Настройка Active Directory
Если вы используете интерфейс Active Directory на английском языке, воспользуйтесь этой инструкцией.
Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через службу федерации Active Directory, нужно предварительно настроить сервер.
Шаг 1. Создайте отношение доверия с проверяющей стороной
- Войдите на ваш сервер AD FS и откройте Диспетчер серверов.
- Откройте консоль управления: нажмите.
- В списке действий выберите Добавить отношение доверия проверяющей стороны.
- Выберите Поддерживающие утверждения и нажмите Старт.
- Для автоматической настройки отношения на шаге Выбор источника данных выберите Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети и введите URL:
https://passport.yandex.ru/auth/sso/metadata
.Нажмите Далее.
- На шаге Выбор источника данных выберите Ввод данных о проверяющей стороне вручную. Затем нажмите Далее.
- Задайте любое название отношения, например «Яндекс 360». Нажмите Далее.
- Пропустите шаг Настройка сертификата — для этого нажмите Далее.
- Отметьте Включить поддержку протокола SAML 2.0 WebSSO и укажите URL:
https://passport.yandex.ru/auth/sso/commit
. Нажмите Далее. - Добавьте идентификатор
https://yandex.ru/
(обязательно со слешем в конце) — вставьте его в поле и нажмите Добавить. Затем нажмите Далее. - Пропустите шаг Выбрать политику управления доступом.
Как настроить отношение вручную - Проверьте данные. Убедитесь, что на вкладке Дополнительно выбран алгоритм хеширования
SHA-256
. Если все в порядке, нажмите .Если вы воспользовались автоматической настройкой отношения, переходите сразу к шагу 3. При ручном создании отношения выполните шаг 2.
Шаг 2. Добавьте конечные точки для языковых доменов
Если ваши сотрудники пользуются сервисами Яндекс 360 не только на русском домене, дополнительно добавьте URL языковых доменов в качестве конечных точек:
- В консоли управления нажмите Отношения доверия проверяющей стороны.
- Откройте настройки отношения, созданного на шаге 1, — для этого нажмите на него два раза.
- Перейдите на вкладку Конечные точки.
- Добавьте нужные вам конечные точки.
Чтобы добавить конечную точку для языкового домена, нажмите Добавить SAML, в значении Привязка выберите
POST
и укажите URL:https://passport.yandex.com/auth/sso/commit
— для английского;https://passport.yandex.kz/auth/sso/commit
— для казахского;https://passport.yandex.uz/auth/sso/commit
— для узбекского;https://passport.yandex.com.tr/auth/sso/commit
— для турецкого.
https://passport.yandex.com/auth/sso/commit
https://passport.yandex.az/auth/sso/commit
https://passport.yandex.by/auth/sso/commit
https://passport.yandex.co.il/auth/sso/commit
https://passport.yandex.com/auth/sso/commit
https://passport.yandex.com.am/auth/sso/commit
https://passport.yandex.com.ge/auth/sso/commit
https://passport.yandex.com.tr/auth/sso/commit
https://passport.yandex.ee/auth/sso/commit
https://passport.yandex.eu/auth/sso/commit
https://passport.yandex.fi/auth/sso/commit
https://passport.yandex.fr/auth/sso/commit
https://passport.yandex.kg/auth/sso/commit
https://passport.yandex.kz/auth/sso/commit
https://passport.yandex.lt/auth/sso/commit
https://passport.yandex.lv/auth/sso/commit
https://passport.yandex.md/auth/sso/commit
https://passport.yandex.pl/auth/sso/commit
https://passport.yandex.ru/auth/sso/commit
https://passport.yandex.tj/auth/sso/commit
https://passport.yandex.tm/auth/sso/commit
https://passport.yandex.uz/auth/sso/commit
Полный список
Шаг 3. Настройте сопоставление утверждений
Чтобы настроить сопоставление утверждений, нужно указать атрибут. Он будет использоваться для идентификации пользователя в Яндекс ID. После того, как вы выберете атрибут, поменять его будет нельзя.
- Если имена для входа пользователей не будут меняться, укажите атрибут «UPN».
- Если же в вашей организации запланированы изменения домена или бизнес-процессов, которые могут привести к изменению UPN пользователей, нужно будет выбрать : «objectSID», «objectGUID» или другой.
Как указать атрибут:
- В блоке Отношения доверия проверяющей стороны правой кнопкой мыши нажмите на отношение, созданное на шаге 1, и выберите Изменить политику подачи запросов.
- Нажмите Добавить правило.
- В поле Шаблон правила утверждения выберите Преобразование входящего утверждения и нажмите Далее.
- Придумайте любое название правила, например «NameID», и укажите его в поле Имя правила утверждения.В поле Тип исходящего утверждения выберите
Name ID
. Нажмите Готово. - Создайте еще одно правило: снова нажмите Добавить правило. Выберите шаблон Отправка атрибутов LDAP как утверждений и нажмите Далее.
- Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже:
Затем нажмите Готово.
Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке:
User.Firstname
,User.Surname
,User.EmailAddress
. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.
- В блоке Отношения доверия проверяющей стороны правой кнопкой мыши нажмите на отношение, созданное на шаге 1, и выберите Изменить политику подачи запросов.
- Нажмите Добавить правило. Выберите шаблон Отправка атрибутов LDAP как утверждений и нажмите Далее.
- Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже. Напротив типа «Name ID» укажите атрибут: «objectGUID», «objectSID» или другой.
Затем нажмите Готово.
Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке:
User.Firstname
,User.Surname
,User.EmailAddress
. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.
Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360
- URL страницы входа
Адрес точки входа. Как правило это
В консоли управления откройте Конечные точки и убедитесь, что для параметра С включенным прокси уhttps://домен/adfs/ls
./adfs/ls/
установлено значениеДа
. Этот параметр отвечает за активацию страницы аутентификации в AD FS, которая должна быть доступна извне, — адрес видаhttps://домен_ADFS/adfs/ls/idpinitiatedsignon.aspx
.- Издатель поставщика удостоверений
- Entity ID домена. Как правило, это
http://домен/adfs/services/trust
. - Проверочный сертификат
- Сертификат подписи токенов формата X.509 в Base64. Чтобы получить:
- В консоли управления откройте Сертификаты.
- Нажмите два раза на ваш сертификат Для подписи маркера.
- Перейдите на вкладку Состав и нажмите Копировать в файл.
- Выберите тип сертификата Файлы X.509 (.CER) в кодировке Base-64 и нажмите Далее.
- Сохраните файл на жесткий диск.
Если у вас два активных сертификата подписи токенов и вы не уверены, какой сертификат используется сейчас, повторите аналогичные действия для второго сертификата.
Шаг 5. Настройте синхронизацию сотрудников SCIM
По умолчанию новые сотрудники появляются в Яндекс 360 только после первой авторизации, а бывших сотрудников нужно удалять вручную. Если вы хотите автоматически синхронизировать список сотрудников из AD FS с Яндекс 360 для бизнеса, подключите синхронизацию SCIM.
Решение проблем с настройкой
Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:
- email.no_in_response
-
Указывайте имена атрибутов в формате
User.Firstname
,User.Surname
,User.EmailAddress
. Если задать другой формат, напримерFirstname
, авторизоваться не получится. - request_your_admin
-
Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.
- samlresponse.invalid
-
Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.
- unsupportable_domain
-
Проверьте, что домен из почтового атрибута
User.EmailAddress
в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.