Настройка Active Directory (английский интерфейс)
Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через службу федерации Active Directory, нужно предварительно настроить сервер.
Шаг 1. Создайте отношение доверия с проверяющей стороной
-
Войдите на ваш сервер AD FS и откройте Server Manager.
-
Откройте консоль управления: нажмите Tools → AD FS Management.
-
В списке действий выберите Add Relying Party Trust.
-
Выберите Claims aware и нажмите Start.
-
Для автоматической настройки отношения на шаге Select Data Source выберите Import data about the relying party published online or on a local network и введите URL:
https://passport.yandex.ru/auth/sso/metadata
.Нажмите Next.
Как настроить отношение вручную
-
На шаге Select Data Source выберите Enter data about the relying party manually. Затем нажмите Next.
-
Задайте любое название отношения, например «Яндекс 360». Нажмите Next.
-
Пропустите шаг Configure Certificate — для этого нажмите Next.
-
Отметьте Enable support for the SAML 2.0 WebSSO protocol и укажите Service URL:
https://passport.yandex.ru/auth/sso/commit
. Нажмите Next. -
Добавьте идентификатор
https://yandex.ru/
(обязательно со слешем в конце) — вставьте его в поле и нажмите Add. Затем нажмите Next. -
Пропустите шаг Choose Access Control Policy.
-
-
Проверьте данные. Убедитесь, что на вкладке Advanced выбран алгоритм хеширования
SHA-256
. Если все в порядке, нажмите Next → Close.Если вы воспользовались автоматической настройкой отношения, переходите сразу к шагу 3. При ручном создании отношения выполните шаг 2.
Шаг 2. Добавьте конечные точки для языковых доменов
Внимание
Пропустите этот шаг, если вы выбрали автоматическую настройку отношения в пункте 5 шага 1.
Если ваши сотрудники пользуются сервисами Яндекс 360 не только на русском домене, дополнительно добавьте URL языковых доменов в качестве конечных точек:
-
В консоли управления нажмите Trust Relationships → Relying Party Trusts.
-
Откройте настройки отношения, созданного на шаге 1, — для этого нажмите на него два раза.
-
Перейдите на вкладку Endpoints.
-
Добавьте нужные вам конечные точки.
Чтобы добавить конечную точку для языкового домена, нажмите Add SAML, в значении Binding выберите
POST
и укажите URL:-
https://passport.yandex.com/auth/sso/commit
— для английского; -
https://passport.yandex.kz/auth/sso/commit
— для казахского; -
https://passport.yandex.uz/auth/sso/commit
— для узбекского; -
https://passport.yandex.com.tr/auth/sso/commit
— для турецкого.
Полный список
-
https://passport.yandex.com/auth/sso/commit
-
https://passport.yandex.az/auth/sso/commit
-
https://passport.yandex.by/auth/sso/commit
-
https://passport.yandex.co.il/auth/sso/commit
-
https://passport.yandex.com/auth/sso/commit
-
https://passport.yandex.com.am/auth/sso/commit
-
https://passport.yandex.com.ge/auth/sso/commit
-
https://passport.yandex.com.tr/auth/sso/commit
-
https://passport.yandex.ee/auth/sso/commit
-
https://passport.yandex.eu/auth/sso/commit
-
https://passport.yandex.fi/auth/sso/commit
-
https://passport.yandex.fr/auth/sso/commit
-
https://passport.yandex.kg/auth/sso/commit
-
https://passport.yandex.kz/auth/sso/commit
-
https://passport.yandex.lt/auth/sso/commit
-
https://passport.yandex.lv/auth/sso/commit
-
https://passport.yandex.md/auth/sso/commit
-
https://passport.yandex.pl/auth/sso/commit
-
https://passport.yandex.ru/auth/sso/commit
-
https://passport.yandex.tj/auth/sso/commit
-
https://passport.yandex.tm/auth/sso/commit
-
https://passport.yandex.uz/auth/sso/commit
Затем нажмите OK.
