Synology C2 Identity – Quản lý tập trung người dùng

Ở những bài viết phía trước, chúng tôi đã chia sẻ về ứng dụng mới ra mắt của Synology như: Synology C2 Backup, Synology C2, Synology C2 Password.

Và trong bài viết này chúng tôi sẽ chia sẻ dịch vụ cuối cùng cho dòng  dịch vụ đám mây Synology C2 là C2 Identity. Vậy C2 Identity là gì và nó hoạt động như thế nào sẽ là chủ đề của bài viết này, hãy cùng tìm hiểu nhé.

C2 Identity – Quản lý hồ sơ người dùng

Chúng tôi đã đề cập nền tảng này trong bài viết tổng quan ” đám mây cho dữ liệu an toàn“, nhưng chúng tôi chưa có cơ hội tìm hiểu sâu hơn về C2 Identity thực sự là gì, nó hoạt động như thế nào.

C2 Identity là gì?

Đây là một nền tảng sẽ cho phép bạn quản lý tập trung người dùng, nhóm, workstations và đăng nhập một lần ( SSO ) cho các ứng dụng, phần mềm như một dịch vụ ( SaaS ) mà bạn đang sử dụng.

Cũng giống như tất cả các dịch vụ C2 khác, Identity không yêu cầu bạn sở hữu bất kỳ thiết bị Synology nào để hoạt động. Trên hết, nó hoàn toàn chạy trên đám mây (trung tâm dữ liệu Synology C2 mà bạn lựa chọn) và nó hoàn toàn miễn phí !

Các cấp và giá nhận dạng C2

Trên đây, hầu như tất cả chúng đều được hỗ trợ ở cấp độ miễn phí.

 

Đăng ký domain C2 identity

Bạn cần làm gì để bắt đầu và sử dụng dịch vụ này. Điều đầu tiên bạn cần là một Tài khoản Synology hợp lệ . Để đăng ký Identity domain, domain đó cần phải được đăng ký vào một tài khoản cụ thể.  Nếu bạn không có, bạn sẽ phải tạo một cái khi bạn truy cập trang chính của C2 Identity.

Link đăng ký ở đây https://c2.synology.com/en-us/identity/overview

Khi bạn đăng nhập vào Synology C2 bằng Tài khoản Synology của mình, bạn sẽ có thể bắt đầu tạo Identity domain của mình.

Điều đầu tiên là lựa chọn đăng ký và trung tâm dữ liệu, bạn sẽ có tùy chọn để chọn từ hai trung tâm dữ liệu hiện tại và một cấp đăng ký duy nhất .

 

Đặt tên miền C2 Identity của bạn.

Ở bước tiếp theo, bạn sẽ có tùy chọn để nhập tên miền cuối cùng sẽ được tạo và sử dụng làm URL nhận dạng cho các thiết bị và ứng dụng của bạn.

Sau khi hoàn thành, bạn sẽ đến trang tổng quan Nhận dạng C2 của mình

Cấu hình và quản lý C2 Identity

Thêm thiết bị bạn muốn quản lý

Với việc sử dụng tác nhân Nhận dạng C2 (macOS hoặc Windows) được cài đặt trên máy tính của bạn, nó sẽ trở thành một thiết bị hợp lệ trong C2 Identity domain mà người dùng của bạn có thể sử dụng để xác thực dựa trên nó.

Để làm được điều đó, chỉ cần đăng nhập vào C2 Identity và tải xuống Managed Device.

Sau khi tải xuống, hãy cài đặt nó trên máy tính của bạn và kết nối nó bằng khóa từ bước 03 của trình hướng dẫn (ở trên).

LƯU Ý : Trong trường hợp bạn không thể tải xuống tác nhân bằng các nút trong hộp thoại, bạn có thể tải xuống tại đây: https://archive.synology.com/download/Utility/C2IdentityAgent

Nhập key  C2 Identity mà bạn thấy trên trang chính C2 Identity

Đảm bảo nhập khóa kết nối Nhận dạng C2 của bạn có thể truy cập và hiển thị trong cổng web.

