Изменить OIDC-приложение в Yandex Identity Hub

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

1. Посмотрите описание команды CLI для изменения OIDC-приложения:

   yc organization-manager idp application oauth application update --help
   

2. Выполните команду:

   yc iam organization-manager idp application oauth application update \
     --id <идентификатор_приложения> \
     --new-name <имя_приложения> \
     --description <описание_приложения> \
     --client-id <идентификатор_OAuth-клиента> \
     --authorized-scopes <атрибут>[,<атрибут>] \
     --group-distribution-type all-groups \
     --labels <ключ>=<значение>[,<ключ>=<значение>]
   

   Где:

   • --id — идентификатор OIDC-приложения. Обязательный параметр.

   • --new-name — новое имя OIDC-приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

     • длина — от 1 до 63 символов;
     • может содержать строчные буквы латинского алфавита, цифры и дефисы;
     • первый символ — буква, последний — не дефис.

   • --description — новое описание OIDC-приложения.

   • --client-id — идентификатор нового OAuth-клиента.

   • --authorized-scopes — новый набор атрибутов пользователей, которые будут доступны поставщику услуг. Укажите один или несколько атрибутов через запятую в формате <атрибут1>,<атрибут2>. Возможные атрибуты:

     • openid — идентификатор пользователя. Обязательный атрибут.

     • profile — дополнительная информация о пользователе, такая как имя, фамилия, аватар.

     • email — адрес электронной почты пользователя.

     • address — адрес жительства пользователя.

     • phone — номер телефона пользователя.

     • groups — группы пользователей в организации.

       Важно

       Новый набор атрибутов пользователей сначала необходимо указать в конфигурации поставщика услуг с помощью параметра --scopes.

   • --group-distribution-type — если при создании или изменении OAuth-клиента вы указали атрибут groups, измените группы пользователей, которые будут переданы поставщику услуг. Возможные значения:

     • all-groups — поставщику услуг будут переданы все группы, в которые входит пользователь.

       Максимальное количество передаваемых групп — 1 000. Если количество групп, в которые входит пользователь, превышает это число, на сторону поставщика услуг будет передана только первая тысяча групп.

     • assigned-groups — из всех групп, в которые входит пользователь, поставщику услуг будут переданы только те группы, которые явно заданы.

     • none — поставщику услуг не будут переданы группы, в которые входит пользователь.

   • --labels — новый список меток. Можно указать одну или несколько меток через запятую в формате <ключ1>=<значение1>,<ключ2>=<значение2>.

   Результат:

   id: ek0o663g4rs2********
   name: oidc-app
   organization_id: bpf2c65rqcl8********
   group_claims_settings:
     group_distribution_type: NONE
   client_grant:
     client_id: ajeqqip130i1********
     authorized_scopes:
       - openid
   status: ACTIVE
   created_at: "2025-10-21T10:51:28.790866Z"
   updated_at: "2025-10-21T12:37:19.274522Z"
   

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. В конфигурационном файле Terraform измените параметры OIDC-приложения:

resource "yandex_organizationmanager_idp_application_oauth_application" "example_oidc_app" {
  application_id   = "<идентификатор_приложения>"
  organization_id = "<идентификатор_организации>"
  name            = "<новое_имя_приложения>"
  description     = "<новое_описание_приложения>"
  
  client_grant = {
    client_id         = "<идентификатор_OAuth-клиента>"
    authorized_scopes = ["<атрибут1>", "<атрибут2>"]
  }
  
  group_claims_settings = {
    group_distribution_type = "ALL_GROUPS"
  }
  
  labels = {
    "<ключ1>" = "<значение1>"
    "<ключ2>" = "<значение2>"
  }
}

Где:

• application_id — идентификатор OIDC-приложения. Обязательный параметр.

• organization_id — идентификатор организации, в которой находится OIDC-приложение. Обязательный параметр.

• name — новое имя OIDC-приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

  • длина — от 1 до 63 символов;
  • может содержать строчные буквы латинского алфавита, цифры и дефисы;
  • первый символ — буква, последний — не дефис.

• description — новое описание OIDC-приложения. Необязательный параметр.

• client_grant — параметры подключения к OAuth-клиенту:

  • client_id — идентификатор OAuth-клиента. Обязательный параметр.
  • authorized_scopes — новый набор атрибутов пользователей, которые будут доступны поставщику услуг. Укажите один или несколько атрибутов в квадратных скобках. Возможные атрибуты:
    • openid — идентификатор пользователя. Обязательный атрибут.
    • profile — дополнительная информация о пользователе, такая как имя, фамилия, аватар.
    • email — адрес электронной почты пользователя.
    • address — место жительства пользователя.
    • phone — номер телефона пользователя.
    • groups — группы пользователей в организации.

