Настройка Active Directory

Если вы используете интерфейс Active Directory на английском языке, воспользуйтесь этой инструкцией.

Чтобы организовать единый вход (SSO) в организацию ID через службу федерации Active Directory, нужно предварительно настроить сервер.

Шаг 1. Создайте отношение доверия с проверяющей стороной

  1. Войдите на ваш сервер AD FS и откройте Диспетчер серверов.

  2. Откройте консоль управления: нажмите Средства → Управление AD FS.

  3. В списке действий выберите Добавить отношение доверия проверяющей стороны.

  4. Выберите Поддерживающие утверждения и нажмите Старт.

  5. Для автоматической настройки отношения на шаге Выбор источника данных выберите Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети и введите URL: https://passport.yandex.ru/auth/sso/metadata.

    Нажмите Далее.

    Как настроить отношение вручную

    1. На шаге Выбор источника данных выберите Ввод данных о проверяющей стороне вручную. Затем нажмите Далее.

    2. Задайте любое название отношения, например «Яндекс ID». Нажмите Далее.

    3. Пропустите шаг Настройка сертификата — для этого нажмите Далее.

    4. Отметьте Включить поддержку протокола SAML 2.0 WebSSO и укажите URL: https://passport.yandex.ru/auth/sso/commit. Нажмите Далее.

    5. Добавьте идентификатор https://yandex.ru/ (обязательно со слешем в конце) — вставьте его в поле и нажмите Добавить. Затем нажмите Далее.

    6. Пропустите шаг Выбрать политику управления доступом.

  6. Проверьте данные. Убедитесь, что на вкладке Дополнительно выбран алгоритм хеширования SHA-256. Если все в порядке, нажмите Далее → Закрыть.

    Если вы воспользовались автоматической настройкой отношения, переходите сразу к шагу 3. При ручном создании отношения выполните шаг 2.

Шаг 2. Добавьте конечные точки для языковых доменов

Внимание

Пропустите этот шаг, если вы выбрали автоматическую настройку отношения в пункте 5 шага 1.

Если ваши сотрудники пользуются Яндекс ID не только на русском домене, дополнительно добавьте URL языковых доменов в качестве конечных точек:

  1. В консоли управления нажмите Отношения доверия проверяющей стороны.

  2. Откройте настройки отношения, которое вы создалия на шаге 1, — для этого нажмите на него два раза.

  3. Перейдите на вкладку Конечные точки.

  4. Добавьте нужные вам конечные точки.

    Чтобы добавить конечную точку для языкового домена, нажмите Добавить SAML, в значении Привязка выберите POST и укажите URL:

    • https://passport.yandex.com/auth/sso/commit — для английского;

    • https://passport.yandex.kz/auth/sso/commit — для казахского;

    • https://passport.yandex.uz/auth/sso/commit — для узбекского;

    • https://passport.yandex.com.tr/auth/sso/commit — для турецкого.

    Полный список

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

    Затем нажмите OK.

Шаг 3. Настройте сопоставление утверждений

Чтобы настроить сопоставление утверждений, нужно указать атрибут. Он будет использоваться для идентификации пользователя в Яндекс ID. После того как вы выберете атрибут, поменять его будет нельзя.

  • Если имена для входа пользователей не будут меняться, укажите атрибут «UPN».

  • Если же в вашей организации запланированы изменения домена или бизнес-процессов, которые могут привести к изменению UPN пользователей, нужно будет выбрать другой атрибут: «objectSID», «objectGUID» или другой.

Как указать атрибут:

  1. В блоке Отношения доверия проверяющей стороны правой кнопкой мыши нажмите на отношение, которое вы создали на шаге 1, и выберите Изменить политику подачи запросов.

  2. Нажмите Добавить правило.

  3. В поле Шаблон правила утверждения выберите Преобразование входящего утверждения и нажмите Далее.

  4. Придумайте любое название правила, например «NameID», и укажите его в поле Имя правила утверждения.

    В поле Тип исходящего утверждения выберите Name ID. Нажмите Готово.

  5. Создайте еще одно правило: снова нажмите Добавить правило. Выберите шаблон Отправка атрибутов LDAP как утверждений и нажмите Далее.

  6. Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже:

    Затем нажмите Готово.

    Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке: User.Firstname, User.Surname, User.EmailAddress. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.

  1. В блоке Отношения доверия проверяющей стороны правой кнопкой мыши нажмите на отношение, которое вы создали на шаге 1, и выберите Изменить политику подачи запросов.

  2. Нажмите Добавить правило. Выберите шаблон Отправка атрибутов LDAP как утверждений и нажмите Далее.

  3. Задайте правилу название, например «LDAPATTR». Заполните остальные поля, как указано ниже. Напротив типа «Name ID» укажите атрибут: «objectGUID», «objectSID» или другой.

    Затем нажмите Готово.

    Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке: User.Firstname, User.Surname, User.EmailAddress. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.

Шаг 4. Соберите данные, которые нужно будет передать Яндекс ID

URL страницы входа

Адрес точки входа. Как правило, это https://домен/adfs/ls.

В консоли управления откройте Конечные точки и убедитесь, что для параметра С включенным прокси у /adfs/ls/ установлено значение Да. Этот параметр отвечает за активацию страницы аутентификации в AD FS, которая должна быть доступна извне, — адрес вида https://домен_ADFS/adfs/ls/idpinitiatedsignon.aspx.

Издатель поставщика удостоверений

Entity ID домена. Как правило, это http://домен/adfs/services/trust.

Чтобы получить его, в консоли управления перейдите на вкладку Действие и выберите Изменить свойства службы федерации.

Нужное значение находится в поле Идентификатор службы федерации.

Проверочный сертификат

Сертификат подписи токенов формата X.509 в Base64. Чтобы получить:

1. В консоли управления откройте Сертификаты.

2. Нажмите два раза на ваш сертификат Для подписи маркера.

3. Перейдите на вкладку Details и нажмите Копировать в файл.

4. Выберите тип сертификата Файлы X.509 (.CER) в кодировке Base-64 и нажмите Далее.

5. Сохраните файл на жесткий диск.

Если у вас два активных сертификата подписи токенов и вы не уверены, какой из них используется сейчас, повторите аналогичные действия для второго сертификата.

Шаг 5. Настройте синхронизацию сотрудников SCIM

По умолчанию новые сотрудники появляются в организации ID только после первой авторизации, а бывших сотрудников нужно удалять вручную. Если вы хотите автоматически синхронизировать список сотрудников из AD FS с организацией ID, подключите синхронизацию SCIM.

Решение проблем с настройкой

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации, например Active Directory или Keycloak, ограничил для аккаунта доступ к организации ID. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в организации ID: Настройки → SSO от Яндекс ID → строка с доменом организации.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен организации. Если они не совпадают, вы увидите сообщение об ошибке.
Предыдущая
Как подключить
Следующая
Настройка Active Directory (EN)