Khởi động lại máy của bạn để hoàn tất quá trình cài đặt

Sau khi cài đặt xong, hãy khởi động lại máy. Đảm bảo hoàn tất quá trình bằng cách phê duyệt đăng ký thiết bị trên cổng quản trị trước khi có bất kỳ quản lý nào khác.

Sau khi khởi động lại, người dùng của bạn sẽ có tùy chọn đăng nhập bằng C2 Identity.

C2 Identity Màn hình đăng nhập Windows 10

Bây giờ bạn có một thiết bị được kết nối với miền Nhận dạng C2 của bạn và người dùng có thể sử dụng thiết bị đó để đăng nhập vào thiết bị.

Thêm người dùng và nhóm

Bây giờ chúng ta thêm một số người dùng và nhóm thực sự có thể sử dụng chúng. Quá trình này rất đơn giản. Có nhiều cách để thêm tài khoản. Bạn có thể thêm chúng theo cách thủ công hoặc hàng loạt bằng cách sử dụng tệp CSV hoặc máy chủ thư mục hiện có.

Để bắt đầu, chọn phần  User của cổng thông tin và nhấp vào Add User Manually hoặc Import Users/Groups  màu xanh lục.

Đối với ví dụ này, tôi sẽ sử dụng phương pháp thủ công, nhưng trong trường hợp bạn quyết định sử dụng nhập hàng loạt, bạn có thể tải xuống tệp CSV tương thích mà bạn có thể sử dụng để tải lên danh sách người dùng của mình.

Việc thêm người dùng yêu cầu một số trường bắt buộc phải được điền như tên người dùng và email .

Nhập thông tin cần thiết cũng như bất kỳ thông tin tùy chọn nào

Trong bước tiếp theo, bạn sẽ có tùy chọn để chọn phương pháp kích hoạt mật khẩu.

Phương pháp kích hoạt mật khẩu

Tùy thuộc vào tùy chọn đã chọn, màn hình sẽ thay đổi. Trong trường hợp này, tôi sẽ chọn chỉ định mật khẩu theo cách thủ công và gửi mật khẩu đó cho người dùng.

Nhập hoặc tạo mật khẩu

Sau đó, tài khoản của bạn sẽ được định cấu hình và sẵn sàng sử dụng.

LƯU Ý : Theo mặc định, tất cả người dùng và thiết bị đều là thành viên của nhóm,  nếu bạn muốn tự chỉnh quyền truy cập cho người dùng cụ thể đối với một thiết bị cụ thể!

C2 Identity User portal: Cổng thông tin người dùng danh tính C2

Khi bạn bắt đầu sử dụng nền tảng  C2 Identity, thông báo cuối cùng mà bạn sẽ nhận được là liên kết đến C2 Identity User portal. Người dùng của bạn giờ đây (sau khi đăng nhập bằng tài khoản C2 Identity) có thể thay đổi cài đặt của riêng họ như địa chỉ , số điện thoại , ngày sinh , cũng như các tính năng bảo mật như 2FA và đặt lại mật khẩu mà không cần bận tâm Quản trị danh tính C2.

Để truy cập Cổng thông tin người dùng của bạn, hãy sử dụng URL mà quản trị viên sẽ cung cấp cho bạn, nhưng nó sẽ giống như sau:

https://yourdomain.identity.eu.synologyc2.com

Khi bạn đăng nhập vào thiết bị của mình bằng tài khoản C2 Identity hợp lệ và truy cập URL, bạn sẽ đến một trang tương tự như sau:

Cổng thông tin người dùng danh tính C2

Edit ở góc trên cùng bên phải sẽ cho phép bạn chỉnh sửa một số thông tin.

Trên tab thứ hai, được gọi là Bảo mật , bạn sẽ có tùy chọn để thay đổi mật khẩu của mình hoặc kích hoạt 2FA .

