群晖 DSM 7.1 SSO OIDC 配置过程

由于目前群晖不支持通过SSO获取到的用户信息进行自动创建新用户,所以只能先通过ldap或者ad域来进行用户身份供给,这里需要保证两边的用户能通过一个唯一值去进行关联,例如唯一用户名或者邮箱等。

接下来我们进行配置,先勾选启用,配置文件选择oidc(需要在你的SSO那边也新建一个oidc应用,这里就不演示了)

 

群晖 DSM 7.1 SSO OIDC 配置过程插图 名称即配置完后登陆界面上看到的名称,一般为SSO的名字

Wellknown URL 直接从SSO那边复制

应用程序ID、密钥同理

重定向URI填写当前群晖的登陆地址,需要注意http和https的端口和协议头不一样,一般建议填写https的,然后这个URI还需要再填写到你的SSO那边,两边保持一致

授权范围默认可不填,也可以参考我这个,具体还是看你的SSO

用户名声明,这个比较关键,这个就是上文提到的,能与你的用户唯一关联的值,这个如果不确定可以去翻一翻SSO的文档,或者是尝试自己去模拟一边登录SSO的过程,然后看一看最后一步获取用户信息的那个接口中有哪些字段

正常情况下,配置完以上信息后就结束了,但是这里还有个坑,如果你配置完毕后发现登陆失败,提示账号密码错误,那就是还需要修改一下id_token的签名算法为RS256,这个有的SSO默认是HS256的,所以就会失败。

群晖 DSM 7.1 SSO OIDC 配置过程插图1

 

然而群晖官方这里又没有给出任何说明材料,巨坑,都是最后自己到群晖里面抓包才发现的,也不知道是不是群晖实现上有什么Bug。

版权声明:本文采用知识共享 署名4.0国际许可协议BY-NC-SA 进行授权
文章作者:jiuhucn
文章链接:https://www.jiuhucn.com/2023/02/24/3204.html
免责声明:本站为资源分享站,所有资源信息均来自网络,您必须在下载后的24个小时之内从您的电脑中彻底删除上述内容;版权争议与本站无关,所有资源仅供学习参考研究目的,如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
本站为非盈利性站点,并不贩卖软件,不存在任何商业目的及用途,网站会员捐赠是您喜欢本站而产生的赞助支持行为,仅为维持服务器的开支与维护,全凭自愿无任何强求。

THE END
分享
二维码
打赏
< <上一篇
下一篇>>