-
Шаг 3. Настройте Claims Mapping
Чтобы настроить сопоставление утверждений, нужно указать атрибут. Он будет использоваться для идентификации пользователя в Яндекс ID. После того, как вы выберете атрибут, поменять его будет нельзя.
-
Если имена для входа пользователей не будут меняться, укажите атрибут «UPN».
-
Если же в вашей организации запланированы изменения домена или бизнес-процессов, которые могут привести к изменению UPN пользователей, нужно будет выбрать другой атрибут: «objectSID», «objectGUID» или другой.
Как указать атрибут:
-
В блоке Trust Relationships правой кнопкой мыши нажмите на отношение, созданное на шаге 1 и выберите Edit Claim Issuance Policy.
-
Нажмите Add Rule.
-
В качестве Claim rule template выберите Transform an Incoming Claim и нажмите Next.
-
Придумайте любое название правила, например «NameID», и укажите его в поле Claim rule name.
В поле Outgoing claim type выберите
Name ID
. Нажмите Finish. -
Создайте еще одно правило: снова нажмите Add Rule. Выберите шаблон Send LDAP Attributes as Claims и нажмите Next.
-
Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже:
Затем нажмите Finish.
Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке: User.Firstname, User.Surname, User.EmailAddress. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.
-
В блоке Trust Relationships правой кнопкой мыши нажмите на отношение, созданное на шаге 1 и выберите Edit Claim Issuance Policy.
-
Нажмите Add Rule. Выберите шаблон Send LDAP Attributes as Claims и нажмите Next.
-
Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже. Напротив типа «Name ID» укажите атрибут: «objectGUID», «objectSID» или другой.
Затем нажмите Finish.
Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке:
User.Firstname
,User.Surname
,User.EmailAddress
. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.
Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360
URL страницы входа
-
Адрес точки входа. Как правило это
https://домен/adfs/ls
.В консоли управления откройте Endpoints и убедитесь, что для параметра Proxy Enabled у
/adfs/ls/
установлено значениеYes
. Этот параметр отвечает за активацию страницы аутентификации в AD FS, которая должна быть доступна извне, — адрес видаhttps://домен_ADFS/adfs/ls/idpinitiatedsignon.aspx
.
Издатель поставщика удостоверений
-
Entity ID домена. Как правило, это
http://домен/adfs/services/trust
.Чтобы получить его, в консоли управления перейдите на вкладку Action и выберите Edit Federation Service Properties.
Нужное значение находится в поле Federation Service identifier.
Проверочный сертификат
-
Сертификат подписи токенов формата X.509 в Base64. Чтобы получить:
-
1. В консоли управления откройте Certificates.
2. Нажмите два раза на ваш сертификат Token-signing.
3. Перейдите на вкладку Details и нажмите Copy to File.
4. Выберите тип сертификата Base-64 encoded X.509 (.CER) и нажмите Next.
5. Сохраните файл на жесткий диск.
Если у вас два активных сертификата подписи токенов и вы не уверены, какой сертификат используется сейчас, повторите аналогичные действия для второго сертификата.
-
Шаг 5. Настройте синхронизацию сотрудников SCIM
По умолчанию новые сотрудники появляются в Яндекс 360 только после первой авторизации, а бывших сотрудников нужно удалять вручную. Если вы хотите автоматически синхронизировать список сотрудников из AD FS с Яндекс 360 для бизнеса, подключите синхронизацию SCIM.
Проблемы с настройкой
Если заданы неверные значения атрибутов, при входе через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:
email.no_in_response
- Указывайте имена атрибутов в формате
User.Firstname
,User.Surname
,User.EmailAddress
. Если задать другой формат, напримерFirstname
, авторизоваться не получится.
request_your_admin
- Ошибка появляется, если администратор каталога пользователей вашей организации, например Active Directory или Keycloak, ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.
samlresponse.invalid
- Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.
unsupportable_domain
- Проверьте, что домен из почтового атрибута
User.EmailAddress
в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360.
Технология от компании Microsoft, которая позволяет организовать единый вход для доступа к различным системам и приложениям. Обзор служб федерации Active Directory