Настройка Azure Active Directory (английский интерфейс)

Чтобы организовать единый вход (SSO) в организацию ID через Azure Active Directory, нужно предварительно создать и настроить SAML-приложение.

Шаг 1. Создайте и настройте SAML-приложение

  1. Войдите в центр администрирования Azure Active Directory.

  2. В разделе Azure Active Directory на панели слева перейдите на вкладку Enterprise applications.

  3. Создайте SAML-приложение:

    1. Нажмите кнопку New application.

    2. На вкладке Browse Azure AD Gallery нажмите кнопку Create your own application.

    3. В правой части открывшегося окна введите название приложения, например yandexsso.

    4. Выберите вариант приложения: Integrate any other application you don't find in the gallery (Non-gallery).

    5. Нажмите кнопку Create.

    На вкладке Enterprise applications в списке All applications добавится созданное приложение.

  4. Выберите ваше приложение в списке.

    Если вы не хотите специально назначать пользователей, которым доступен единый вход (SSO), на вкладке Properties для параметра Assign Required выберите значение No. Чтобы сохранить настройки, наверху вкладки нажмите кнопку Save.

    Чтобы сделать единый вход (SSO) доступным для отдельных пользователей, на вкладке Properties для параметра Assign Required выберите значение Yes. Затем перейдите на вкладку Пользователи и группы, нажмите Добавить пользователя или группу и укажите нужных пользователей.

  5. Перейдите на вкладку Single sign-on и выберите способ единого входа SAML.

  6. В окне Set up Single Sign-On with SAML в разделе Basic SAML Configuration нажмите кнопку Edit и установите параметры:

    1. Identifier (Entity ID): https://yandex.ru/ (обязательно со слешем в конце).

    2. Reply URL (Assertion Consumer Service URL): https://passport.yandex.ru/auth/sso/commit.

    3. Sign on URL (необязательный параметр): https://passport.yandex.ru/auth/sso/commit.

    4. Если ваши сотрудники пользуются сервисами не только на русском языке, в полях Reply URL (Assertion Consumer Service URL) и Sign on URL дополнительно добавьте URL других языковых доменов. Например:

      https://passport.yandex.com/auth/sso/commit — для английского;

      https://passport.yandex.kz/auth/sso/commit — для казахского;

      https://passport.yandex.uz/auth/sso/commit — для узбекского;

      https://passport.yandex.com.tr/auth/sso/commit — для турецкого.

      Полный список

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.az/auth/sso/commit

      https://passport.yandex.by/auth/sso/commit

      https://passport.yandex.co.il/auth/sso/commit

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.com.am/auth/sso/commit

      https://passport.yandex.com.ge/auth/sso/commit

      https://passport.yandex.com.tr/auth/sso/commit

      https://passport.yandex.ee/auth/sso/commit

      https://passport.yandex.eu/auth/sso/commit

      https://passport.yandex.fi/auth/sso/commit

      https://passport.yandex.fr/auth/sso/commit

      https://passport.yandex.kg/auth/sso/commit

      https://passport.yandex.kz/auth/sso/commit

      https://passport.yandex.lt/auth/sso/commit

      https://passport.yandex.lv/auth/sso/commit

      https://passport.yandex.md/auth/sso/commit

      https://passport.yandex.pl/auth/sso/commit

      https://passport.yandex.ru/auth/sso/commit

      https://passport.yandex.tj/auth/sso/commit

      https://passport.yandex.tm/auth/sso/commit

      https://passport.yandex.ua/auth/sso/commit

      https://passport.yandex.uz/auth/sso/commit

    5. Нажмите Save.

Шаг 2. Настройте сопоставление атрибутов пользователей

  1. Перейдите в Enterprise applications → All applications → <ваше приложение> → SAML-based Sign-on, чтобы синхронизировать атрибуты пользователей в Azure Active Directory и организации ID.

  2. В разделе Attributes & Claims выберите Unique User Identifier (Name ID).

  3. Чтобы имя и фамилия пользователя корректно отображались в организации ID, в поле Source attribute группы настроек Required claim введите user.mail, а затем нажмите Save.

  4. В группе настроек Additional claims измените существующие утверждения или удалите и создайте их заново:

    Claim name

    Value

    User.EmailAddress

    user.mail

    User.Firstname

    user.givenname

    User.Surname

    user.surname

    Пример SAML-запроса:

    <Attribute Name="User.EmailAddress">
   <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
   <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
   <AttributeValue>Firstname</AttributeValue>
</Attribute>

Шаг 3. Сохраните сертификат

  1. Перейдите в Enterprise applications → All applications → <ваше приложение> → SAML-based Sign-on.

  2. В разделе SAML Signing Certificate рядом с параметром Certificate (Base64) нажмите Download. Сохраните файл на жесткий диск. Сохраненный файл с расширением .cer можно открыть в любом текстовом редакторе.

Шаг 4. Соберите данные, которые нужно будет передать Яндекс ID

Для дальнейшей настройки в Яндекс ID вам понадобится сертификат, который вы получили на шаге 3, и значения параметров конфигурации:

  • Login URL

  • Azure AD Identifier

Чтобы сохранить значения параметров:

  1. Enterprise applications → All applications → <ваше приложение> → SAML-based Sign-on перейдите в раздел Set up <название приложения>.

  2. Скопируйте значения полей Login URL и Azure AD Identifier в любое удобное место.

После этого переходите к настройке организации ID.

Решение проблем с настройкой

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации, например Active Directory или Keycloak, ограничил для аккаунта доступ к организации ID. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в организации ID: Настройки → SSO от Яндекс ID → строка с доменом организации.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен организации. Если они не совпадают, вы увидите сообщение об ошибке.
Предыдущая
Настройка Azure Active Directory
Следующая
Настройка Keycloak версии 18