Связаться с намиПодключиться

Создать OIDC-приложение в Yandex Identity Hub

Статья создана
Обновлена 25 июля 2025 г.

Примечание

Функциональность находится на стадии Preview.

Чтобы пользователи вашей организации могли аутентифицироваться во внешних приложениях с помощью технологии единого входа по стандарту OpenID Connect (OIDC), создайте OIDC-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне поставщика услуг.

Управлять OIDC-приложениями может пользователь, которому назначена роль organization-manager.oauthApplications.admin или выше.

Создайте приложение

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа OIDC (OpenID Connect).

    2. В поле Имя задайте имя создаваемого приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    3. В поле Каталог выберите каталог, в котором будет создан OAuth-клиент для приложения.

      OAuth-клиент является необходимым компонентом при создании OIDC-приложения, создается и удаляется одновременно с OIDC-приложением и неразрывно с ним связан.

    4. (Опционально) В поле Описание задайте описание приложения.

    5. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    6. Нажмите кнопку Создать приложение.

Настройте приложение

Чтобы настроить интеграцию внешнего приложения с созданным OIDC-приложением в Identity Hub, выполните настройки на стороне поставщика услуг и на стороне Identity Hub.

Задайте настройки интеграции на стороне поставщика услуг

Значения настроек интеграции, которые нужно задать на стороне поставщика услуг, доступны на странице с информацией о приложении в интерфейсе Cloud Center.

В зависимости от возможностей вашего поставщика услуг вы можете выполнить необходимые настройки вручную или автоматически, указав URL с конфигурацией:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) разверните секцию Дополнительные атрибуты и скопируйте значения параметров, которые необходимо задать на стороне поставщика услуг:

    • ClientID — уникальный идентификатор приложения.
    • Authorization endpoint — адрес в Yandex Cloud, на который поставщик услуг будет перенаправлять пользователя для прохождения аутентификации.
    • Token endpoint — адрес, на который от внешнего приложения поступает запрос на получение ID-токена и токена доступа.
    • Userinfo endpoint — адрес, по которому внешнее приложение может получить атрибуты пользователя.

  4. В блоке Секреты приложения нажмите кнопку Добавить секрет и в открывшемся окне:

    1. (Опционально) Добавьте произвольное описание создаваемого секрета.
    2. Нажмите Создать.

    В окне отобразится сгенерированный секрет приложения. Сохраните полученное значение.

    Важно

    После обновления или закрытия страницы с информацией о приложении посмотреть секрет будет невозможно.

    Если вы закрыли или обновили страницу, не сохранив сгенерированный секрет, используйте кнопку Добавить секрет, чтобы создать новый.

    Чтобы удалить секрет, в списке секретов на странице OIDC-приложения в строке с нужным секретом нажмите значок и выберите Удалить.

  5. На стороне поставщика услуг настройте интеграцию с OIDC-приложением Identity Hub, указав скопированные параметры и сгенерированный секрет. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте значение поля OpenID Configuration.

    По ссылке доступны значения всех настроек, которые необходимо задать на стороне поставщика услуг (за исключением секрета).

  4. В блоке Секреты приложения нажмите кнопку Добавить секрет и в открывшемся окне:

    1. (Опционально) Добавьте произвольное описание создаваемого секрета.
    2. Нажмите Создать.

    В окне отобразится сгенерированный секрет приложения. Сохраните полученное значение.

    Важно

    После обновления или закрытия страницы с информацией о приложении посмотреть секрет будет невозможно.

    Если вы закрыли или обновили страницу, не сохранив сгенерированный секрет, используйте кнопку Добавить секрет, чтобы создать новый.

    Чтобы удалить секрет, в списке секретов на странице OIDC-приложения в строке с нужным секретом нажмите значок и выберите Удалить.

  5. Если ваш поставщик услуг поддерживает конфигурирование приложения с помощью URL с конфигурацией, на стороне поставщика услуг настройте интеграцию с OIDC-приложением Identity Hub, указав скопированные ссылку и секрет. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

Настройте OIDC-приложение на стороне Identity Hub

Прежде чем настраивать OIDC-приложение на стороне Identity Hub, получите адрес (адреса) Redirect URI у вашего поставщика услуг. Затем перейдите к настройкам OIDC-приложения в Identity Hub:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. Справа сверху нажмите кнопку Редактировать и в открывшемся окне:

    1. В поле Redirect URI укажите полученный у поставщика услуг адрес.

      Используйте кнопку Добавить URI, чтобы указать одновременно несколько адресов Redirect URI.

    2. В поле Scopes выберите набор атрибутов пользователей, которые будут доступны поставщику услуг:

      • openid (идентификатор пользователя) — идентификатор пользователя. Обязательный параметр.

      • email (адрес электронной почты) — адрес электронной почты пользователя.

      • profile (полное имя, имя, фамилия, аватар и др.) — дополнительная информация о пользователе.

      • groups (группы пользователя в организации)группы пользователей организации, участником которых является аутентифицирующийся пользователь. Возможные значения:

        • Все группы — поставщику услуг будут переданы все группы, в которые входит пользователь.

          Максимальное количество передаваемых групп — 1 000. Если количество групп, в которые входит пользователь, превышает это число, на сторону поставщика услуг будет передана только первая тысяча групп.

        • Только назначенные группы — из всех групп, в которые входит пользователь, поставщику услуг будут переданы только те группы, которые явно заданы на вкладке Пользователи и группы OIDC-приложения.

    3. Нажмите кнопку Сохранить.

Настройте пользователей и группы

Чтобы пользователи вашей организации могли аутентифицироваться во внешнем приложении с помощью OIDC-приложения Identity Hub, необходимо явно добавить в OIDC-приложение нужных пользователей и/или группы пользователей:

Примечание

Управлять пользователями и группами, добавленными в OIDC-приложение, может пользователь, которому назначена роль organization-manager.oauthApplications.userAdmin или выше.

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. Перейдите на вкладку Пользователи и группы.

  4. Чтобы добавить в приложение пользователя или группу пользователей:

    1. Нажмите кнопку Добавить пользователей.
    2. В открывшемся окне выберите нужного пользователя или группу пользователей.
    3. Нажмите кнопку Добавить.

  5. Чтобы удалить пользователя или группу пользователей из приложения:

    1. В списке пользователей и групп в строке с нужным пользователем или группой нажмите значок и выберите Удалить.
    2. Подтвердите удаление.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе OIDC-приложения и интеграции с поставщиком услуг, выполните аутентификацию во внешнем приложении от имени одного из добавленных в приложение пользователей.

См. также

Предыдущая
Деактивировать и удалить приложение
Следующая
Изменить приложение