AUTHENTIFICATION SUR VOTRE NAS SYNOLOGY

AVEC UN COMPTE GOOGLE (OIDC)

Plutôt mal documenté dans l'aide Synology, voici une méthode si vous souhaitez utiliser vos compte Google pour vous authentifier sur votre Synology. Les possibilités de configuration semblent multiples.

Les plateformes évoluant régulièrement, pour information, cette procédure date de juin 2022.

Les prérequis :

• Un compte Google Workspace. (dans mon cas il s'agit de l'ancienne G suite gratuite)

• Création d'un espace dans Google Cloud Plateform (gratuit)

• Un NAS Synology sous DSM v 7.1 minimum.

• Un domaine public sur lequel vous publiez votre NAS que ce soit votre propre domaine ou que vous publiez via synology.me.

• Rendez-vous sur https://console.cloud.google.com/, connectez-vous avec votre compte Google.

• Créez un nouveau projet, choisissez le nom (non visible des utilisateurs).

• Cliquez sur Créer.

• Un fois votre projet créé et sélectionné, allez dans le menu API et Services et Ecran de consentement

• Puisqu'il s'agit d'authentifier les utilisateurs de votre organisation, choisissez User Type Interne

• Cliquez sur créer.

• Saisissez les informations nécessaires

  • Nom de l'application : choisissez

  • Adresse e-mail d'assistance utilisateur : sélectionnez votre compte

  • Logo : choisissez un fichier 120px par 120 px (dans mon cas il ne s'affiche pas)

  • Page d'accueil de l'application et les liens : mettez vos url ou laissez vide

  • Domaines autorisés : mettez le domaine de publication du synology, (fonctionne avec synology.com)

  • Coordonnées du développeur : mettez votre email de contact pour recevoir les mails de Google sur l'évolution du service.

• Cliquez sur Enregistrer et Continuer.

• Cliquez sur Ajouter ou Supprimer des champs d'application

• Sélectionnez :

  • /auth.userinfo.email

  • /auth.userinfo.profile

  • ipenid

• Cliquez sur mettre à jour.

• Cliquez sur Enregistrer et Continuer.

• Toujours dans le module API et Services, allez dans le menu Identifiants

• Cliquez sur Créer des identifiants

• Choisissez ID Client OAuth

• Type d'application, choisissez Application Web

• Choisissez un nom : le but est de créer autant de comptes que d'applications mettez en nom en rapport avec votre NAS pour bien l'identifier.

• Ajoutez les URI de redirection : mettez l'URL de votre synology. Si vous publiez sur le port par défaut, le 5001, ajoutez bien :5001 (par ex : https://monnas.synology.me:5001). Vous pouvez mettre plusieurs URL.

• Cliquez sur Créer.

• La fenêtre suivante apparait avec les informations qui faudra reporter sur votre NAS. Vous pouvez les retrouver en sélectionnant le compte créé.

Les actions sont terminées côté GCP (Google Cloud Plateform)

• Sur votre NAS Synology, installez le package LDAP Server de Synology.

• Ouvrez-le.

• Cochez Activer le serveur LDAP.

• Saisissez le FQDN, j'ai choisi de mettre mon domaine pour que l'identifiant soit comme l'email mais ce n'est pas obligatoire.

• Le mot de passe qui sera demandé pour rejoindre de domaine.

• Cliquez sur Appliquer.

• La page vous affiche les informations Base DN et Bind DN qu'il faudra reporter dans les paramètres LDAP du Syno.

• Toujours dans l'application LDAP Server, allez dans le menu Gestion des utilisateurs

• Cliquez sur Créer.

• Nom : mettez soit le préfixe de l'adresse mail de l'utilisateur (ex : prenom.nom) ce qui donnera la forme de votre adresse mail à votre login, soit le nom (last name) de votre compte Google Workspace.

• Courrier électronique : l'adresse mail du compte

• Et malgré tout, un mot de passe.

• Affectez l'utilisateur dans le groupe qui lui convient le mieux.

• Cliquez sur OK.

• Dans le panneau de configuration, allez dans le menu Domaine/LDAP

• Cliquer sur rejoindre.

• Saisissez l'adresse du serveur LDAP (comme c'est lui-même, mettez 127.0.0.1)

• Cliquez sur Suivant.

• Saisissez les informations Bind DN et Base DN

• Le mot de passe que vous avez mis à la création du domaine.

• Chiffrement, sélectionnez SSL/TLS.

• Cliquez sur Suivant.

• Allez dans l'onglet Client SSO toujours dans le menu Domaine/LDAP du panneau de configuration.

• Cochez Activer le service OpenID Connect SSO.

• Cliquer sur Paramètres SSO OpenID Connect.

• Choisissez le profil OIDC

• Mettez un nom

• Wellknown URL, mettez : https://accounts.google.com/.well-known/openid-configuration

• L'ID d'application et l'application Key du compte que vous avez créé dans GCP.

• URI de redirection : mettez l'URL d'accès à votre syno qui doit être identique à celle autorisée dans le compte GPC.

• Portée de l'autorisation et la ligne suivante, mettez : email. Cela impose que vous ayez renseigné le préfixe de l'adresse mail du compte google de l'utilisateur dans le nom du compte LDAP créé. Il est possible de mapper le nom de famille du compte google, il faut renseigner la portée de l'autorisation avec profil et revendication d'un nom d'utilisateur à family_name. Dans ce cas le nom de famille doit être le même dans le compte Google et le compte LDAP créé.

• Cliquez sur Sauvegarder.

• Dans votre navigateur, allez sur la page d'ouverture de votre NAS.

• Vous observerez qu'un second onglet s'est ajouté avec le nom de configuration que vous avez mis.

• Cliquez sur la flèche.

• Une fenêtre Google s'ouvre pour vous authentifier, sélectionnez un compte déjà utilisé sur votre machine ou cliquez sur utiliser un autre compte

• Suivez le processus classique d'authentification de Google.

La première que je trouve est si vous utilisez cette authentification pour le rôle d'administrateur du Syno, car sur certaines actions vous devez saisir le mot de passe du compte et c'est celui du compte LDAP. Donc pour ce rôle, pas de vrai gain à une authentification unique.

La seconde limite est que cela ne fonctionne qu'en mode web, les applications mobiles Synology ne le supporte pas pour l'instant.