情シス仕事の備忘録

自身の備忘録を兼ねて、情シス仕事で役に立ちそうな情報を掲載しています

Microsoft Entra ID ⇒ Synology NAS SSO設定(SAML)

Microsoft社が提供するクラウドベースの認証サービス「Microsoft Entra ID」のアプリケーション統合の機能である、SAML(Security Assertion Markup Language)によるシングルサインオン(SSO)を使用して、Synology NASにサインインする設定方法を紹介します。

・操作環境:
 ・OS:Windows 11
 ・Webブラウザー:Edge
・使用プラン:Microsoft 365 Business Premium(Microsoft Entra ID P1を包含)
・NAS機器:Synology DS416(DSM7.2.2/HDD×3/RAID-5)

※Microsoft Entra IDにドメイン参加しない場合の設定方法となります。

 

 

はじめに

Synology社の公式記事に画面イメージ付きの分かりやすい手順が掲載されています。ただし、説明と画面イメージが不一致の箇所が一部あったため、私の備忘録を兼ねてこの記事で手順を紹介します。
※Entra ID ⇒ SynologyのSAML SSOに関する公式記事:Microsoft Entra ID (旧 Azure AD) を使用してSynology NASでSAML SSOをアクティベートする方法 - Synology ナレッジセンター

SAML設定の大まかな流れは、以前の記事(Entra ID ⇒ Google WorkspaceのSAML設定)で紹介したのと同じです。SAML証明書の更新方法は本記事では割愛しますが、以前の記事で紹介した手順と殆ど同じなので、確認したい場合はそちらを参考にしてください。

私が実機確認したSynology DS416のDSM7.1.1ですと、SAMLの設定項目が表示されませんでした。DSMのバージョンを7.2.2以上にする必要があるようです。
DSMのアップデートはDSM管理画面の[コントロールパネル>更新と復元]から実施します。この画面メニュー上で自動アップデートが行われない場合は、Synology社のダウンロードセンターから更新ファイル(**.pat)をダウンロードし、手動更新を行います。

 

MS Entra管理センターでSAMLの設定を行う

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>アプリケーション>エンタープライズアプリケーション]を選択し、サブメニューの[すべてのアプリケーション]を選択し、[新しいアプリケーション]を選択します。
※Microsoft Entra管理センター:Microsoft Entra admin center

 

[独自のアプリケーションの作成]を選択します。

 

以下の通り設定し、[作成]を選択します。
・アプリ名:(適宜設定)
・操作:ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)

 

設定ウィザードが表示されたら、[1.ユーザーとグループの割り当て]を選択します。
※サブメニューの[ユーザーとグループ]でも構いません

 

[ユーザーまたはグループの追加]を選択します。

 

[ユーザーとグループ]の[選択されていません]を選択します。
この例ではアプリを組織内のメンバが使用することとし、internal_membersグループとadmin_membersグループに割り当てます。

 

割り当てたグループのメンバーは、マイアプリの画面にこのアプリのアイコンが表示されるようになります。
割り当てが完了したら、サブメニューの[シングルサインオン]を選択します。

 

[SAML]を選択します。

 

[①基本的なSAML構成]の右上の[編集]を選択します。

 

[識別子の追加]および[応答URLの追加]を選択し、それぞれSynologyのDSM画面のURLを入力し、[保存]を選択します。
・DSM画面:https://{synologyのデバイス名}:{ポート番号}/

 

[②属性とクレーム]の右上の[編集]を選択します。

 

[一意のユーザー識別子(名前ID)]を選択します。

 

以下の通り設定を変更し、[保存]を選択します。
・名前識別子の形式:指定なし
・ソース属性:user.displayname
初期設定はSynologyのユーザー名にUPNを使用する形ですが、表示名に変更しています。ドメイン未設定時のSynologyのユーザー名に@が使用できないため、このような設定にしています。

 

[③SAML証明書]の右上の[編集]を選択します。

 

以下の通り設定を変更し、[保存]を選択します。
・署名オプション:SAML応答への署名
・署名アルゴリズム:SHA-256

 

[③SAML証明書]の[証明書(Base64)]の[ダウンロード]から、証明書ファイルをダウンロードします。
[④Synologyのセットアップ]の[ログインURL]と[Microsoft Entra識別子]のコピーアイコンを選択し、この値を控えておきます。
※③の証明書ファイルと④の控えた値は次の工程で使用します

 

Synology DSM管理画面でSAMLの設定を行う

Webブラウザーの別タブにてDSM管理画面にアクセスし、デスクトップアイコンの[コントロールパネル]を選択し、[ファイルの共有>ドメイン/LDAP]を選択します。

 

[SSOクライアント]タブを選択し、[SAML SSOサービス]を有効化のチェックをつけ、[SAML SSO設定]を選択します。

 

以下の通り設定し、[保存]を選択します。
・名前:(適宜入力)
・アカウントタイプ:ドメイン/LDAP/ローカル
・SPエンティティID: SynologyのDSM画面のURL
・IdpエンティティID:(前の工程の最後に控えた[Microsoft Entra識別子]の値)
・IdpシングルサインオンURL:(前の工程の最後に控えた[ログインURL]の値)
・応答署名認証:SAML応答に署名
・証明書:(前の工程の最後にダウンロードした証明書ファイルを選択)

 

水色背景箇所にEntraのSSOに関する情報が表示されたら、[適用]を選択します。

 

EntraとSynologyのユーザー名を確認する(念のため)

SSOの動作確認を行う前に、念のため、Microsoft Entra IDのユーザーの表示名とSynologyのユーザー名が一致しているか確認します。

Microsoft Entra IDのユーザーの表示名は、同管理センターの左メニューの[ID>ユーザー>すべてのユーザー]にて確認します。

 

Synologyのユーザー名は、DSM管理画面の[コントロールパネル]の[ユーザーとグループ]にて確認します。


Microsoft Entra IDのユーザーの表示名とSynologyのユーザー名が不一致の場合は、設定を修正します。

 

マイアプリからSAMLの動作確認を行う

組織ユーザーでPCにサインインし、Webブラウザーからマイアプリにアクセスし、[Synology]を選択します。
※マイアプリ:My Apps
※この例ではシステム管理者のアカウントを使用しています

 

[SSO認証]を選択し、[→]を選択します。

 

ユーザー名とパスワードを入力することなく、Synologyにアクセスできました。

 

おわりに

この記事のように、組織が認証基盤としてMicrosoft Entra IDを使用しており、かつSynologyの操作がWeb経由でも問題なければ、SAMLの設定をしておくとユーザー名/パスワード入力の手間が省けて良いと思います。