Как подключить

Требования к организации

Прежде чем перейти к настройке единого входа (SSO), убедитесь, что в вашей организации:

  • Подключен тариф«Оптимальный» или «Расширенный». Если вы решите перейти на базовый тариф, единый вход (SSO) отключится.
  • Подключен домен (и притом только один).
  • Нет аккаунтов сотрудников, созданных на домене организации. Доменные аккаунты сотрудников — аккаунты с адресами вида login@example.com, где @example.com — имя вашей организации (домен). Такие аккаунты добавляются администратором организации вручную в разделе Пользователи → Сотрудники.

Если в Яндекс 360 для бизнеса вы используете несколько организаций и решили подключить единый вход (SSO), то он включится одновременно для всех организаций.

Выключение единого входа (SSO) работает аналогично. Если в одной из организаций вы перейдете на базовый тариф, единый вход отключится в этой организации и в других.

Шаг 1. Настройте федерацию удостоверений

Чтобы ваша федерация удостоверений смогла взаимодействовать с Яндекс 360, ее нужно настроить.

О том, как это сделать для разных поставщиков удостоверений, читайте в разделах:

Если у вас другой поставщик удостоверений, ознакомьтесь с его документацией. Вы также можете отталкиваться от наших инструкций. При настройке обязательно укажите следующие параметры:

  • Service URL: https://passport.yandex.ru/auth/sso/commit.
  • Идентификатор: https://yandex.ru/ (обязательно со слешем в конце).
  • Если ваши сотрудники пользуются сервисами не только на русском языке, дополнительно добавьте URL других языковых доменов в качестве конечных точек (Endpoints) с привязкой POST. Например:

    • https://passport.yandex.com/auth/sso/commit — для английского;
    • https://passport.yandex.kz/auth/sso/commit — для казахского;
    • https://passport.yandex.uz/auth/sso/commit — для узбекского;
    • https://passport.yandex.com.tr/auth/sso/commit — для турецкого.
    Полный список
    • https://passport.yandex.com/auth/sso/commit
    • https://passport.yandex.az/auth/sso/commit
    • https://passport.yandex.by/auth/sso/commit
    • https://passport.yandex.co.il/auth/sso/commit
    • https://passport.yandex.com/auth/sso/commit
    • https://passport.yandex.com.am/auth/sso/commit
    • https://passport.yandex.com.ge/auth/sso/commit
    • https://passport.yandex.com.tr/auth/sso/commit
    • https://passport.yandex.ee/auth/sso/commit
    • https://passport.yandex.eu/auth/sso/commit
    • https://passport.yandex.fi/auth/sso/commit
    • https://passport.yandex.fr/auth/sso/commit
    • https://passport.yandex.kg/auth/sso/commit
    • https://passport.yandex.kz/auth/sso/commit
    • https://passport.yandex.lt/auth/sso/commit
    • https://passport.yandex.lv/auth/sso/commit
    • https://passport.yandex.md/auth/sso/commit
    • https://passport.yandex.pl/auth/sso/commit
    • https://passport.yandex.ru/auth/sso/commit
    • https://passport.yandex.tj/auth/sso/commit
    • https://passport.yandex.tm/auth/sso/commit
    • https://passport.yandex.uz/auth/sso/commit

Также получите URL-адрес страницы входа, ID вашего поставщика удостоверений и проверочный сертификат X.509. Они пригодятся вам на следующем шаге.

Шаг 2. Настройте Яндекс 360 для бизнеса

  1. Перейдите в раздел Общие настройки → Единый вход (SSO).
  2. Нажмите Настроить.
  3. Заполните поля с обязательными параметрами:

    • URL страницы входа — URL-адрес конечной точки SAML 2.0.
    • Издатель поставщика удостоверений — ID субъекта IdP.
    • Проверочный сертификат — сертификат от поставщика удостоверений.

      Если текущий сертификат скоро истекает, вы можете добавить второй ему на замену — для этого нажмите Добавить второй сертификат для обновления.
  4. Для AD FS: чтобы обновлять список сотрудников в Яндекс 360 автоматически, настройте синхронизацию и укажите ID вашего приложения в блоке Синхронизация SCIM.
  5. Сохраните изменения.
  6. Нажмите Включить.

Шаг 3. Проверьте аутентификацию

  1. Откройте браузер в режиме гостя или инкогнито.
  2. Перейдите на страницу id.yandex.ru/auth, введите логин учетной записи из поставщика удостоверений и нажмите Войти. Если всё настроено верно, вы будете перенаправлены на страницу входа, которую указали на шаге 2.

Ограничения при включенном едином входе (SSO)

После того, как вы включите единый вход (SSO), для организации станут недоступны импорт сотрудников и перемещение отделов.

Если вы также подключили утилиту ADSCIM, будет отключено управление почтовыми алиасами через интерфейс Яндекс 360 для бизнеса.