Thay đổi mật khẩu của bạn hoặc kích hoạt 2FA

Kích hoạt 2FA cho tài khoản C2 Identity của bạn

Để bắt đầu kích hoạt xác thực 2 yếu tố, chỉ cần nhấp vào nút Bật . Thao tác này sẽ bắt đầu quá trình hướng dẫn bạn trên đường đi.

Bắt đầu quá trình kích hoạt 2FA của bạn

 

xác nhận danh tính.

Tải xuống Synology Secure SignIN

LƯU Ý : như được chỉ ra trong hình trên, Synology sẽ đẩy ứng dụng Đăng nhập an toàn làm lựa chọn ưu tiên của họ, nhưng điều này không cần thiết để làm cho ứng dụng này hoạt động. Các nền tảng thay thế giống như Authy hoặc Bitwarden cũng sẽ hoạt động.

Quét hoặc nhập mã được liệt kê trên màn hình bên trong Đăng nhập an toàn hoặc bất kỳ ứng dụng 2FA.

Khi bạn đã hoàn tất quy trình, bạn có thể vô hiệu hóa hoặc đặt lại quy trình bằng cách sử dụng Cổng thông tin người dùng.

Kích hoạt 2FA (Chế độ xem cổng thông tin người dùng)

Trạng thái 2FA khi được xem từ bảng điều khiển Nhận dạng C2 chính

Đăng nhập vào thiết bị của bạn bằng tài khoản C2 Identity với 2FA

Khi bạn đã có 2FA hoạt động, việc đăng nhập vào tài khoản của bạn sẽ yêu cầu bạn nhập mã 2FA của mình.

Nhập mã 2FA gồm 6 chữ số của bạn từ ứng dụng bạn đã định cấu hình.

Cho đến nay C2 Identity không làm bạn thất vọng. Đồng bộ hóa ngay lập tức và bạn có thể sử dụng cả thiết bị và người dùng ngay lập tức.

Ứng dụng và SSO

Nền tảng nhận dạng cũng cho phép tích hợp tùy chỉnh cho SSO (đăng nhập một lần) với các ứng dụng của bên thứ 3 như Google Workspace hoặc Microsoft 365 . Ở tầng trả phí , bạn sẽ có các tùy chọn để sử dụng giao thức SAML 2.0 hoặc OpenID Connect cũng như các quy trình đăng nhập dựa trên mật khẩu tùy chỉnh .

Các tính năng này vẫn đang chờ xử lý.

Hiện tại, về cấp miễn phí, bạn có thể tích hợp với Google Workspace và Microsoft 365.

Edge servers

Cuối cùng, C2 Identity sẽ cung cấp 1 (ở cấp miễn phí) hoặc tối đa 25 nút LDAP cục bộ . Có nghĩa là, một phiên bản cục bộ của máy chủ bản sao C2 Identity . Nó xác thực quyền truy cập vào các dịch vụ tại chỗ bất kể chúng có được kết nối với Internet hay không.

Vì mục đích này, Identity cung cấp một tính năng máy chủ Edge . Trong trang tổng quan chính, bạn có thể có tùy chọn để thêm nhiều phiên bản cạnh.

Máy chủ Edge ở dạng NAS Synology hoặc vùng chứa Docker

Sau đây là các cơ chế của Máy chủ Edge Identity C2:

• Retrieve user and group data from C2 Identity: Truy xuất dữ liệu người dùng và nhóm từ C2 Identity Tác nhân giữ cho thư mục của nó được cập nhật thông qua liên lạc LDAP. Bất kỳ thay đổi nào đối với thư mục của C2 Identity sẽ được đồng bộ hóa ngay lập tức với đại lý.
• Update information to C2 Identity: Cập nhật thông tin lên C2 Identity : Tác nhân gửi thông tin về máy chủ biên tới C2 Identity 5 phút một lần (chỉ khả dụng trên NAS Synology).
• Authenticate user access to LDAP clients: Xác thực quyền truy cập của người dùng vào máy khách LDAP : Tác nhân cung cấp xác thực LDAP ngoại tuyến cho các thiết bị được kết nối với máy chủ biên.

