Настройка Active Directory (английский интерфейс)

Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через службу федерации Active Directory, нужно предварительно настроить сервер.

Шаг 1. Создайте отношение доверия с проверяющей стороной

Войдите на ваш сервер AD FS и откройте Server Manager.
Откройте консоль управления: нажмите Tools → AD FS Management.
В списке действий выберите Add Relying Party Trust.
Выберите Claims aware и нажмите Start.
Для автоматической настройки отношения на шаге Select Data Source выберите Import data about the relying party published online or on a local network и введите URL: https://passport.yandex.ru/auth/sso/metadata.
Нажмите Next.
Как настроить отношение вручную
На шаге Select Data Source выберите Enter data about the relying party manually. Затем нажмите Next.

Задайте любое название отношения, например «Яндекс 360». Нажмите Next.

Пропустите шаг Configure Certificate — для этого нажмите Next.

Отметьте Enable support for the SAML 2.0 WebSSO protocol и укажите Service URL: https://passport.yandex.ru/auth/sso/commit. Нажмите Next.

Добавьте идентификатор https://yandex.ru/ (обязательно со слешем в конце) — вставьте его в поле и нажмите Add. Затем нажмите Next.

Пропустите шаг Choose Access Control Policy.
Проверьте данные. Убедитесь, что на вкладке Advanced выбран алгоритм хеширования SHA-256. Если все в порядке, нажмите Next → Close.

Если вы воспользовались автоматической настройкой отношения, переходите сразу к шагу 3. При ручном создании отношения выполните шаг 2.

Шаг 2. Добавьте конечные точки для языковых доменов

Внимание. Пропустите этот шаг, если вы выбрали автоматическую настройку отношения в пункте 5 шага 1.

Если ваши сотрудники пользуются сервисами Яндекс 360 не только на русском домене, дополнительно добавьте URL языковых доменов в качестве конечных точек:

В консоли управления нажмите Trust Relationships → Relying Party Trusts.
Откройте настройки отношения, созданного на шаге 1, — для этого нажмите на него два раза.
Перейдите на вкладку Endpoints.
Добавьте нужные вам конечные точки.
Чтобы добавить конечную точку для языкового домена, нажмите Add SAML, в значении Binding выберите POST и укажите URL:
- https://passport.yandex.com/auth/sso/commit — для английского;
- https://passport.yandex.kz/auth/sso/commit — для казахского;
- https://passport.yandex.uz/auth/sso/commit — для узбекского;
- https://passport.yandex.com.tr/auth/sso/commit — для турецкого.
Полный список
https://passport.yandex.com/auth/sso/commit

https://passport.yandex.az/auth/sso/commit

https://passport.yandex.by/auth/sso/commit

https://passport.yandex.co.il/auth/sso/commit

https://passport.yandex.com/auth/sso/commit

https://passport.yandex.com.am/auth/sso/commit

https://passport.yandex.com.ge/auth/sso/commit

https://passport.yandex.com.tr/auth/sso/commit

https://passport.yandex.ee/auth/sso/commit

https://passport.yandex.eu/auth/sso/commit

https://passport.yandex.fi/auth/sso/commit

https://passport.yandex.fr/auth/sso/commit

https://passport.yandex.kg/auth/sso/commit

https://passport.yandex.kz/auth/sso/commit

https://passport.yandex.lt/auth/sso/commit

https://passport.yandex.lv/auth/sso/commit

https://passport.yandex.md/auth/sso/commit

https://passport.yandex.pl/auth/sso/commit

https://passport.yandex.ru/auth/sso/commit

https://passport.yandex.tj/auth/sso/commit

https://passport.yandex.tm/auth/sso/commit

https://passport.yandex.uz/auth/sso/commit
Затем нажмите OK.

Шаг 3. Настройте Claims Mapping

Чтобы настроить сопоставление утверждений, нужно указать атрибут. Он будет использоваться для идентификации пользователя в Яндекс ID. После того, как вы выберете атрибут, поменять его будет нельзя.

Если имена для входа пользователей не будут меняться, укажите атрибут «UPN».
Если же в вашей организации запланированы изменения домена или бизнес-процессов, которые могут привести к изменению UPN пользователей, нужно будет выбрать : «objectSID», «objectGUID» или другой.

Как указать атрибут:

В блоке Trust Relationships правой кнопкой мыши нажмите на отношение, созданное на шаге 1 и выберите Edit Claim Issuance Policy.
Нажмите Add Rule.
В качестве Claim rule template выберите Transform an Incoming Claim и нажмите Next.
Придумайте любое название правила, например «NameID», и укажите его в поле Claim rule name.
В поле Outgoing claim type выберите Name ID. Нажмите Finish.
Создайте еще одно правило: снова нажмите Add Rule. Выберите шаблон Send LDAP Attributes as Claims и нажмите Next.
Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже:

Затем нажмите Finish.
Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке: User.Firstname, User.Surname, User.EmailAddress. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.

В блоке Trust Relationships правой кнопкой мыши нажмите на отношение, созданное на шаге 1 и выберите Edit Claim Issuance Policy.
Нажмите Add Rule. Выберите шаблон Send LDAP Attributes as Claims и нажмите Next.
Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже. Напротив типа «Name ID» укажите атрибут: «objectGUID», «objectSID» или другой.

Затем нажмите Finish.
Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке: User.Firstname, User.Surname, User.EmailAddress. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.

Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360

URL страницы входа

Адрес точки входа. Как правило это https://домен/adfs/ls.

В консоли управления откройте Endpoints и убедитесь, что для параметра Proxy Enabled у /adfs/ls/ установлено значение Yes. Этот параметр отвечает за активацию страницы аутентификации в AD FS, которая должна быть доступна извне, — адрес вида https://домен_ADFS/adfs/ls/idpinitiatedsignon.aspx.

Издатель поставщика удостоверений

Entity ID домена. Как правило, это http://домен/adfs/services/trust.

Чтобы получить его, в консоли управления перейдите на вкладку Action и выберите Edit Federation Service Properties.

Нужное значение находится в поле Federation Service identifier.

Проверочный сертификат

Сертификат подписи токенов формата X.509 в Base64. Чтобы получить:

В консоли управления откройте Certificates.
Нажмите два раза на ваш сертификат Token-signing.
Перейдите на вкладку Details и нажмите Copy to File.
Выберите тип сертификата Base-64 encoded X.509 (.CER) и нажмите Next.
Сохраните файл на жесткий диск.

Если у вас два активных сертификата подписи токенов и вы не уверены, какой сертификат используется сейчас, повторите аналогичные действия для второго сертификата.

Шаг 5. Настройте синхронизацию сотрудников SCIM

По умолчанию новые сотрудники появляются в Яндекс 360 только после первой авторизации, а бывших сотрудников нужно удалять вручную. Если вы хотите автоматически синхронизировать список сотрудников из AD FS с Яндекс 360 для бизнеса, подключите синхронизацию SCIM.

Проблемы с настройкой

Если заданы неверные значения атрибутов, при входе через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response: Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.
request_your_admin: Ошибка появляется, если администратор каталога пользователей вашей организации, например Active Directory или Keycloak, ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.
samlresponse.invalid: Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.
unsupportable_domain: Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.