Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Страница сервиса
Yandex Identity Hub
Документация
Yandex Identity Hub
    • Организация
    • Членство в организации
    • Группы пользователей
    • Пулы пользователей
    • Федерации удостоверений
    • Домены
    • Приложения
    • OS Login
    • MFA
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Настройка федераций в Yandex Identity Hub
  • Подписывание запросов аутентификации
  • Сопоставление групп пользователей
  • Как происходит аутентификация в федерации
  • Примеры использования
  1. Концепции
  2. Федерации удостоверений

SAML-совместимые федерации удостоверений

Статья создана
Yandex Cloud
Обновлена 24 июня 2025 г.
  • Настройка федераций в Yandex Identity Hub
    • Подписывание запросов аутентификации
    • Сопоставление групп пользователей
  • Как происходит аутентификация в федерации
  • Примеры использования

Yandex Cloud поддерживает идентификацию федераций удостоверений с помощью SAML 2.0. Это популярный язык разметки для реализации системы единого входа (Single Sign-On, SSO) — технологии, с помощью которой пользователи могут получать доступ ко множеству приложений без необходимости каждый раз вводить свой логин и пароль.

Такой подход получил название федерация удостоверений — когда вся информация о логинах и паролях пользователей хранится у доверенного поставщика удостоверений (Identity Provider, IdP). А поставщик услуг (Service Provider, SP), например Yandex Cloud, отправляет пользователя проходить аутентификацию на сервере поставщика удостоверений (IdP).

Если в вашей компании есть система управления пользователями и доступом (например, Active Directory или Google Workspace), вы можете использовать ее для авторизации сотрудников в Yandex Identity Hub. Тогда не нужно будет создавать новый аккаунт в Яндексе для каждого сотрудника компании, сотрудники смогут получить доступ к сервисам Yandex Cloud с помощью своих корпоративных аккаунтов.

Настройка федераций в Yandex Identity HubНастройка федераций в Yandex Identity Hub

С помощью федераций удостоверений вы можете настроить систему единого входа (Single Sign-On, SSO) и использовать корпоративные аккаунты для авторизации в Identity Hub. В этом случае ваша корпоративная система управления учетными записями пользователей выступает в роли поставщика удостоверений (IdP — identity provider).

В Identity Hub можно создать федерацию удостоверений с любым сервисом управления учетными данными (поставщиком удостоверений), который поддерживает протокол SAML.

Информация о логинах и паролях пользователей хранится у поставщика удостоверений. При входе в Identity Hub система направляет пользователя для аутентификации на сервер поставщика удостоверений (IdP). В случае успешной аутентификации пользователь получает доступ к сервисам Yandex Cloud.

Так как процесс аутентификации происходит на стороне сервера IdP, то можно настроить более надежную проверку данных пользователя, например двухфакторную аутентификацию или использование USB-токенов.

Вы можете настроить федерацию удостоверений для разных поставщиков удостоверений:

  • Active Directory.
  • Google Workspace.
  • Microsoft Entra ID.
  • Keycloak.
  • Другие SAML-совместимые поставщики удостоверений.

Подписывание запросов аутентификацииПодписывание запросов аутентификации

Для обеспечения дополнительной безопасности, вы можете включить подписывание запросов аутентификации электронной подписью. При этом вам потребуется дополнительно настроить отношения доверия между вашей федерацией удостоверений Identity Hub и вашим поставщиком удостоверений (IdP).

Настройка отношений доверия между федерацией и IdPНастройка отношений доверия между федерацией и IdP

Настройка отношений доверия между федерацией удостоверений в Identity Hub и поставщиком удостоверений включает два этапа:

  • Настройка отношений доверия на стороне федерации удостоверений.

    Когда поставщик удостоверений сообщает Identity Hub, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Identity Hub мог проверить подпись, скачайте и добавьте этот сертификат в вашу федерацию удостоверений.

    Совет

    Не забывайте своевременно перевыпускать сертификаты и добавлять их в федерацию.

    Чтобы не пропустить момент окончания срока действия сертификата, подпишитесь на уведомления от организации. Уведомления направляются подписанным пользователям за 60, 30 и 5 дней до момента прекращения действия сертификата, а также после того, как сертификат становится недействительным.

  • Настройка отношений доверия на стороне IdP-сервера.

    Когда федерация удостоверений Identity Hub отправляет запрос поставщику удостоверений, она подписывает такие запросы SAML-сертификатом Yandex Cloud. Чтобы поставщик удостоверений мог проверить подпись, скачайте SAML-сертификат Yandex Cloud и добавьте его на ваш IdP-сервер.

    SAML-сертификат Yandex Cloud выпускается сроком на пять лет. Дату окончания срока действия сертификата вы можете посмотреть при создании федерации удостоверений или изменении ее настроек.

    Yandex Cloud автоматически генерирует новый SAML-сертификат до того, как прежний сертификат прекращает свое действие. Не забудьте перейти на использование нового SAML-сертификата до истечения срока действия прежнего сертификата.

Сопоставление групп пользователейСопоставление групп пользователей

Для организаций, в которых много участников, одинаковые права доступа к ресурсам Yandex Cloud могут потребоваться сразу нескольким пользователям. В этом случае роли и доступы удобнее выдавать не персонально, а для группы.

Если вы используете группы пользователей в вашем поставщике удостоверений или собираетесь это сделать, настройте сопоставление групп пользователей между поставщиком удостоверений и Identity Hub. Пользователи в группах поставщика удостоверений будут иметь права доступа к ресурсам Yandex Cloud из сопоставленных групп в Identity Hub.

Как происходит аутентификация в федерацииКак происходит аутентификация в федерации

Чтобы войти в консоль управления, федеративный пользователь должен пройти по ссылке, в которой содержится идентификатор федерации:

https://kz.console.yandex.cloud/federations/<идентификатор_федерации>

Процесс аутентификации показан на диаграмме:

  1. Пользователь открывает в браузере ссылку для входа в консоль.

  2. Если это первая аутентификация пользователя, то консоль отправляет его на сервер IdP для прохождения аутентификации.

    Если пользователь уже проходил аутентификацию, то информация об этом сохранена в cookie его браузера. Если время жизни cookie не истекло, то консоль управления сразу аутентифицирует пользователя и отправляет на главную страницу. Время жизни cookie указывается при создании федерации.

    Если время жизни cookie истекло, то консоль отправляет пользователя на сервер IdP для повторной аутентификации.

    Вы также можете включить принудительную повторную аутентификацию в настройках федерации. Если опция включена, IdP будет повторно аутентифицировать пользователя по истечении сессии в Yandex Cloud.

  3. Сервер IdP показывает пользователю страницу аутентификации. Например, просит ввести логин и пароль.

  4. Пользователь вводит на сервере IdP данные, необходимые для аутентификации.

  5. В случае успешной аутентификации сервер IdP отправляет браузер пользователя назад на страницу для входа в консоль управления.

  6. Консоль управления спрашивает IAM, добавлен ли такой пользователь в облако. Если да, то консоль управления аутентифицирует пользователя и отправляет на главную страницу.

Примечание

В федерации удостоверений пользователь взаимодействует и с IdP, и с консолью управления Yandex Cloud. При этом сетевой доступ между IdP и Yandex Cloud не требуется.

Примеры использованияПримеры использования

  • Управление федерациями удостоверений

Была ли статья полезна?

Предыдущая
Пулы пользователей
Следующая
Домены
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»