Synology C2 Identity Edge Server

Nếu bạn quyết định chạy máy chủ biên của mình trên NAS Synology, có một số điều cần được xem kỹ.

Trước hết, các mô hình được hỗ trợ. Tại thời điểm viết bài này, một NAS tương thích cho vai trò Máy chủ Edge có thể là một trong các mô hình sau:

• Dòng FS: FS6400, FS3600, FS3400, FS3017, FS2017, FS1018
• Dòng SA: SA3600, SA3400, SA3200D
• Dòng 21: RS4021xs +, RS3621xs +, RS3621RPxs, RS2821RP +, RS2421RP +, RS2421 +, RS1221RP +, RS1221 +, DS1821 +, DS1621xs +, DS1621 +, DVA3221
• Dòng 20: RS820RP +, RS820 +, DS1520 +, DS920 +, DS720 +, DS620slim, DS420 +, DS220 +
• 19 series : RS1619xs +, RS1219 +, DS2419 + II, DS2419 +, DS1819 +, DS1019 +, DVA3219
• 18 dòng: RS3618xs, RS2818RP +, RS2418RP +, RS2418 +, RS818RP +, RS818 +, DS3018xs, DS1618 +, DS918 +, DS718 +, DS418play, DS218 +
• 17 loạt: RS18017xs +, RS4017xs +, RS3617xs +, RS3617RPxs, RS3617xs, DS3617xsII, DS3617xs, DS1817 +, DS1517 +
• 16 series: RS18016xs +, RS2416RP +, RS2416 +, DS916 +, DS716 + II, DS716 +, DS416play, DS216 + II, DS216 +
• 15 series : RS815RP +, RS815 +, RC18015xs +, DS3615xs, DS2415 +, DS1815 +, DS1515 +, DS415 +
• 14 series: RS3614xs +, RS3614RPxs, RS3614xs, RS2414RP +, RS2414 +, RS814RP +, RS814 +
• 13 series: RS10613xs +, RS3413xs +, DS2413 +, DS1813 +, DS1513 +, DS713 +

Thứ hai, NAS của bạn phải chạy DSM 7.0.x trở lên .

Nếu bạn đang chạy Synology Directory Server hoặc LDAP , bạn sẽ KHÔNG thể chạy gói Edge Server!

Để bắt đầu quá trình, hãy đăng nhập vào NAS của bạn, mở ứng dụng Package Center và cài đặt Máy chủ C2 Identity Edge.

 

Cài đặt ứng dụng Edge server

Quá trình này sẽ cài đặt gói Docker nếu bạn chưa cài đặt ứng dụng này.

Điều đầu tiên mà bạn cần phải cấu hình hoặc xác nhận là edge server port  sẽ được sử dụng bởi phiên bản cục bộ của bạn.

 Cấu hình port

Chạy cài đặt

C2 Identity Edge Server đang chạy

Mở ứng dụng Docker trên NAS của mình, bạn có thể thấy rằng có một thùng chứa đang chạy được gọi là  watchtower bằng cách sử dụng hình ảnh synology / watchtower .

Tuy nhiên, với việc kiểm tra CLI, chúng ta có thể thấy rằng có hai container đang chạy.

Thực tế là synology / ldap-agent chạy trên cổng 389 mặc định LDAP và cổng cổng giao diện người dùng web 7712 (cổng cài đặt mặc định). Hộp chứa Tháp canh ở đó để cập nhật và duy trì cập nhật ldap-agent.

Bước tiếp theo là kết nối máy chủ biên với miền Nhận dạng C2. Bằng cách mở biểu tượng máy chủ C2 Identity Edge từ menu DSM, nó sẽ tải lên một trang web cho phép bạn kết nối với miền Identity của mình.

LƯU Ý :  edge server sẽ chạy trên cổng tùy chỉnh mà bạn đã định cấu hình trong cài đặc và giao diện người dùng web sẽ có thể truy cập được trên địa chỉ IP NAS cục bộ của bạn đang chạy trên cùng cổng đó.               

