Как подключить

Если у вас подключен и настроен поставщик удостоверений, вы можете подключить его к организации ID. Для этого нужно настроить вашу федерацию удостоверений, а затем — саму организацию ID.

Шаг 1. Настройте федерацию удостоверений

Чтобы ваша федерация удостоверений смогла взаимодействовать с организацией ID, ее нужно настроить.

О том, как это сделать для разных поставщиков удостоверений, читайте в разделах:

Если у вас другой поставщик удостоверений, ознакомьтесь с его документацией. Вы также можете отталкиваться от наших инструкций. При настройке обязательно укажите следующие параметры:

Service URL: https://passport.yandex.ru/auth/sso/commit.
Идентификатор: https://yandex.ru/ (обязательно со слешем в конце).
Если ваши сотрудники пользуются сервисами не только на русском языке, дополнительно добавьте URL других языковых доменов в качестве конечных точек (Endpoints) с привязкой POST. Например:
- https://passport.yandex.com/auth/sso/commit — для английского;
- https://passport.yandex.kz/auth/sso/commit — для казахского;
- https://passport.yandex.uz/auth/sso/commit — для узбекского;
- https://passport.yandex.com.tr/auth/sso/commit — для турецкого.
Полный список
- https://passport.yandex.com/auth/sso/commit
- https://passport.yandex.az/auth/sso/commit
- https://passport.yandex.by/auth/sso/commit
- https://passport.yandex.co.il/auth/sso/commit
- https://passport.yandex.com/auth/sso/commit
- https://passport.yandex.com.am/auth/sso/commit
- https://passport.yandex.com.ge/auth/sso/commit
- https://passport.yandex.com.tr/auth/sso/commit
- https://passport.yandex.ee/auth/sso/commit
- https://passport.yandex.eu/auth/sso/commit
- https://passport.yandex.fi/auth/sso/commit
- https://passport.yandex.fr/auth/sso/commit
- https://passport.yandex.kg/auth/sso/commit
- https://passport.yandex.kz/auth/sso/commit
- https://passport.yandex.lt/auth/sso/commit
- https://passport.yandex.lv/auth/sso/commit
- https://passport.yandex.md/auth/sso/commit
- https://passport.yandex.pl/auth/sso/commit
- https://passport.yandex.ru/auth/sso/commit
- https://passport.yandex.tj/auth/sso/commit
- https://passport.yandex.tm/auth/sso/commit
- https://passport.yandex.uz/auth/sso/commit

Также получите URL-адрес страницы входа, ID вашего поставщика удостоверений и проверочный сертификат X.509. Они пригодятся вам на следующем шаге.

Шаг 2. Настройте организацию ID

Нажмите свое фото в правом верхнем углу на главной странице Яндекс ID.
Нажмите Выбрать организацию и название компании → Настройки → SSO от Яндекс ID → Подключить SSO.
Заполните поля с обязательными параметрами:
- URL страницы входа — URL-адрес конечной точки SAML 2.0.
- Издатель поставщика удостоверений — ID субъекта IdP.
- Проверочный сертификат — сертификат от поставщика удостоверений.
- Доменное имя — домен вашей организации.
Для AD FS: чтобы обновлять список сотрудников в организации ID автоматически, настройте синхронизацию и укажите ID вашего приложения в блоке Синхронизация SCIM.
Сохраните изменения.
Нажмите Подключить.

Шаг 3. Проверьте аутентификацию

Откройте браузер в режиме гостя или инкогнито.
Перейдите на страницу passport.yandex.ru/auth, введите логин учетной записи из поставщика удостоверений и нажмите Войти. Если все настроено верно, вы будете перенаправлены на страницу входа, которую указали на шаге 2.

Отладка и устранение проблем

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

: Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

: Ошибка появляется, если администратор каталога пользователей вашей организации, например Active Directory или Keycloak, ограничил для аккаунта доступ к организации ID. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

: Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в организации ID: Настройки → SSO от Яндекс ID → строка с доменом организации.

unsupportable_domain

: Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен организации. Если они не совпадают, вы увидите сообщение об ошибке.

SAML-tracer для устранения неполадок

SAML-tracer — это расширение браузера, которое отслеживает SAML-события, помогает найти и исправить ошибки при настройке единого входа (SSO). Отчет о проверке можно экспортировать в файл JSON.

Установка и запуск

Установите расширение по ссылке:

SAML-tracer для Яндекс Браузер, Google Chrome и Microsoft Edge.
SAML-tracer для Mozilla Firefox.

Чтобы запустить SAML-tracer, нажмите значок на панели расширений браузера или комбинацию Alt + Shift + s на клавиатуре.

Отслеживание SAML-событий

Откройте браузер в режиме гостя или инкогнито и запустите SAML-tracer. Если значок отсутствует или окно SAML-tracer не открылось, в настройках расширения включите Разрешить использование в режиме инкогнито.
Перейдите на страницу passport.yandex.ru/auth, введите логин учетной записи из поставщика удостоверений и нажмите Войти. В окне SAML-tracer появятся записи GET и POST, SAML-события будут выделены оранжевым цветом и меткой.
Чтобы проверить атрибуты и их значения, выберите запись с SAML-событием и перейдите на вкладку SAML на панели предварительного просмотра.

Экспорт отчета в файл

Выберите запись с SAML-событием.
Нажмите Export на панели инструментов SAML-tracer.
Чтобы скрыть конфиденциальную информацию, выберите Mask values.
Нажмите Export. Файл в формате JSON скачается на ваш компьютер.

Была ли статья полезна?

Единый вход (SSO)

Настройка Active Directory