Synology SSO avec compte Microsoft; possible ou pas ?

[François38]

Bonjour

Pour usage strictement domestique, nous avons récemment mis en place à la maison un petit DS220j (2x2To, en RAID 0) .

Pour l'instant l'usage est le stockage des photos ("bruts de capteur" et versions retouchées) et la démat de la cdthèque. (en cours ...)

L'accès aux fichiers se fait via SMB pour 3 PC sous Windows (10 & 11) ainsi que via les DMR DLNA. (il y aussi deux RPi pour lesquels je vais configurer un accès ultérieurement)

Nous sommes deux personnes; j'ai donc créé trois compte locaux sur le NAS : un admin, et deux comptes pour moi et ma compagne.

Or, pour accéder à nos PC nous utilisons des comptes Microsoft (pas des comptes locaux).

Est il possible d'utiliser nos comptes MS pour accéder au NAS ?

Si oui, comment configurer cela ?

Merci par avance (en espérant avoir été à peu près clair).

 

[Yannick_G]

Hello @François38,

Dans le cadre d’un usage domestique, le SSO (Single Sign-On) ne s’applique pas.
Il n’est donc pas possible d’utiliser directement vos comptes Microsoft pour accéder au NAS, l’accès doit se faire via des comptes locaux créés sur le NAS.

Cette procédure devrait aider pour connecter un lecteur réseau :

Appuie sur Windows + E pour ouvrir l'explorateur de fichier.

Dans le menu de gauche, clique sur "Ce PC".

En haut, clique sur "..." (trois points) puis "Connecter un lecteur réseau".

Sélectionne une lettre disponible dans la liste déroulante (par exemple Z:).

Dans le champ Dossier, tape :
\\IP_DU_NAS\nom_du_partage

Coche "Reconnecter à la connexion" si tu veux que le lecteur soit monté automatiquement à chaque démarrage.

Coche "Se connecter en utilisant des informations d’identification différentes"

Clique sur "Terminer".
Si demandé, entre ton nom d’utilisateur et mot de passe réseau. (celui du NAS).

 

[François38]

Merci pour ta réponse; donc SSO impossible avec compte MS (je m'en doutais un peu, mais bon j'espérais un contournement avec OAUTH2 ou autre).

Sinon, non, je n'ai aucun problème pour le mapping des lecteur réseaux avec les comptes locaux, mais merci quand même.

 

[Yannick_G]

Merci pour ta réponse; donc SSO impossible avec compte MS (je m'en doutais un peu, mais bon j'espérais un contournement avec OAUTH2 ou autre).

Sinon, non, je n'ai aucun problème pour le mapping des lecteur réseaux avec les comptes locaux, mais merci quand même.

Tu souhaitais prioritairement utiliser le SSO, je n’avais pas compris cela au départ.
Avec le paquet SSO Server, il y a probablement moyen de mettre en place une solution.
A vérifier si les comptes Hotmail ou Outlook permettent ce type d’intégration. Tout dépend des services proposés par Microsoft pour ces comptes, ainsi que des capacités d’authentification du NAS...

Sorry !

 

[François38]

Tu souhaitais prioritairement utiliser le SSO, je n’avais pas compris cela au départ.
Avec le paquet SSO Server, il y a probablement moyen de mettre en place une solution.

Je n'ai pas été forcément limpide dans la formulation de ma question.

Je vais regarder du coté du paquet SSO Server, voire ce qu'il est possible de faire avec.

Il faut néanmoins que je ne casse rien car j'ai un peu "détourné" les comptes MS pour utiliser mes licences OneDrive pour synchroniser sur le cloud 3 des répertoires du NAS (c'est à dire que le NAS utilise 3 comptes MS créée "ad-hoc" uniquement pour la synchro OneDrive).

 

[François38]

Bon, je viens de parcourir en diagonal la doc du SSO Server et non, pas moyen a priori d'utiliser les comptes MS (le problème semble plus coté MS qui, pour les comptes perso, ne semble pas rendre public une API d'authentification).