Đảm bảo nhập key kết nối cho edge server mà bạn có thể định vị trong cổng tên miền C2 Identity của mình.

Coppy key kết nối vào ui web của edge server

Khi bạn mở cổng web C2 Identity, bạn sẽ thấy tất cả các edge servers của mình cũng như trạng thái của chúng

Sử dụng menu thả xuống ở ngoài cùng bên phải để phê duyệt máy chủ, sau đó nhập Khóa mã hóa C2 chính của bạn mà bạn đã tạo sau khi tạo Tài khoản Synology / hồ sơ C2.

Sau khi phê duyệt thành công, bạn sẽ có xác nhận trạng thái Đã kết nối trong trình duyệt và cổng quản trị.

 

Với thiết lập này, bạn sẽ có thể xác thực bất kỳ tài nguyên tại chỗ nào cho miền Nhận dạng C2 của bạn, chẳng hạn như một NAS Synology khác chẳng hạn hoặc bất kỳ hệ thống có khả năng LDAP nào khác.

LƯU Ý : lần đầu sử dụng log-on sẽ phải được thực hiện đối với các C2 nhận dạng đám mây . Vì vậy, hãy đảm bảo rằng bạn có kết nối Internet tại thời điểm đó ! Bạn sẽ không thể sử dụng máy chủ biên cục bộ của mình ngay cả khi người dùng đã được đồng bộ hóa tại chỗ.

Phần kết luận

Phải công nhận rằng tôi rất hài lòng với nền tảng Identity cho đến nay. Nó hoạt động như quảng cáo, không có vấn đề gì khi thiết lập và cấu hình rất đơn giản.

“Vấn đề” duy nhất mà tôi có thể gặp phải là thiếu nhật ký. Ngoài một số nhật ký khiêm tốn từ vùng chứa LDAP của docker, không có nhật ký nào trong giao diện người dùng web. Sự thật mà nói, tôi không cần quyền truy cập vào chúng, nhưng sẽ rất tốt nếu có một số nhật ký từ phía quản trị viên của mọi thứ để đề phòng.

Nhìn chung, một nền tảng vững chắc mà Synology chắc chắn sẽ mở rộng với nhiều tính năng hơn, vì vậy hãy xem điều này sẽ mang lại những gì trong tương lai. Hiện tại, một nền tảng nhận dạng dựa trên đám mây miễn phí hoạt động và không phức tạp để thiết lập hoặc duy trì, được chào đón trong kỷ nguyên đám mây hóa phía trước.

Mstar Corp là Service Provider duy nhất của Synology tại Việt Nam. Có đội ngũ IT trình độ chuyên môn cao về NAS Synology cũng như các sản phẩm của Synology. Đã có kinh nghiệm triển khai nhiều dự án từ doanh nghiệp nhỏ cho đến lớn, hay cả đơn vị chính phủ. Liên hệ ngay với đội ngũ Mstar Corp để được hỗ trợ tư vấn về các sản phẩm.

Tham gia Group những người dùng NAS Synology để cùng tìm hiểu sâu hơn về NAS Synology tại đây nhé: Synology Vietnam | Hỗ trợ kỹ thuật – Giải Pháp NAS

Xem thêm các sản phẩm của Synology TẠI ĐÂY

MODEL ĐỀ XUẤT

 

---

THÔNG TIN LIÊN HỆ: MSTAR CORP

Hotline: 0943199449 – 0909514461

Email: [email protected]

Fanpage: https://www.facebook.com/mstarcorp/

Group hỗ trợ kỹ thuật: https://www.facebook.com/groups/synologyvn/

Website: mstarcorp.vn

Store: https://store.mstarcorp.vn/

Trụ sở: Tầng 1, 75 Hoàng Văn Thụ, phường 15, quận Phú Nhuận, TP. HCM

Chi nhánh Hà Nội : Tầng 11, tòa nhà Zen Tower, 12 đường Khuất Duy Tiến, P.Thanh Xuân Trung, Q. Thanh Xuân, TP. Hà Nội