Multifactor sozlamasi

Yandex 360 xizmatlariga Multifactor orqali yagona kirishni (SSO) tashkil etish uchun siz Multifactor o‘z-o‘ziga xizmat ko‘rsatish portalini oldindan sozlashingiz va SAML ilovasini yaratishingiz kerak.

Foydalanuvchilar YandexADSCIM yordamida oldindan yaratilgan bo‘lishi kerak, bunda NameID sifatida faqat UPN domen ko‘rsatilgan holda ishlatilishi mumkin.

1-qadam. SAML ilovasini yarating va sozlang

  1. Multifactor administratori hisobiga kiring.

  2. SAML ilovasini yarating:

    1. Chapdagi panelda Resurslar bandini tanlang va Resurs qo‘shishSAML ilovasi tugmasini bosing.

    2. Name maydonida yandex360 kabi ixtiyoriy ilova nomini kiriting.

    3. Address maydonini bo‘sh qoldiring.

    4. Identity Provider maydonida Active Directory bandini tanlang.

    5. Adress a portal maydoniga oldindan sozlangan Multifactor Self-Service Portal manzilini (tashqi yoki ichki) kiriting.

    6. Yangi foydalanuvchilarni registratsiya qilish parametrini yoqing.

    7. Saqlash tugmasini bosing, SAML ilovasi sozlamalari sahifasi ochiladi.

  3. SAML ilovasi parametrlarini sozlang:

    1. sp_metadata.xml nomli XML fayl yarating, unga quyidagi kodni qo‘shing:

      <?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" 
                      entityID="https://yandex.ru/">
    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
                      Location="https://passport.yandex.ru/auth/sso/commit" index="1" />
    </md:SPSSODescriptor>
</md:EntityDescriptor>

    2. Parametrlarni kiriting va faylni saqlang:

      • entityIDhttps://yandex.ru/ (oxirida qiyshiq chiziq bo‘lishi shart).
      • Location — https://passport.yandex.ru/auth/sso/commit.

    3. Service Provider blokidagi SAML ilovasini sozlash sahifasida Upload Metadata tugmasini bosing va yaratilgan faylni yuklang sp_metadata.xml.

2-qadam. Yandex 360 platformasiga uzatilishi kerak bo‘lgan ma’lumotlarni to‘plang

  1. Multifactor Metadata blokidagi SAML ilovasini sozlash sahifasida Open Link tugmasini bosing.

  2. XML fayl ochiladi, SSO uchun quyidagi ma’lumotlar kerak bo‘ladi:

    • Kirish sahifasi URL — kirish nuqtasi manzili. Qiymat Location maydonida SingleSignOnService qatorida ko‘rsatilgan.

    • Sertifikatlar provayderi nashriyoti — domen subyekti identifikatori. Qiymat entityID maydonida ko‘rsatilgan.

    • Tekshiruv sertifikati — X.509 o‘lchamli tokenlar imzosi sertifikati. Qiymat X509Certificate maydonida ko‘rsatilgan.

Bundan keyin Biznes uchun Yandex 360 sozlashga o‘ting.

Sozlama bilan aloqador muammolarni hal qilish

Agar sertifikat provayderini sozlash jarayonida noto‘g‘ri qiymatlar berilgan bo‘lsa, SSO orqali kirishga uringaningizda “Avtorizatsiya muvaffaqiyatsiz” xabarini va xato kodini ko‘rasiz:

email.no_in_response

User.Firstname, User.Surname, User.EmailAddress formatida atribut nomlari kiriting. Agar boshqa format, masalan, Ism berilsa, avtorizatsiya qilinmaydi.

request_your_admin

Tashkilotingiz foydalanuvchilari katalogi administratori hisob uchun Yandex 360 platformasiga kirishni cheklagan bo‘lsa, xatolik yuz beradi. Batafsil ma’lumot olish uchun tashkilotingizning texnik yordam mutaxassislariga murojaat qiling.

samlresponse.invalid

Agar kirish sahifasi URL, guvohnomalar emitenti yoki tekshiruv sertifikati noto‘g‘ri ko‘rsatilgan bo‘lsa, xatolik yuz beradi. Shuningdek, u tekshiruv sertifikatining amal qilish muddati tugashidan oldin yoki uning amal qilish muddati tugagandan keyin 14 kun ichida yuzaga kelishi mumkin. Biznes uchun Yandex 360 SSO sozlamalari to‘g‘riligini tekshiring.

unsupportable_domain

User.EmailAddress pochta atributidagi domen SAML javobidagi asosiy domen yoki Yandex 360 tashkilotining alias domenlaridan biri bilan bir xil ekanligini tekshiring. Agar ular mos kelmasa, xato haqida xabar ko‘rasiz.
Yordam xizmatiga yozish

UPN (User Principal Name) — bu hisob qaydi nomi, @ belgisi va tashkilot domenidan iborat foydalanuvchi nomi. UPN Active Directory va Azure AD kabi Microsoft xizmatlarida foydalanuvchi autentifikatsiyasi uchun foydalaniladi va pochta manzili bilan mos kelmasligi mumkin.

Avvalgisi
Avanpost FAM sozlash
Keyingisi
Foydalanuvchilar va guruhlarni LDAP katalogiga sinxronlash