IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

2024-11-06 2025-12-20

【Microsoft Entra ID⇒Synology NAS】SSO設定(SAML)

NAS インフラ

【Microsoft Entra ID⇒Synology NAS】SSO設定(SAML)

Microsoft社が提供するクラウドベースの認証サービス「Microsoft Entra ID」のアプリケーション統合の機能である、SAML(Security Assertion Markup Language)によるシングルサインオン(SSO)を使用して、Synology NASにサインインする設定方法を紹介します。

操作環境：

OS：Windows 11
Webブラウザー：Edge

使用プラン：Microsoft 365 Business Premium(Microsoft Entra ID P1を包含)
NAS機器：Synology DS416(DSM7.2.2/HDD×3/RAID-5)

*Microsoft Entra IDにドメイン参加しない場合の設定方法となります

設定手順、対応DSMバージョン
Entra管理C SAML設定
NAS SAML設定
Entra・NASのユーザー名確認
SAML動作確認
おわりに

設定手順、対応DSMバージョン

Synology社の公式記事に画面イメージ付きの分かりやすい手順が掲載されています。ただし、説明と画面イメージが不一致の箇所が一部あったため、私の備忘録を兼ねてこの記事で手順を紹介します。

SAML設定の大まかな流れは、以前の記事(【Microsoft Entra ID⇒Google WS】SSO設定2(SAML))で紹介したのと同じです。SAML証明書の更新方法は本記事では割愛しますが、以前の記事で紹介した手順と殆ど同じなので、確認したい場合はそちらを参考にしてください。

私が実機確認したSynology DS416のDSM7.1.1ですと、SAMLの設定項目が表示されませんでした。DSMのバージョンを7.2.2以上にする必要があるようです。
DSMのアップデートはDSM管理画面の[コントロールパネル>更新と復元]から実施します。この画面メニュー上で自動アップデートが行われない場合は、Synology社のダウンロードセンターから更新ファイル(**.pat)をダウンロードし、手動更新を行います。

図表1-1 DSMのバージョンアップ

Entra管理C SAML設定

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>アプリケーション>エンタープライズアプリケーション]を選択し、サブメニューの[すべてのアプリケーション]を選択し、[新しいアプリケーション]を選択します。

図表2-1 Entra管理センターのエンタープライズアプリ登録へ

[独自のアプリケーションの作成]を選択します。

図表2-2 エンタープライズアプリ登録(独自アプリ選択)

以下の通り設定し、[作成]を選択します。

アプリ名：(適宜設定)
操作：ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)

図表2-3 エンタープライズアプリ登録(アプリ作成)

設定ウィザードが表示されたら、[1.ユーザーとグループの割り当て]を選択します。

*サブメニューの[ユーザーとグループ]でも構いません

図表2-4 エンタープライズアプリ登録(割り当てへ)

[ユーザーまたはグループの追加]を選択します。

図表2-5 エンタープライズアプリ登録(グループ追加へ)

[ユーザーとグループ]の[選択されていません]を選択します。
この例ではアプリを組織内のメンバが使用することとし、internal_membersグループとadmin_membersグループに割り当てます。

図表2-6 エンタープライズアプリ登録(グループ選択)

割り当てたグループのメンバーは、マイアプリの画面にこのアプリのアイコンが表示されるようになります。
割り当てが完了したら、サブメニューの[シングルサインオン]を選択します。

図表2-7 エンタープライズアプリ登録(割り当て実行,確認)

[SAML]を選択します。

図表2-8 エンタープライズアプリ登録(SSO方式選択)

[①基本的なSAML構成]の右上の[編集]を選択します。

図表2-9 エンタープライズアプリ登録(基本的なSAML構成設定へ)

[識別子の追加]および[応答URLの追加]を選択し、それぞれSynologyのDSM画面のURLを入力し、[保存]を選択します。

DSM画面：https://{synologyのデバイス名}:{ポート番号}/

図表2-10 エンタープライズアプリ登録(基本的なSAML構成設定)

[②属性とクレーム]の右上の[編集]を選択します。

図表2-11 エンタープライズアプリ登録(属性とクレーム設定へ)