Par contre, je retiens le principe car il peut être utile si jamais nous trouvons d'autres usage au NAS et décidons d'en ajouter un deuxième : le package SSO Server semble pouvoir utiliser, entre autre, un mode spécifique dit Synology SSO, où Synology est fournisseur d'identité, ce qui, si je comprends bien, permettrait de ne pas multiplier les comptes entre les NAS. A voir en détail le cas échéant.

Donc je reste comme je suis pour l'instant mais je garde le principe sous le coude au cas où mon IT maison connait une expansion coté NAS.

 

[Yannick_G]

Oui, je confirme, j’ai aussi bûché le sujet hier soir.
J'pense qu' en gros, le package SSO Server sur Syno permet surtout de mettre en place une authentification unique centralisée pour des services internes. (pratique quand t'as plusieurs applis / outils qui veulent utiliser le même système de login...)
Nous, nous souhaitions effectuer l'inverse et pour 2 utilisateurs seulement. #MyBad
C'est un peu détourné l'outil de sa fonction première.

En tout cas, merci pour ton retour !

 

[bliz]

même en utilisant le package synology directory server ?

 

[François38]

Ah celui là je n'ai pas regardé !

Je vais y jeter un œil.

 

[Yannick_G]

Non, c'est mort, car il te faudrait établir une relation de confiance entre ton Active Directory (que tu ne possèdes pas) et celui de Microsoft
(ce que Microsoft ne permet pas) , et cela supposerait en plus que les comptes mail soient intégrés à un Active Directory.

 

[François38]

même en utilisant le package synology directory server ?

Bon, je viens de regarder rapidement, et en effet, on peut faire travailler le NAS en DC ! Je vais regarder plus en détails., avant de faire un big bang de mon installation.

Y-a-t-il aussi un package pour faire le café ?

Plaisanterie à part, je découvre, comme dit dans ma présentation, depuis quelques jours ce matos et je suis partagé entre deux impressions contradictoires :
- d'une part les possibilités offertes que je trouve vraiment surprenantes (surtout pour un truc que j'ai acheté 150€ d'occasion avec ses disques)
- d'autre part la simplicité technique qui me parait très relative pour l'utilisateur lambda

Par ailleurs si la doc des quelques packages que j'ai utilisés jusque là (principalement Cloud Sync et Server Multimedia) est vraiment limpide, je trouve qu'il manque un peu un truc du type "quel paquet pour faire quoi". (je n'aurais pas eu l'idée d'aller chercher Directory Server par exemple).

Message automatiquement fusionné : Mardi à 13:30

Non, c'est mort, car il te faudrait établir une relation de confiance entre ton Active Directory (que tu ne possèdes pas) et celui de Microsoft
(ce que Microsoft ne permet pas) , et cela supposerait en plus que les comptes mail soient intégrés à un Active Directory.

Oui, en effet et renoncer aux comptes MS me compliquerait la vie pour les synchro OneDrive des comptes utilisateurs sur les PC.

 

[morgyann]

Oui, en effet et renoncer aux comptes MS me compliquerait la vie pour les synchro OneDrive des comptes utilisateurs sur les PC.

Ce que tu peux faire pour te simplifier la vie :

1. Mettre ton (tes) comptes Win en "local" -> plus de souci pour l'accès au Nas

2. Mettre ton (tes) MDP les mêmes (comptes respectifs) sur le Nas et sur le Win - dans ce cas plus besoin de t'identifier pour aller sur le Nas via SMB (réseau) et/ou pour monter tes dossiers si besoin.

3. Installer Drive pour la sync de tes PC si besoin (local et externe)

4. Installer Cloud Sync pour synchro ton Nas [qui sync déja ton (tes) PC / comptes] pour sync One Drive (où tu t'identifies via ton compte Win).

Travailler avec différents services cloud | Cloud Sync - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.

kb.synology.com

 

[Yannick_G]

2. Mettre ton (tes) MDP les mêmes (comptes respectifs) sur le Nas et sur le Win - dans ce cas plus besoin de t'identifier pour aller sur le Nas via SMB (réseau) et/ou pour monter tes dossiers si besoin.

c’est pratique certes.... mais utiliser le même MDP pour différents comptes est une vraie faille de sécurité. (et ça peut aussi créer des ambiguïtés, surtout si on ne maîtrise pas entièrement l’infra mise en place).

