Связаться с намиПодключиться

Создать SAML-приложение в Yandex Identity Hub

Статья создана
Обновлена 25 июля 2025 г.

Примечание

Функциональность находится на стадии Preview.

Чтобы пользователи вашей организации могли аутентифицироваться во внешних приложениях с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне поставщика услуг.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Создайте приложение

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа SAML (Security Assertion Markup Language).

    2. В поле Имя задайте имя создаваемого приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    3. (Опционально) В поле Описание задайте описание приложения.

    4. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    5. Нажмите кнопку Создать приложение.

Настройте приложение

Чтобы настроить интеграцию внешнего приложения с созданным SAML-приложением в Identity Hub, выполните настройки на стороне поставщика услуг и на стороне Identity Hub.

Задайте настройки интеграции на стороне поставщика услуг

Значения настроек интеграции, которые нужно задать на стороне поставщика услуг, доступны на странице с информацией о приложении в интерфейсе Cloud Center.

В зависимости от возможностей вашего поставщика услуг вы можете выполнить необходимые настройки вручную или автоматически, загрузив файл с метаданными или указав URL с метаданными:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте значения параметров, которые необходимо задать на стороне поставщика услуг:

    • Issuer / IdP EntityID — уникальный идентификатор, используемый для приложения. Значение должно совпадать на стороне поставщика услуг и на стороне Identity Hub.
    • Login URL — адрес, на который поставщик услуг будет отправлять запросы для аутентификации пользователя.
    • Logout URL — адрес, на который поставщик услуг будет отправлять SAML-запрос при выходе пользователя из системы.

  4. Скачайте сертификат приложения в блоке Сертификат приложения, нажав кнопку Скачать сертификат.

  5. На стороне поставщика услуг настройте интеграцию с SAML-приложением Identity Hub, указав скопированные параметры и добавив скачанный сертификат. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) нажмите кнопку Скачать файл с метаданными.

    Скачанный XML-файл содержит значения всех необходимых настроек и сертификат, который используется для проверки подписи SAML-ответов. Загрузите скачанный файл на стороне поставщика услуг, если ваш поставщик услуг поддерживает конфигурирование приложения с помощью файла с метаданными. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте значение поля Metadata URL.

    По ссылке доступны значения всех необходимых настроек и сертификат, который используется для проверки подписи SAML-ответов. Укажите полученную ссылку в настройках на стороне поставщика услуг, если ваш поставщик услуг поддерживает конфигурирование приложения с помощью URL с метаданными. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

Настройте SAML-приложение на стороне Identity Hub

Прежде чем настраивать SAML-приложение на стороне Identity Hub, получите необходимые значения настроек у вашего поставщика услуг. Затем перейдите к настройкам SAML-приложения в Identity Hub:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. Справа сверху нажмите кнопку Редактировать и в открывшемся окне:

    1. В поле SP EntityID укажите уникальный идентификатор поставщика услуг (Service Provider).

      Значение должно совпадать на стороне поставщика услуг и на стороне Identity Hub.

    2. В поле ACS URL укажите URL-адрес, на который Identity Hub будет отправлять SAML-ответ.

      Если ваш поставщик услуг вместо ACS URL использует ACS-индексы, в дополнение к ACS URL вы можете задать полученное на стороне поставщика услуг значение индекса.

      При необходимости воспользуйтесь кнопкой Добавить URL, чтобы указать несколько URL/индексов ACS.

      Примечание

      Если в настройках поля ACS URL для одного из URL-адресов вы указали индекс, то индексы также должны быть указаны и для всех остальных URL-адресов.

    3. В поле Режим подписи выберите элементы SAML-ответа, которые будут подписываться электронной подписью:

      • Assertions — будут подписываться только передаваемые атрибуты. Значение по умолчанию.
      • Response — будет подписываться весь SAML-ответ целиком.
      • Assertions and Response — будут подписываться как целиком весь SAML-ответ, так и (отдельно) передаваемые атрибуты.

      Важно

      Режим подписи, заданный для SAML-приложения на стороне Identity Hub, должен соответствовать режиму подписи, заданному на стороне поставщика услуг.

    4. Нажмите кнопку Сохранить.

Настройте атрибуты пользователей и групп

Вы можете настроить атрибуты, которые будут передаваться из Identity Hub поставщику услуг:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное приложение.

  3. Перейдите на вкладку Атрибуты.

  4. Чтобы добавить атрибут групп пользователей, в правом верхнем углу страницы нажмите кнопку Добавить атрибут группы и в открывшемся окне:

    1. В поле Имя атрибута задайте имя атрибута групп пользователей. Имя атрибута должно быть уникальным для вашего приложения.

    2. В поле Передаваемые группы выберите одно из значений:

      • Все группы — в SAML-ответе в значение данного поля будут включены все группы, в которые входит пользователь.

        Максимальное количество передаваемых в этом поле групп — 1 000. Если количество групп, в которые входит пользователь, превышает это число, на сторону поставщика услуг будет передана только первая тысяча групп.

