Keycloak 19 va undan yuqori versiyasini sozlash

Yandex 360 xizmatlariga Keycloak orqali yagona kirishni (SSO) tashkil etish uchun oldindan SAML ilovasini yaratish va sozlash kerak.

1-qadam. SAML ilovasini yarating va sozlang

  1. Keycloak administratori hisobiga kiring.

  2. Boshqaruv konsolini oching: Administration Console tugmalarini bosing.

  3. SAML ilovasini yarating va uni sozlang:

    1. Chapdagi panelda Mijozlar bandini tanlang va Create Client tugmasini bosing.

    2. Client ID maydoniga https://yandex.ru/ kiriting (oxirida qiyshiq chiziq bo‘lishi shart).

    3. Client type maydonida SAML kiriting va Save tugmasini bosing.

    4. Name maydonida yandex360 kabi ilova nomini kiriting.

    5. Root URL maydoniga Xizmat URL manzilini kiriting: https://passport.yandex.ru/auth/sso/commit.

    6. Valid Redirect URLs maydoniga Service URL manzilini kiriting: https://passport.yandex.ru/auth/sso/commit va https://passport.yandex.com/auth/sso/commit.

    7. IDP Initiated SSO Relay State, Master SAML Processing URL maydonlariga Service URL kiriting: https://passport.yandex.ru/auth/sso/commit.

    8. Birlamchi to‘ldirilgan parametrlarni (Enabled, Include AuthnStatement, Sign Documents va boshqalar) o‘zgarishsiz qoldiring.

    9. Name ID Format sifatida email manzilini tanlang. Tanlangan variant Yandex 360 sozlamalaridan qat’i nazar uzatilishi uchun Force Name ID format parametrini yoqing.

      Sharh

      NameID atributining qiymatini o‘zgartirib bo‘lmaydi — u Yandex ID foydalanuvchisini identifikatsiya qilish uchun ishlatiladi. Agar UPNni o‘zgartirsangiz, NameID sifatida LDAP katalogingizdagi o‘zgarmas foydalanuvchi atributlaridan birini ko‘rsating.

      Agar sozlanadigan NameID kerak bo‘lsa, uni foydalanuvchi atributlarini taqqoslash sozlamalarida birlamchi qilib belgilang: Client Scopes varag‘ida yaratilayotgan mijozga mos keladigan Client scope oching, masalan https://yandex.ru/-dedicated, Mappers varag‘ida yangi User Attribute Mapper For NameID (Add mapper — By configuration) yarating.

    10. Agar xodimlaringiz Yandex 360 xizmatlaridan nafaqat rus domenida foydalansa, qo‘shimcha ravishda til domenlarining Valid Redirect URLs manzillarini oxirgi nuqtalar sifatida qo‘shing.

      Til domenlari uchun oxirgi nuqtalari:

      • https://passport.yandex.com/auth/sso/commit — ingliz tili uchun;

      • https://passport.yandex.kz/auth/sso/commit — qozoq tili uchun;

      • https://passport.yandex.uz/auth/sso/commit — o‘zbek tili uchun;

      • https://passport.yandex.com.tr/auth/sso/commit — turk tili uchun.

      To‘liq ro‘yxat

      • https://passport.yandex.com/auth/sso/commit

      • https://passport.yandex.az/auth/sso/commit

      • https://passport.yandex.by/auth/sso/commit

      • https://passport.yandex.co.il/auth/sso/commit

      • https://passport.yandex.com/auth/sso/commit

      • https://passport.yandex.com.am/auth/sso/commit

      • https://passport.yandex.com.ge/auth/sso/commit

      • https://passport.yandex.com.tr/auth/sso/commit

      • https://passport.yandex.ee/auth/sso/commit

      • https://passport.yandex.eu/auth/sso/commit

      • https://passport.yandex.fi/auth/sso/commit

      • https://passport.yandex.fr/auth/sso/commit

      • https://passport.yandex.kg/auth/sso/commit

      • https://passport.yandex.kz/auth/sso/commit

      • https://passport.yandex.lt/auth/sso/commit

      • https://passport.yandex.lv/auth/sso/commit

      • https://passport.yandex.md/auth/sso/commit

      • https://passport.yandex.pl/auth/sso/commit

      • https://passport.yandex.ru/auth/sso/commit

      • https://passport.yandex.tj/auth/sso/commit

      • https://passport.yandex.tm/auth/sso/commit

      • https://passport.yandex.uz/auth/sso/commit

    11. Save tugmasini bosing.

    12. Signing keys config ruknidagi Keys varag‘ida Client Signature Required parametri yoqilgan bo‘lsa, uni faolsizlantiring va yana Save tugmasini bosing.