Bon, je viens de regarder rapidement, et en effet, on peut faire travailler le NAS en DC ! Je vais regarder plus en détails., avant de faire un big bang de mon installation.

Un Active Directory installé sur un Syno fonctionne comme un DC classique: tu peux y gérer des users / groupes et stratégies de sécurité ! (Comme avec un AD Windows Server). Je doute que ce soit ton besoin.

Ton besoin initial (que tu as bien identifié) est le Single Sign-On. Mais avec un compte Microsoft personnel, c'est tout simplement pas faisable , car ces comptes ne peuvent pas être intégrés dans un AD, ce qui rend impossible la mise en place d’un SSO (en tout cas dans ce contexte).

Plaisanterie à part, je découvre, comme dit dans ma présentation, depuis quelques jours ce matos et je suis partagé entre deux impressions contradictoires :
- d'une part les possibilités offertes que je trouve vraiment surprenantes (surtout pour un truc que j'ai acheté 150€ d'occasion avec ses disques)
- d'autre part la simplicité technique qui me parait très relative pour l'utilisateur lambda

Je te rejoins complètement, c’est impressionnant ce qu’on peut faire avec si peu, mais l’approche reste technique pour un "novice".
Vu ta curiosité, tu vas vite en faire le tour… (et probablement te heurter aux limites de ton Syno, surtout dès qu’on parle de Docker ou de services un peu costauds).
Mais pour débuter, c’est un super point de départ

 

[François38]

Merci pour ta réponse, mais, désolé, en réalité elle va surtout tout compliquer.

En effet reprenons :

1. Mettre ton (tes) comptes Win en "local" -> plus de souci pour l'accès au Nas

Je n'ai pas de soucis d'accès au NAS, j'ai définit les mappings réseau sur chaque PC avec les comptes NAS associés à chacun des comptes MS perso; ça marche tant que je ne veux pas gérer de changement périodique de mot de passe coté NAS.

Simplement j'aurais trouvé plus élégant d’utiliser les comptes MS.

En revanche, utiliser les compte locaux sur les PC, si je le faisais, va créer de sacrés complications :

- Gestion des changement de mots de passes qui devront être ensuite appliqué pour chaque compte sur chacun des PC
- Gestion des OneDrive perso (avec synchrop du bureau, etc ...)
- Gestion des synchro de favoris sur les browsers.
- etc .... je dois en oublier

Installer Drive pour la sync de tes PC si besoin (local et externe)

Mais je n'ai pas besoin de synchroniser les PC car j'ai les OneDrives pour les fichiers liés aux comptes et ce qui est partagé va sur le NAS.

Installer Cloud Sync pour synchro ton Nas [qui sync déja ton (tes) PC / comptes] pour sync One Drive (où tu t'identifies via ton compte Win).

Déjà fait !

Précision pour bien comprendre: j'ai une licence MS Office "famille" qui me donne accès à 6 comptes OneDrive de 1To. (et à 6 install Office mais c'est accessoire).
Deux de ces comptes sont utilisés par des users "physiques" (moi et ma compagne), et pour 3 des 4 autres, j'ai créé des users "virtuels" (ils ont chacun leur adresse email ) que j'utilise pour synchroniser des répertoires du NAS (via le package Cloud Sync); cela a trois avantages :

- ça me permet de contourner la limitation de Microsoft qui empêche d'avoir deux OneDrive "perso" sur un seul compte
- ça nous permet d'avoir chacun un OneDrive perso et accès en même temps à des OneDrive "commun" via le NAS
- ça m'assure une image cloud de l'essentiel du contenu du NAS.

Et il m'en reste un dernier, pour lequel je ne doute pas de trouver un usage.

 

[morgyann]

Simplement j'aurais trouvé plus élégant d’utiliser les comptes MS.

les goûts et les couleurs

Précision pour bien comprendre: j'ai une licence MS Office "famille" qui me donne accès à 6 compte OneDrive de 1To.
Deux de ces comptes sont utilisés par des users "physiques" (moi et ma compagne), et pour 3 des 4 autres, j'ai créé des users "virtuels" (ils ont chacun leur adresse email ) que j'utilise pour synchroniser des répertoires du NAS (via le package Cloud Sync); cela a trois avantages :

- ça me permet de contourner la limitation de Microsoft qui empêche d'avoir deux OneDrive "perso" sur un seul compte
- ça nous permet d'avoir chacun un OneDrive perso et accès à des OneDrice "commun" via le NAS
- ça m'assure une image cloud de l'essentiel du contenu du NAS.

