wird bei Schritt "3.3 Gehen Sie zu SAML -Zertifikate , stellen Sie Signierungsoption auf SAML -Antwort signieren und stellen Sie den Signierungsalgorithmus auf SHA-256 ein" konfiguriert, dann vermute ich mal, dass es am NAS auch so sein sollte.

Das Thema "SAML SSO mit Microsoft Entra ID" behandle ich seit ca. 3 Monaten direkt mit dem Synology-Support und es verläuft leider unterirdisch :-(
Ich scheitere im Authentifizierungversuch bei der Übergabe des Benutzernamens. Im NAS-Protokoll ist der Platzhalter immer leer.
Unklar ist für mich auch, dass man einen Entra Domain Service dafür nutzen muss der kostenpflichtig ist und ich nichts gefunden habe, um eine Vorstellung davon zu bekommen wie hoch die sein werden.

Aktuell nutze ich als Dockercontainer den ahaen/azuread-ldap-wrapper, denn da braucht es keinen kostenpflichtigen Entradienst, wäre aber an einer Umsetzung mit kostenfreier SAML-SSO-Variante interessiert. Schließlich kann man sich ohne weiteres mit Anwendungen, wie z.B. selbst gehostetem Guacamole, mit SAML-SSO gegen Entra authentifizieren.

Grüße

h3llghost · 10. Aug 2024

joselito schrieb:
in der Anleitung wird bei Schritt "3.3 Gehen Sie zu SAML -Zertifikate , stellen Sie Signierungsoption auf SAML -Antwort signieren und stellen Sie den Signierungsalgorithmus auf SHA-256 ein" konfiguriert, dann vermute ich mal, dass es am NAS auch so sein sollte.

Ja genau das fehlt mir auch. Ich versuche es auch schon über den Support, aber wie du schon festgestellt hast, der Support ist nicht gerade der Beste. Ich kann nicht beurteilen, ob es daran liegt, dass der First Level Support einfach nicht geschult ist oder nicht die richtigen Unterlagen zur Verfügung hat.

joselito schrieb:
Im NAS-Protokoll ist der Platzhalter immer leer.

Wie hast du das passende Protokoll gefunden? Ich habe jetzt noch nicht direkt gesucht, aber ich wollte es auch mal debuggen, weil es wäre jetzt nicht die erste SAML Anbindung mit Microsoft 365 für mich und ich kenne schon diverse Systeme, welche mit falscher Konfiguration ihre Tücken hatten.