Настройка Avanpost FAM

1. Авторизуйтесь в Avanpost.
2. Откройте веб-интерфейс Avanpost FAM.
3. Создайте SAML-приложение — перейдите в раздел Приложения и нажмите Добавить приложение.

   

4. Задайте Основные настройки приложения:

   1. Наименование — укажите произвольное название приложения, например «Yandex360».
   2. Тип — выберите SAML.
   3. Проверьте, что опция Показывать приложение пользователям включена.
   4. Нажмите Далее.

   

5. Задайте Настройки интеграции:

   1. В поле Issuer введите https://yandex.ru/ (обязательно со знаком слеш в конце).
   2. В поле ACS введите Service URL: https://passport.yandex.ru/auth/sso/commit.
   3. Поля Базовый URL и Logout оставьте пустыми.
   4. Задайте NameID Format — выберите из списка Постоянный.
   5. В поле Значение NameID выберите идентификатор, который вы будете использовать в качестве NameID при SAML SSO — Имя пользователя или Адрес электронной почты.

   6. Нажмите Далее.

   

6. Задайте Настройки аутентификации:

   1. Для нового процесса аутентификации задайте проверку по имени пользователя и паролю — включите метод Password в предлагаемом списке факторов.
   2. Остальные методы оставьте выключенными.
   3. Нажмите Далее.

   

7. Активируйте приложение:

   1. Отметьте опцию Сделать приложение активным.
   2. Нажмите Сохранить.

   

1. В разделе Приложения веб-интерфейса Avanpost FAM выберите созданное на Шаге 1 SAML-приложение.

2. В открывшемся окне перейдите на вкладку Attributes.

   

3. Нажимая значок , добавьте поочередно три атрибута:

   • User.EmailAddress — адрес электронной почты;
   • User.Surname — фамилия;
   • User.Firstname — имя.

   

4. Настройте синхронизацию атрибутов Avanpost FAM и Яндекс 360 — откройте каждый атрибут и измените параметры источников значений.

   Значения SAML Attribute Name, которые поддерживаются в Яндекс 360 для бизнеса, приведены в таблице.

   SAML Attribute Name	Значение
   User.EmailAddress	user.email
   User.Firstname	user.family_name
   User.Surname	user.given_name

   SAML Attribute Name	Значение
   User.EmailAddress	user.email
   User.Firstname	user.family_name
   User.Surname	user.given_name

   В итоге сопоставление атрибутов будет выглядеть так:

   

   

   

http://<avanpost hostmane/IP>/.well-known/samlidp.xml
Скопировано

Для SSO вам потребуются следующие данные:

• URL страницы входа — адрес точки входа. Значение указано в поле Location.
• Издатель поставщика удостоверений — Entity ID домена. Значение указано в поле entityID.
• Проверочный сертификат — сертификат подписи токенов формата X.509. Значение указано в поле X509Certificate.

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.