Et il m'en reste un dernier, dont je ne doute pas de trouver un usage.

MSoffice + One Drive + Nas + sync + compte Win + sécurité ... pas trop ma tasse de thé
C'est trop usine à gaz pour moi - si en + il faut ajouter un AD - ça devient + compliqué qu'une intall en PME ... je laisse la main aux Pro

 

[bliz]

Par ailleurs si la doc des quelques packages que j'ai utilisés jusque là (principalement Cloud Sync et Server Multimedia) est vraiment limpide, je trouve qu'il manque un peu un truc du type "quel paquet pour faire quoi".

Centre de téléchargements - download | Synology Inc.

Centralisez le stockage et la sauvegarde des données, rationalisez la collaboration sur des fichiers, optimisez la gestion vidéo et sécurisez le déploiement du réseau pour faciliter la gestion des données.

www.synology.com

 

[François38]

Centre de téléchargements - download | Synology Inc.

Centralisez le stockage et la sauvegarde des données, rationalisez la collaboration sur des fichiers, optimisez la gestion vidéo et sécurisez le déploiement du réseau pour faciliter la gestion des données.

www.synology.com

Merci pour ta réponse.

Néanmoins j'avais vu cette liste et tout n'est forcément clair quand on ne maitrise pas l'écosystème.

Exemple :

Quand la semaine dernière, j'ai sorti le NAS de son carton, que je l'ai branché et que j'ai fait les configurations basiques des "file share" j'avais deux besoins clairement identifiés (donc des besoins qui avaient amené à la décison d'achat du NAS "pour voir" dans un premier temps).
- mise en place d'un serveur DLNA pour exploiter réellement la démat de la CDthèque (et surtout la finir ).
- mise en place d'un espace de travail commun entre les PC pour les worflows de retouche photo et leur stockage, et en plus pouvoir visualiser sur la TV.

Donc, là c'était clair il me fallait un serveur DLNA; j'ai été surpris de l'extréme facilité de configuration, et tout les DMR marchaient du premier coup.

Par contre, j'ai vu d'autres paquets comme "Audio Station" et "Synology Photos" qui semblent être liés mais je ne sais pas exactement à quoi ils servent.

 

[morgyann]

j'ai été surpris de l'extréme facilité de configuration, et tout les DMR marchaient du premier coup.

Si, comme d'autres ici et ailleurs, je suis un peu fâché des nouvelles orientations de Syno - j'ai pu apprendre énormément en pratiquant sur Syno l'ensemble des principes du réseau et des apps.

L'OS DSM et certaines apps restent encore parmis les meilleures encore à ce jour (installation, configuration, fonctionnement et ergonomie).
Je n'ai pas encore trouvé d'équivalent aux apps propriétaires Syno : Drive et Photos

En revanche, Audio Station est, à mon avis très perfectible (marche pas terrible) et peu adapté si tu as une grosse discographie.

 

[bliz]

audio station permet de diffuser la musique aux appareils comme le téléphone ou une boxe android ou la tv avec ds audio et synology photo sert comme un site pour diffuser/partager des photos

 

[François38]

audio station permet de diffuser la musique aux appareils comme le téléphone ou une boxe android ou la tv avec ds audio

Merci
C'est bien ce que j'avais compris mais paradoxalement c'est pour cela que je ne comprends pas à quoi cela sert.
En effet, tous ces appareils ont de facto des fonctions de DLNA controller, player et/ou renderer et n'ont nul besoin d'une couche logicielle supplémentaire pour diffuser de la musique dès l'instant où elle est indexée proprement par un DLNA Server , ce qui est très précisément le rôle de Syno MultiMedia Server.

et synology photo sert comme un site pour diffuser/partager des photos

Je vais regarder d'un peu plus près.

Merci à tous pour ces éclairages !