Как подключить

Если у вас подключен и настроен поставщик удостоверений, вы можете подключить его к Яндекс 360. Для этого нужно настроить вашу федерацию удостоверений, а затем — сам Яндекс 360 для бизнеса.

Требования к организации

Единый вход (SSO) доступен в тарифах Расширенный и Оптимальный. При переходе на Базовый тариф SSO отключится.

Прежде чем перейти к настройке единого входа (SSO), убедитесь, что в вашей организации:

  • Подключен тариф, в котором доступен SSO.

  • Подключен домен.

  • Нет аккаунтов сотрудников, созданных на домене организации. Доменные аккаунты сотрудников — аккаунты с адресами вида login@example.com, где @example.com — имя вашей организации (домен). Такие аккаунты добавляются администратором организации вручную в разделе Пользователи → Сотрудники.

Шаг 1. Настройте федерацию удостоверений

Чтобы ваша федерация удостоверений смогла взаимодействовать с Яндекс 360, ее нужно настроить.

О том, как это сделать для разных поставщиков удостоверений, читайте в разделах:

Убедитесь, что ваш поставщик удостоверений совместим со службой каталога, которую вы используете. Совместимости приведены в таблице.

Служба каталога

Поставщик удостоверений

Microsoft Active Directory

  • Microsoft AD FS
  • Keycloak
  • Avanpost FAM
  • Multifactor

Samba DC

  • Keycloak
  • Avanpost FAM
  • Multifactor

Red ADM

  • Keycloak
  • Avanpost FAM
  • Multifactor

ALD Pro

  • Keycloak
  • Avanpost FAM
  • Multifactor

FreeIPA

  • Keycloak
  • Avanpost FAM
  • Multifactor

Если у вас другой поставщик удостоверений, ознакомьтесь с его документацией. Вы также можете отталкиваться от наших инструкций. При настройке обязательно укажите следующие параметры:

  • Service URL: https://passport.yandex.ru/auth/sso/commit.

  • Идентификатор: https://yandex.ru/ (обязательно с косой чертой в конце).

  • Если ваши сотрудники пользуются сервисами не только на русском языке, дополнительно добавьте URL других языковых доменов в качестве конечных точек (Endpoints) с привязкой POST. Например:

    • https://passport.yandex.com/auth/sso/commit — для английского;

    • https://passport.yandex.kz/auth/sso/commit — для казахского;

    • https://passport.yandex.uz/auth/sso/commit — для узбекского;

    • https://passport.yandex.com.tr/auth/sso/commit — для турецкого.

    Полный список
    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

Также получите URL-адрес страницы входа, ID вашего поставщика удостоверений и проверочный сертификат X.509. Они пригодятся вам на следующем шаге.

Шаг 2. Настройте Яндекс 360 для бизнеса

  1. Откройте Яндекс 360 для бизнеса.

  2. Перейдите в раздел Общие настройки → Единый вход (SSO).

  3. Нажмите Настроить.

  4. Заполните поля с обязательными параметрами:

    • URL страницы входа — URL-адрес конечной точки SAML 2.0.

    • Издатель поставщика удостоверений — ID субъекта IdP.

    • Проверочный сертификат — сертификат от поставщика удостоверений.

      Если текущий сертификат скоро истекает, вы можете добавить второй ему на замену — для этого нажмите Добавить второй сертификат для обновления.

  5. Для синхронизации учетных записей из каталогов LDAP: чтобы обновлять список сотрудников в Яндекс 360 автоматически, настройте синхронизацию и укажите ID вашего приложения в блоке Синхронизация SCIM.

  6. Сохраните изменения.

  7. Нажмите Включить.

Шаг 3. Проверьте аутентификацию

  1. Откройте браузер в режиме гостя или инкогнито.

  2. Перейдите на страницу passport.yandex.by/auth, введите логин учетной записи из поставщика удостоверений и нажмите Войти. Если все настроено верно, вы будете перенаправлены на страницу входа, которую указали на шаге 2.

Отладка и устранение проблем

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Также она может возникнуть в течение 14 дней до истечения проверочного сертификата или после его истечения. Проверьте корректность настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360.

SAML-tracer для устранения неполадок

SAML-tracer — это расширение браузера, которое отслеживает SAML-события, помогает найти и исправить ошибки при настройке единого входа (SSO). Отчет о проверке можно экспортировать в файл JSON.

Установка и запуск

Установите расширение по ссылке:

  • SAML-tracer — для Яндекс Браузера, Google Chrome и Microsoft Edge;
  • SAML-tracer — для Mozilla Firefox.

Чтобы запустить SAML-tracer, нажмите на значок  на панели расширений браузера или комбинацию Alt + Shift + s на клавиатуре.

Отслеживание SAML-событий

  1. Откройте браузер в режиме гостя или инкогнито и запустите SAML-tracer. Если значок  отсутствует или окно SAML-tracer не открылось, в настройках расширения включите Разрешить использование в режиме инкогнито.
  2. Перейдите на страницу passport.yandex.by/auth, введите логин учетной записи из поставщика удостоверений и нажмите Войти. В окне SAML-tracer появятся записи GET и POST, SAML-события будут выделены оранжевым цветом и меткой.
  3. Чтобы проверить атрибуты и их значения, выберите запись с SAML-событием и перейдите на вкладку SAML на панели предварительного просмотра.

Экспорт отчета в файл

  1. Выберите запись с SAML-событием.
  2. Нажмите Export на панели инструментов SAML-tracer.
  3. Чтобы скрыть конфиденциальную информацию, выберите Mask values.
  4. Нажмите Export. Файл в формате JSON скачается на ваш компьютер.

Ограничения при включенном едином входе (SSO)

После того как вы включите единый вход (SSO), для организации станут недоступны импорт сотрудников и перемещение отделов.

Если вы также подключили утилиту ADSCIM, будет отключено управление почтовыми алиасами через интерфейс Яндекс 360 для бизнеса.

Если в Яндекс 360 для бизнеса вы используете несколько организаций и решили подключить единый вход (SSO), то он включится одновременно для всех организаций.

Для корректной работы единого входа (SSO) используйте один токен для всех организаций.

Выключение единого входа (SSO) работает аналогично. Если в одной из организаций вы перейдете на Базовый тариф, единый вход отключится в этой организации и в других.

Написать в службу поддержки

Служба, которая хранит удостоверения пользователей и управляет ими, например Active Directory или Keycloak.

Федерация удостоверений позволяет настроить аутентификацию пользователей с помощью технологии единого входа — Single Sign-On (SSO). При таком подходе поставщик удостоверений (IdP), например Active Directory или Keycloak, отвечает за аутентификацию пользователей, а поставщик сервисов (SP), например сервис или приложение, управляет доступом к ресурсам.