Keycloak 18-versiyasini sozlash

Yandex 360 xizmatlariga Keycloak orqali yagona kirishni (SSO) tashkil etish uchun oldindan SAML ilovasini yaratish va sozlash kerak.

1-qadam. SAML ilovasini yarating va sozlang

  1. Keycloak administratori hisobiga kiring.

  2. Boshqaruv konsolini oching: Administration Console tugmalarini bosing.

  3. SAML ilovasini yarating:

    1. Chapdagi panelda Mijozlar bandini tanlang va Create tugmasini bosing.

    2. Client ID maydoniga https://yandex.ru/ kiriting (oxirida qiyshiq chiziq bo‘lishi shart).

    3. Client Protocol maydonida saml ni kiriting.

    4. Client SAML Endpoint maydoniga Xizmat URL manzilini kiriting: https://passport.yandex.ru/auth/sso/commit. Save tugmasini bosing.

  4. Settings varag‘ida SAML ilovasi parametrlarini sozlang:

    1. Name maydonida yandex360 kabi ilova nomini kiriting.

    2. Agar Client Signature Required yoqilgan bo‘lsa, uni faolsizlantiring.

    3. Birlamchi to‘ldirilgan parametrlarni (Enabled, Include AuthnStatement, Sign Documents va boshqalar) o‘zgarishsiz qoldiring.

    4. Name ID Format sifatida email manzilini tanlang. Tanlangan variant Yandex 360 sozlamalaridan qat’i nazar uzatilishi uchun Force Name ID format parametrini yoqing.

      Sharh

      NameID atributining qiymatini o‘zgartirib bo‘lmaydi — u Yandex ID foydalanuvchisini identifikatsiya qilish uchun ishlatiladi. Agar UPNni o‘zgartirsangiz, NameID sifatida LDAP katalogingizdagi o‘zgarmas foydalanuvchi atributlaridan birini ko‘rsating.

      Agar sozlanadigan NameID kerak bo‘lsa, uni foydalanuvchi atributlarini taqqoslash sozlamalarida birlamchi qilib belgilang: Mappers menyusida yangi User Attribute Mapper For NameID yarating.

    5. Valid Redirect URLs, Base URL, Master SAML Processing URL maydonlariga Service URL kiriting: https://passport.yandex.ru/auth/sso/commit. Save tugmasini bosing.

    6. Agar xodimlaringiz Yandex 360 xizmatlaridan nafaqat rus domenida foydalansa, qo‘shimcha ravishda til domenlarining Valid Redirect URLs manzillarini oxirgi nuqtalar sifatida qo‘shing.

    Til domenlari uchun oxirgi nuqtalari:

    • https://passport.yandex.com/auth/sso/commit — ingliz tili uchun;

    • https://passport.yandex.kz/auth/sso/commit — qozoq tili uchun;

    • https://passport.yandex.uz/auth/sso/commit — o‘zbek tili uchun;

    • https://passport.yandex.com.tr/auth/sso/commit — turk tili uchun.

    To‘liq ro‘yxat

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

2-qadam. Foydalanuvchi atributlarini taqqoslashni sozlang

  1. Scope varag‘ida Full Scope Allowed bandini faolsizlantiring.

  2. Mappers varag‘iga o‘ting va Add Builtin tugmasini bosing.

  3. Ro‘yxatdagi atributlarni belgilang va Add selected tugmasini bosing:

    • X500 email — elektron pochta manzili;

    • X500 surname — familiya;

    • X500 givenName — ism.

  4. Keycloak va Yandex 360 atributlari sinxronizatsiyasini sozlang: har bir atributni oching va SAML Atribut Name qiymatini o‘zgartiring. Yandex 360 da dastaklanadigan SAML atribut nomi qiymatlari quyida keltirilgan.

    SAML Attribute Name

    Value

    User.EmailAddress

    X500 email

    User.Firstname

    X500 givenName

    User.Surname

    X500 surname

    Natijada atributlarni taqqoslash quyidagicha bo‘ladi:

SAML javobi quyidagicha bo‘lishi kerak:

<Attribute Name="User.EmailAddress">
    <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
    <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
    <AttributeValue>Firstname</AttributeValue>
</Attribute>

3-qadam. Yandex 360 platformasiga uzatilishi kerak bo‘lgan ma’lumotlarni to‘plang

Kirish URL

Kirish nuqtasi manzili.

Olish uchun:

1. Chap tomondagi boshqaruv panelida Realm Settings bandini tanlang va SAML 2.0 Identity Provider Metadata havolasini bosing.

2. Kerakli qiymat Location maydonida joylashgan, uni nusxalang.

Sertifikatlar provayderi nashriyoti

Domen Entity ID.

Kirish sahifasi URL kabi olish mumkin. Kerakli qiymat entityID maydonida joylashgan.

Tekshiruv sertifikati

X.509 o‘lchamli tokenlar imzosi sertifikati.

Kirish sahifasi URL kabi olish mumkin. Kerakli qiymat X509Certificate maydonida joylashgan.

Sertifikatni Keys varag‘idan ham nusxalash mumkin:

1. RS256 qatoriga o‘ting.

2. Certificate kontentidan nusxa oling.

Agar sizda ikkita faol token imzosi sertifikati bo‘lsa va hozir qaysi sertifikat ishlatilayotganini aniq bilmasangiz, ikkinchi sertifikat uchun xuddi shunday harakatlarni takrorlang.

Bundan keyin Biznes uchun Yandex 360 sozlashga o‘ting.

Sozlama bilan aloqador muammolarni hal qilish

Agar sertifikat provayderini sozlash jarayonida noto‘g‘ri qiymatlar berilgan bo‘lsa, SSO orqali kirishga uringaningizda “Avtorizatsiya muvaffaqiyatsiz” xabarini va xato kodini ko‘rasiz:

email.no_in_response

User.Firstname, User.Surname, User.EmailAddress formatida atribut nomlari kiriting. Agar boshqa format, masalan, Ism berilsa, avtorizatsiya qilinmaydi.

request_your_admin

Tashkilotingiz foydalanuvchilari katalogi administratori hisob uchun Yandex 360 platformasiga kirishni cheklagan bo‘lsa, xatolik yuz beradi. Batafsil ma’lumot olish uchun tashkilotingizning texnik yordam mutaxassislariga murojaat qiling.

samlresponse.invalid

Agar kirish sahifasi URL, guvohnomalar emitenti yoki tekshiruv sertifikati noto‘g‘ri ko‘rsatilgan bo‘lsa, xatolik yuz beradi. Shuningdek, u tekshiruv sertifikatining amal qilish muddati tugashidan oldin yoki uning amal qilish muddati tugagandan keyin 14 kun ichida yuzaga kelishi mumkin. Biznes uchun Yandex 360 SSO sozlamalari to‘g‘riligini tekshiring.

unsupportable_domain

User.EmailAddress pochta atributidagi domen SAML javobidagi asosiy domen yoki Yandex 360 tashkilotining alias domenlaridan biri bilan bir xil ekanligini tekshiring. Agar ular mos kelmasa, xato haqida xabar ko‘rasiz.
Yordam xizmatiga yozish
Avvalgisi
Azure Active Directory sozlanishi (EN)
Keyingisi
Keycloak 19 va undan yuqori versiyasini sozlash