      • Только назначенные группы — в SAML-ответе в значение данного поля из всех групп, в которые входит пользователь, будут включены только те группы, которые явно заданы на вкладке Пользователи и группы SAML-приложения.

    3. Нажмите кнопку Добавить.

  5. Чтобы добавить дополнительные атрибуты пользователей, в правом верхнем углу страницы нажмите кнопку Добавить атрибут и в открывшемся окне:

    1. В поле Имя атрибута задайте имя атрибута, уникальное для вашего приложения.

    2. В поле Значение выберите одно из значений:

      • SubjectClaims.subидентификатор пользователя. Значение поля соответствует значению, отображаемому в поле Идентификатор в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: aje0fapf84ofj57q1r0b.
      • SubjectClaims.preferred_username — уникальный логин пользователя. Значение поля соответствует значению, отображаемому в поле Имя пользователя в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: ivanov@example-federation.ru.
      • SubjectClaims.name — полное имя пользователя. Значение поля соответствует значению, отображаемому в поле Пользователь в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: Иванов Иван.
      • SubjectClaims.given_name — имя. Значение поля соответствует значению, отображаемому в поле Имя в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: Иван.
      • SubjectClaims.family_name — фамилия. Значение поля соответствует значению, отображаемому в поле Фамилия в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: Иванов.
      • SubjectClaims.email — адрес электронной почты. Значение поля соответствует значению, отображаемому в поле Электронная почта на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: ivanov@example-company.ru.
      • SubjectClaims.phone_number — номер телефона. Значение поля соответствует значению, отображаемому в поле Номер телефона в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: +74951234567.

      Примечание

      Любое из этих значений атрибутов вы можете добавлять более одного раза под разными именами.

    3. Нажмите кнопку Добавить.

  6. Чтобы изменить имеющийся атрибут, нажмите на строку с нужным атрибутом и в открывшемся окне:

    1. Измените имя и/или значение атрибута.

      Имя атрибута NameID, в котором передается идентификатор пользователя, изменить нельзя. Для этого атрибута можно изменить формат, в котором будет отправляться идентификатор, если в SAML-запросе со стороны поставщика услуг формат атрибута не указан явно. При изменении формата значение атрибута изменяется автоматически. Возможные форматы и значения атрибута:

      • urn: oasis: names: tc: SAML: 1.1:nameid-format: emailAddress — идентификатор пользователя передается в формате адреса электронной почты в атрибуте SubjectClaims.preferred_username. Формат по умолчанию.

        Уникальность и неизменяемость передаваемого идентификатора не гарантируется: в одной организации могут быть два пользователя с одинаковым идентификатором preferred_username. Например: федеративный пользователь и локальный пользователь могут иметь одинаковое значение этого атрибута.

        Если идентификатор preferred_username федеративного пользователя задан не в формате адреса электронной почты, к передаваемому идентификатору будет автоматически добавлен суффикс @<идентификатор_федерации_удостоверений>, чтобы привести его к такому формату.

      • urn: oasis: names: tc: SAML: 2.0:nameid-format: persistent — идентификатор пользователя передается в атрибуте SubjectClaims.sub в формате идентификатора пользователя организации. При этом передаваемое значение гарантированно уникальное и неизменяемое.

      Важно

      Если SAML-запрос со стороны поставщика услуг содержит явное указание формата, в котором ожидается значение идентификатора пользователя NameID, то в SAML-ответе значение будет отправлено в том формате, который указан в SAML-запросе. При этом значение формата, заданное в настройках Identity Hub, будет проигнорировано.

    2. Нажмите кнопку Обновить.

  7. Чтобы удалить имеющийся атрибут пользователя или группы, в строке с этим атрибутом нажмите значок и выберите Удалить, после чего подтвердите удаление.

    Примечание

    Удалять можно любые атрибуты, кроме обязательного атрибута NameID.

Убедитесь, что добавленные атрибуты также добавлены в настройки интеграции SAML-приложения на стороне поставщика услуг и корректно обрабатываются им.

Настройте пользователей и группы

Чтобы пользователи вашей организации могли аутентифицироваться во внешнем приложении с помощью SAML-приложения Identity Hub, необходимо явно добавить в SAML-приложение нужных пользователей и/или группы пользователей:

Примечание

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена роль organization-manager.samlApplications.userAdmin или выше.

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное приложение.

  3. Перейдите на вкладку Пользователи и группы.

  4. Чтобы добавить в SAML-приложение пользователя или группу пользователей:

    1. Нажмите кнопку Добавить пользователей.
    2. В открывшемся окне выберите нужного пользователя или группу пользователей.
    3. Нажмите кнопку Добавить.

  5. Чтобы удалить пользователя или группу пользователей из SAML-приложения:

    1. В списке пользователей и групп в строке с нужным пользователем или группой нажмите значок и выберите Удалить.
    2. Подтвердите удаление.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе SAML-приложения и интеграции с поставщиком услуг, выполните аутентификацию во внешнем приложении от имени одного из добавленных в приложение пользователей.

См. также

Предыдущая
Удалить домен
Следующая
Изменить приложение