2-qadam. Foydalanuvchi atributlarini taqqoslashni sozlang

  1. Client scopes varag‘ida yaratilayotgan mijozga mos keladigan Client scope oching, masalan, https://yandex.ru/-dedicated.

  2. Scope varag‘ida Full Scope Allowed bandini faolsizlantiring.

  3. Mappers varag‘iga o‘ting, Add Mapper tugmasini bosing va By Configuration bandini tanlang.

  4. Ochilgan oynada User Property bandini tanlang.

  5. Kerakli atributlarni ketma-ket yarating:

    • X500 email — elektron pochta manzili;

    • X500 surname — familiya;

    • X500 givenName — ism.

  6. Keycloak va Yandex 360 atributlari sinxronizatsiyasini sozlang: har bir atributni oching va SAML Atribut Name qiymatini o‘zgartiring. Yandex 360 da dastaklanadigan SAML atribut nomi qiymatlari quyida keltirilgan.

    SAML Attribute Name

    Value

    User.EmailAddress

    X500 email

    User.Firstname

    X500 givenName

    User.Surname

    X500 surname

    Natijada atributlarni taqqoslash quyidagicha bo‘ladi:

SAML javobi quyidagicha bo‘lishi kerak:

<Attribute Name="User.EmailAddress">
    <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
    <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
    <AttributeValue>Firstname</AttributeValue>
</Attribute>

3-qadam. Yandex 360 platformasiga uzatilishi kerak bo‘lgan ma’lumotlarni to‘plang

Kirish URL

Kirish nuqtasi manzili.

Olish uchun:

1. Chap tomondagi boshqaruv panelida Realm Settings bandini tanlang va SAML 2.0 Identity Provider Metadata havolasini bosing.

2. Kerakli qiymat Location maydonida joylashgan, uni nusxalang.

Sertifikatlar provayderi nashriyoti

Domen Entity ID.

Kirish sahifasi URL kabi olish mumkin. Kerakli qiymat entityID maydonida joylashgan.

Tekshiruv sertifikati

X.509 o‘lchamli tokenlar imzosi sertifikati.

Kirish sahifasi URL kabi olish mumkin. Kerakli qiymat X509Certificate maydonida joylashgan.

Sertifikatni Keys varag‘idan ham nusxalash mumkin:

1. RS256 qatoriga o‘ting.

2. Certificate kontentidan nusxa oling.

Agar sizda ikkita faol token imzosi sertifikati bo‘lsa va hozir qaysi sertifikat ishlatilayotganini aniq bilmasangiz, ikkinchi sertifikat uchun xuddi shunday harakatlarni takrorlang.

Bundan keyin Biznes uchun Yandex 360 sozlashga o‘ting.

Sozlama bilan aloqador muammolarni hal qilish

Agar sertifikat provayderini sozlash jarayonida noto‘g‘ri qiymatlar berilgan bo‘lsa, SSO orqali kirishga uringaningizda “Avtorizatsiya muvaffaqiyatsiz” xabarini va xato kodini ko‘rasiz:

email.no_in_response

User.Firstname, User.Surname, User.EmailAddress formatida atribut nomlari kiriting. Agar boshqa format, masalan, Ism berilsa, avtorizatsiya qilinmaydi.

request_your_admin

Tashkilotingiz foydalanuvchilari katalogi administratori hisob uchun Yandex 360 platformasiga kirishni cheklagan bo‘lsa, xatolik yuz beradi. Batafsil ma’lumot olish uchun tashkilotingizning texnik yordam mutaxassislariga murojaat qiling.

samlresponse.invalid

Agar kirish sahifasi URL, guvohnomalar emitenti yoki tekshiruv sertifikati noto‘g‘ri ko‘rsatilgan bo‘lsa, xatolik yuz beradi. Shuningdek, u tekshiruv sertifikatining amal qilish muddati tugashidan oldin yoki uning amal qilish muddati tugagandan keyin 14 kun ichida yuzaga kelishi mumkin. Biznes uchun Yandex 360 SSO sozlamalari to‘g‘riligini tekshiring.

unsupportable_domain

User.EmailAddress pochta atributidagi domen SAML javobidagi asosiy domen yoki Yandex 360 tashkilotining alias domenlaridan biri bilan bir xil ekanligini tekshiring. Agar ular mos kelmasa, xato haqida xabar ko‘rasiz.
Yordam xizmatiga yozish
Avvalgisi
Keycloak 18-versiyasini sozlash
Keyingisi
Avanpost FAM sozlash