• group_claims_settings — настройки передачи групп пользователей поставщику услуг:

  • group_distribution_type — если при создании OAuth-клиента вы указали атрибут groups, укажите, какие группы пользователей будут переданы поставщику услуг. Возможные значения:
    • ALL_GROUPS — поставщику услуг будут переданы все группы, в которые входит пользователь.
    • ASSIGNED_GROUPS — из всех групп, в которые входит пользователь, поставщику услуг будут переданы только те группы, которые будут явно заданы.
    • NONE — поставщику услуг не будут переданы группы, в которые входит пользователь.

• labels — список меток. Необязательный параметр.

Более подробную информацию о параметрах ресурса yandex_organizationmanager_idp_application_oauth_application см. в документации провайдера.

1. Примените изменения:

1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

2. Проверьте корректность конфигурационного файла с помощью команды:

   terraform validate
   

   Если конфигурация является корректной, появится сообщение:

   Success! The configuration is valid.
   

3. Выполните команду:

   terraform plan
   

   В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

4. Примените изменения конфигурации:

   terraform apply
   

5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

Проверить изменения ресурсов и их настройки можно в Yandex Identity Hub или с помощью команды CLI:

yc organization-manager idp application oauth application get <идентификатор_приложения>

Воспользуйтесь методом REST API Application.Update для ресурса Application или вызовом gRPC API ApplicationService/Update.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

1. Посмотрите описание команды CLI для настройки OAuth-клиента:

   yc iam oauth-client update --help
   

2. Выполните команду:

   yc iam oauth-client update \
     --id <идентификатор_OAuth-клиента> \
     --new-name <новое_имя_OAuth-клиента> \
     --redirect-uris <адрес>[,<адрес>] \
     --scopes <атрибут>[,<атрибут>]
   

   Где:

   • --id — идентификатор OAuth-клиента.

   • --new-name — новое имя OAuth-клиента.

   • --scopes — новый набор атрибутов пользователей, которые будут доступны поставщику услуг. Укажите один или несколько атрибутов через запятую в формате <атрибут1>,<атрибут2>. Возможные атрибуты:

     • openid — идентификатор пользователя. Обязательный атрибут.

     • profile — дополнительная информация о пользователе, такая как имя, фамилия, аватар.

     • email — адрес электронной почты пользователя.

     • address — место жительства пользователя.

     • phone — номер телефона пользователя.

     • groups — группы пользователей в организации.

       Важно

       Новый набор атрибутов пользователей также необходимо указать в базовых настройках приложения с помощью параметра --authorized-scopes.

   • --redirect-uris — укажите новые полученные у поставщика услуг адрес или несколько адресов в формате <адрес1>,<адрес2>.

   Результат:

   id: ajejklv8g9kh********
   name: my-oauth-client
   redirect_uris:
     - https://example2.com
     - https://example2.ru
   scopes:
     - openid
     - profile
   folder_id: b1g500m2195v********
   status: ACTIVE
   

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. В конфигурационном файле Terraform измените параметры OAuth-клиента:

resource "yandex_iam_oauth_client" "example_oauth_client" {
  oauth_client_id = "<идентификатор_OAuth-клиента>"
  name           = "<новое_имя_OAuth-клиента>"
  redirect_uris  = ["<адрес1>", "<адрес2>"]
  scopes         = ["<атрибут1>", "<атрибут2>"]
}

Где:

• oauth_client_id — идентификатор OAuth-клиента. Обязательный параметр.
• name — новое имя OAuth-клиента. Необязательный параметр.
• redirect_uris — новый список адресов Redirect URI. Укажите один или несколько адресов в квадратных скобках. Необязательный параметр.
• scopes — новый набор атрибутов пользователей, которые будут доступны поставщику услуг. Укажите один или несколько атрибутов в квадратных скобках. Возможные атрибуты:
  • openid — идентификатор пользователя. Обязательный атрибут.
  • profile — дополнительная информация о пользователе, такая как имя, фамилия, аватар.
  • email — адрес электронной почты пользователя.
  • address — место жительства пользователя.
  • phone — номер телефона пользователя.
  • groups — группы пользователей в организации.

Более подробную информацию о параметрах ресурса yandex_iam_oauth_client см. в документации провайдера.

1. Примените изменения:

1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

2. Проверьте корректность конфигурационного файла с помощью команды:

   terraform validate
   

   Если конфигурация является корректной, появится сообщение:

   Success! The configuration is valid.
   