[一意のユーザー識別子(名前ID)]を選択します。

図表2-12 エンタープライズアプリ登録(属性とクレーム設定)

以下の通り設定を変更し、[保存]を選択します。

名前識別子の形式：指定なし
ソース属性：user.displayname

初期設定はSynologyのユーザー名にUPNを使用する形ですが、表示名に変更しています。ドメイン未設定時のSynologyのユーザー名に@が使用できないため、このような設定にしています。

図表2-13 エンタープライズアプリ登録(属性とクレーム設定の続き)

[③SAML証明書]の右上の[編集]を選択します。

図表2-14 エンタープライズアプリ登録(SAML証明書設定へ)

以下の通り設定を変更し、[保存]を選択します。

署名オプション：SAML応答への署名
署名アルゴリズム：SHA-256

図表2-15 エンタープライズアプリ登録(SAML証明書設定)

[③SAML証明書]の[証明書(Base64)]の[ダウンロード]から、証明書ファイルをダウンロードします。
[④Synologyのセットアップ]の[ログインURL]と[Microsoft Entra識別子]のコピーアイコンを選択し、この値を控えておきます。

*③の証明書ファイルと④の控えた値は次の工程で使用します

図表2-16 エンタープライズアプリ登録(証明書取得,必要な値の確認)

NAS SAML設定

Webブラウザーの別タブにてDSM管理画面にアクセスし、デスクトップアイコンの[コントロールパネル]を選択し、[ファイルの共有>ドメイン/LDAP]を選択します。

図表3-1 DSM管理画面のドメイン/LDAPメニューへ

[SSOクライアント]タブを選択し、[SAML SSOサービス]を有効化のチェックをつけ、[SAML SSO設定]を選択します。

図表3-2 SSOサービス有効化

以下の通り設定し、[保存]を選択します。

名前：(適宜入力)
アカウントタイプ：ドメイン/LDAP/ローカル
SPエンティティID： SynologyのDSM画面のURL
IdpエンティティID：(前の工程の最後に控えた[Microsoft Entra識別子]の値)
IdpシングルサインオンURL：(前の工程の最後に控えた[ログインURL]の値)
応答署名認証：SAML応答に署名
証明書：(前の工程の最後にダウンロードした証明書ファイルを選択)

図表3-3 SSOサービスの設定

水色背景箇所にEntraのSSOに関する情報が表示されたら、[適用]を選択します。

図表3-4 SSOサービスの設定の適用

Entra・NASのユーザー名確認

SSOの動作確認を行う前に、念のため、Microsoft Entra IDのユーザーの表示名とSynologyのユーザー名が一致しているか確認します。

Microsoft Entra IDのユーザーの表示名は、同管理センターの左メニューの[ID>ユーザー>すべてのユーザー]にて確認します。

図表4-1 Entra管理センターのユーザーの表示名確認

Synologyのユーザー名は、DSM管理画面の[コントロールパネル]の[ユーザーとグループ]にて確認します。

図表4-2 DSM管理画面のユーザー名確認

Microsoft Entra IDのユーザーの表示名とSynologyのユーザー名が不一致の場合は、設定を修正します。

SAML動作確認

組織ユーザーでPCにサインインし、Webブラウザーからマイアプリにアクセスし、[Synology]を選択します。

*この例ではシステム管理者のアカウントを使用しています

図表5-1 マイアプリ画面からSynologyを選択

[SSO認証]を選択し、[→]を選択します。

図表5-2 DSMアクセスでSSO認証を選択

ユーザー名とパスワードを入力することなく、Synologyにアクセスできました。

図表5-3 SSO認証をサインイン成功

おわりに

この記事のように、組織が認証基盤としてMicrosoft Entra IDを使用しており、かつSynologyの操作がWeb経由でも問題なければ、SAMLの設定をしておくとユーザー名/パスワード入力の手間が省けて便利です。

当ブログ内の関連記事

elmgrn.hatenablog.com

©2024-2025 elmgrn All rights reserved.

トップに戻る