Skip to main content

Synology DSM

Objectif : Permettre à Synology DSM d’utiliser Authentik comme fournisseur d’authentification OpenID Connect (OIDC) pour implémenter l’authentification unique (SSO).

Pré-requis

  • Synology DSM 7.1 ou supérieur.

  • Un nom de domaine (FQDN) pour votre Synology DSM (synology.votredomaine) et pour votre instance Authentik (authentik.votredomaine).

  • Accès administrateur à Authentik et à Synology DSM.

  • Certificat HTTPS valide sur les deux serveurs.

1) Configuration dans Authentik

Créer une application et un provider OAuth2/OIDC

  1. Connectez-vous à Authentik en tant qu’administrateur.

  2. Dans l’interface d’administration, allez dans Applications → Applications.

  3. Cliquez sur Create with Provider pour créer une application avec un provider associé.

  4. Remplissez les champs suivants :

    • Name : un nom descriptif pour l’application (ex : Synology DSM).

    • Provider type : OAuth2/OpenID Connect.

  5. Dans les réglages du provider :

    • Client ID et Client Secret : gardez-les à portée (vous en aurez besoin plus loin).

    • Redirect URI : https://synology.votredomaine (exactement l’URL de votre DSM).

    • Signing key : sélectionnez une clé de signature disponible.

    • Advanced protocol settings → Subject mode : basé sur le courriel de l’utilisateur (email).

  6. Enregistrez l’application/provider.

Note : ces valeurs seront utilisées dans le SSO du côté de Synology.

2) Configuration de Synology DSM

Activer le client SSO

  1. Connectez-vous en administrateur à l’interface DSM.

  2. Accédez à Panneau de configuration → Domaine/LDAP → SSO Client.

  3. Cochez Enable OpenID Connect SSO service pour activer le support OpenID Connect.

  4. Cliquez pour configurer le SSO.

Remplissez les champs comme suit :

Champ Valeur à renseigner
Profile OIDC
Account type Domain/LDAP/local
Name authentik (ou tout nom significatif)
Well Known URL Collez l’URL OpenID Configuration d’Authentik (termine par /.well-known/openid-configuration)
Application ID Le Client ID copié depuis Authentik
Application Key Le Client Secret copié depuis Authentik
Redirect URL https://synology.votredomaine (doit correspondre exactement à l’URI défini dans Authentik)
Authorization Scope openid profile email
Username Claim preferred_username

  1. Cliquez Enregistrer pour valider les paramètres.

3) Tests et vérification

  1. Ouvrez une nouvelle fenêtre/incognito dans votre navigateur.

  2. Accédez à l’URL de votre Synology DSM.

  3. Sur l’écran de connexion, vous devriez voir une option SSO ou Authentik.

  4. Sélectionnez l’option SSO et essayez de vous connecter via Authentik.

4) Résolution de problèmes (conseils)

Erreur « not privilege »

  • Cela peut se produire si la fenêtre contextuelle du SSO est bloquée par le navigateur : autorisez les pop-ups.

  • Assurez-vous que l’unique Redirect URI est configuré, car Synology DSM ne gère pas plusieurs redirections avec #/signin.

Problème d’identifiants

  • Si l’utilisateur Authentik n’existe pas dans DSM, la connexion peut échouer.

Il est recommandé de créer un compte utilisateur dans DSM ayant le même nom d’utilisateur ou email qu’Authentik.

  • Vérifiez la correspondance des attributs utilisateur (email vs identifiant).

Back to top