Настройка Azure Active Directory

Если вы используете интерфейс центра администрирования Azure Active Directory на английском языке, воспользуйтесь этой инструкцией.

Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через Azure Active Directory, нужно предварительно создать и настроить SAML-приложение.

  1. Шаг 1. Создайте и настройте SAML-приложение
  2. Шаг 2. Настройте сопоставление атрибутов пользователей
  3. Шаг 3. Сохраните сертификат
  4. Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360
  5. Решение проблем с настройкой

Шаг 1. Создайте и настройте SAML-приложение

  1. Войдите в центр администрирования Azure Active Directory.
  2. В разделе Azure Active Directory на панели слева перейдите на вкладку Корпоративные приложения.
  3. Создайте SAML-приложение:
    1. Нажмите кнопку Новое приложение.
    2. На вкладке Обзор коллекции Azure AD нажмите кнопку Создайте собственное приложение.
    3. В правой части открывшегося окна введите название приложения, например yandexsso.
    4. Выберите вариант приложения: Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции).
    5. Нажмите кнопку Создать.

    На вкладке Корпоративные приложения в списке Все приложения добавится созданное приложение.

  4. Выберите ваше приложение в списке.

    Если вы не хотите специально назначать пользователей, которые могут пользоваться единым входом (SSO), на вкладке Свойства для параметра Назначение обязательно выберите значение Нет. Чтобы сохранить настройки, наверху вкладки нажмите кнопку Сохранить.

    Чтобы назначить отдельных пользователей для использования единого входа (SSO), на вкладке Свойства для параметра Назначение обязательно выберите значение Да. Затем перейдите на вкладку Пользователи и группы, нажмите Добавить пользователя или группу и укажите нужных пользователей.

  5. Перейдите на вкладку Единый вход и выберите способ единого входа SAML.
  6. В окне Настройка единого входа с помощью SAML в разделе Базовая конфигурация SAML нажмите кнопку Изменить и установите параметры:
    1. Идентификатор (сущности): https://yandex.ru/ (обязательно со слешем в конце).
    2. URL-адрес ответа (URL-адрес службы обработчика утверждений): https://passport.yandex.ru/auth/sso/commit.
    3. URL-адрес для входа (необязательный параметр): https://passport.yandex.ru/auth/sso/commit.
    4. Если ваши сотрудники пользуются сервисами не только на русском языке, в полях URL-адрес ответа (URL-адрес службы обработчика утверждений) и URL-адрес для входа дополнительно добавьте URL других языковых доменов. Например:
      • https://passport.yandex.com/auth/sso/commit — для английского;
      • https://passport.yandex.kz/auth/sso/commit — для казахского;
      • https://passport.yandex.uz/auth/sso/commit — для узбекского;
      • https://passport.yandex.com.tr/auth/sso/commit — для турецкого.
      Полный список
      • https://passport.yandex.com/auth/sso/commit
      • https://passport.yandex.az/auth/sso/commit
      • https://passport.yandex.by/auth/sso/commit
      • https://passport.yandex.co.il/auth/sso/commit
      • https://passport.yandex.com/auth/sso/commit
      • https://passport.yandex.com.am/auth/sso/commit
      • https://passport.yandex.com.ge/auth/sso/commit
      • https://passport.yandex.com.tr/auth/sso/commit
      • https://passport.yandex.ee/auth/sso/commit
      • https://passport.yandex.eu/auth/sso/commit
      • https://passport.yandex.fi/auth/sso/commit
      • https://passport.yandex.fr/auth/sso/commit
      • https://passport.yandex.kg/auth/sso/commit
      • https://passport.yandex.kz/auth/sso/commit
      • https://passport.yandex.lt/auth/sso/commit
      • https://passport.yandex.lv/auth/sso/commit
      • https://passport.yandex.md/auth/sso/commit
      • https://passport.yandex.pl/auth/sso/commit
      • https://passport.yandex.ru/auth/sso/commit
      • https://passport.yandex.tj/auth/sso/commit
      • https://passport.yandex.tm/auth/sso/commit
      • https://passport.yandex.ua/auth/sso/commit
      • https://passport.yandex.uz/auth/sso/commit
    5. Нажмите Сохранить.

Шаг 2. Настройте сопоставление атрибутов пользователей

  1. Перейдите в Корпоративные приложения → Все приложения  → <ваше приложение> → Единый вход, чтобы синхронизировать атрибуты пользователей в Azure Active Directory и Яндекс 360.
  2. В разделе Атрибуты и утверждения выберите Уникальный идентификатор пользователя.
  3. Чтобы имя и фамилия пользователя корректно отображались в Яндекс 360, в группе настроек Обязательные утверждения в поле Источник выберите Атрибут, а в поле Атрибут источника введите user.mail, затем нажмите Сохранить. Убедитесь, что поле Пространство имен везде осталось пустым.
  4. В группе настроек Дополнительные утверждения измените существующие утверждения или удалите и создайте их заново:
    Имя утверждения Значение
     User.EmailAddress user.mail
     User.Firstname user.givenname
     User.Surname user.surname
    Имя утверждения Значение
     User.EmailAddress user.mail
     User.Firstname user.givenname
     User.Surname user.surname

    Убедитесь, что поле Пространство имен осталось пустым.

    Пример SAML-запроса:

    <Attribute Name="User.EmailAddress">
    <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
    <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
    <AttributeValue>Firstname</AttributeValue>
</Attribute>

Шаг 3. Сохраните сертификат

  1. Перейдите в Корпоративные приложения → Все приложения → <ваше приложение> → Единый вход.
  2. В разделе Сертификаты SAML рядом с параметром Сертификат (Base64) нажмите Скачать. Сохраните файл на жесткий диск.

    Сохраненный файл с расширением .cer можно открыть в любом текстовом редакторе.

Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360

Для дальнейшей настройки в Яндекс 360 вам понадобится сертификат, полученный на шаге 3, и значения параметров конфигурации:

  • URL адрес входа
  • Идентификатор Azure AD

Чтобы сохранить значения параметров:

  1. На вкладке Корпоративные приложения → Все приложения → <ваше приложение> → Единый вход перейдите в раздел Настройка <название приложения>.
  2. Скопируйте значения полей URL адрес входа и Идентификатор Azure AD в любое удобное место.

После этого переходите к настройке Яндекс 360 для бизнеса.

Решение проблем с настройкой

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.