3. Выполните команду:

   terraform plan
   

   В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

4. Примените изменения конфигурации:

   terraform apply
   

5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

Проверить изменения ресурсов и их настройки можно в Yandex Identity Hub или с помощью команды CLI:

yc iam oauth-client get <идентификатор_OAuth-клиента>

Воспользуйтесь методом REST API OAuthClient.Update для ресурса OAuthClient или вызовом gRPC API OAuthClientService/Update.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

1. Посмотрите описание команды CLI для создания нового секрета OIDC-приложения:

   yc iam oauth-client-secret create --help
   

2. Выполните команду:

   yc iam oauth-client-secret create --oauth-client-id <идентификатор_OAuth-клиента>
   

   Результат:

   oauth_client_secret:
     id: aje0hjqp68u6********
     oauth_client_id: ajejklv8g9kh********
     masked_secret: yccs__9e1d5f6d5c****
     created_at: "2025-10-23T11:44:50.739768533Z"
   secret_value: yccs__9e1d5f6d5c********
   

   Не забудьте указать новый секрет в настройках на стороне поставщика услуг. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. В конфигурационном файле Terraform создайте новый секрет OAuth-клиента:

resource "yandex_iam_oauth_client_secret" "example_oauth_client_secret" {
  oauth_client_id = "<идентификатор_OAuth-клиента>"
}

Где:

• oauth_client_id — идентификатор OAuth-клиента, для которого создается новый секрет. Обязательный параметр.

Более подробную информацию о параметрах ресурса yandex_iam_oauth_client_secret см. в документации провайдера.

1. Примените изменения:

1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

2. Проверьте корректность конфигурационного файла с помощью команды:

   terraform validate
   

   Если конфигурация является корректной, появится сообщение:

   Success! The configuration is valid.
   

3. Выполните команду:

   terraform plan
   

   В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

4. Примените изменения конфигурации:

   terraform apply
   

5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

Проверить изменения ресурсов и их настройки можно в Yandex Identity Hub или с помощью команды CLI:

yc iam oauth-client-secret list --oauth-client-id <идентификатор_OAuth-клиента>

Воспользуйтесь методом REST API OAuthClientSecret.Create для ресурса OAuthClientSecret или вызовом gRPC API OAuthClientSecretService/Create.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

1. Получите идентификатор пользователя или группы пользователей.

2. Чтобы добавить в приложение пользователя или группу пользователей:

   1. Посмотрите описание команды CLI для добавления пользователей в приложение:

      yc organization-manager idp application oauth application add-assignments --help
      

   2. Выполните команду:

      yc organization-manager idp application oauth application add-assignments \
        --id <идентификатор_приложения> \
        --subject-id ek0omvvcb9vv********
      

      Где:

      • --id — идентификатор приложения.
      • --subject-id — идентификатор нужного пользователя или группы пользователей.

      Результат:

      assignment_deltas:
        - action: ADD
          assignment:
            subject_id: ajetvnq2mil8********
      

3. Чтобы удалить пользователя или группу пользователей из приложения:

   1. Посмотрите описание команды CLI для удаления пользователей из приложения:

      yc organization-manager idp application oauth application remove-assignments --help
      

   2. Выполните команду:

      yc organization-manager idp application oauth application remove-assignments \
        --id <идентификатор_приложения> \
        --subject-id <идентификатор_пользователя>
      

      Где:

      • --id — идентификатор OIDC-приложения.
      • --subject-id — идентификатор нужного пользователя или группы пользователей.

      Результат:

      assignment_deltas:
        - action: REMOVE
          assignment:
            subject_id: ajetvnq2mil8********
      

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. Опишите в конфигурационном файле параметры назначения пользователей и групп приложению:

   resource "yandex_organizationmanager_idp_application_oauth_application_assignment" "example_assignment" {
     application_id = "<идентификатор_приложения>"
     subject_id     = "<идентификатор_пользователя_или_группы>"
   }
   

   Где:

   • application_id — идентификатор OIDC-приложения.
   • subject_id — идентификатор нужного пользователя или группы пользователей.

   Более подробную информацию о параметрах ресурса yandex_organizationmanager_idp_application_oauth_application_assignment см. в документации провайдера.

2. Создайте ресурсы:

   1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

   2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      

   3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

   4. Примените изменения конфигурации:

      terraform apply
      

   5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

   Terraform создаст все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления или с помощью команды CLI:

   yc organization-manager idp application oauth application list-assignments <идентификатор_приложения>
   

Воспользуйтесь методом REST API Application.UpdateAssignments для ресурса Application или вызовом gRPC API ApplicationService/UpdateAssignments.