Связаться с намиПодключиться

Изменить SAML-приложение в Yandex Identity Hub

Статья создана
Улучшена
Обновлена 27 ноября 2025 г.

Примечание

Функциональность находится на стадии Preview.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Измените базовые настройки приложения

Чтобы изменить базовые настройки SAML-приложения:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. Справа сверху нажмите кнопку Редактировать и в открывшемся окне:

    1. В поле Имя измените имя приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    2. В поле Описание измените описание приложения.

    3. В поле Метки добавьте новые метки с помощью кнопки Добавить метку. Чтобы удалить существующую метку, используйте значок .

    4. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для изменения SAML-приложения:

    yc organization-manager idp application saml application update --help

  2. Выполните команду:

    yc organization-manager idp application saml application update \
  --id <идентификатор_приложения> \
  --new-name <имя_приложения> \
  --description <описание_приложения> \
  --labels <ключ>=<значение>[,<ключ>=<значение>]

    Где:

    • --id — идентификатор SAML-приложения. Обязательный параметр.

    • --new-name — новое имя SAML-приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    • --description — новое описание SAML-приложения.

    • --labels — новый список меток. Можно указать одну или несколько меток через запятую в формате <ключ1>=<значение1>,<ключ2>=<значение2>.

    Результат:

    id: ek0o663g4rs2********
name: saml-app
organization_id: bpf2c65rqcl8********
group_claims_settings:
  group_distribution_type: NONE
status: ACTIVE
created_at: "2025-10-21T10:51:28.790866Z"
updated_at: "2025-10-21T12:37:19.274522Z"

Измените конфигурацию поставщика услуг

Чтобы изменить конфигурацию поставщика услуг в SAML-приложении:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. Справа сверху нажмите кнопку Редактировать и в открывшемся окне:

    1. В поле SP EntityID укажите уникальный идентификатор поставщика услуг (Service Provider).

      Значение должно совпадать на стороне поставщика услуг и на стороне Identity Hub.

    2. В поле ACS URL укажите URL-адрес, на который Identity Hub будет отправлять SAML-ответ.

      Если ваш поставщик услуг вместо ACS URL использует ACS-индексы, в дополнение к ACS URL вы можете задать полученное на стороне поставщика услуг значение индекса.

      При необходимости воспользуйтесь кнопкой Добавить URL, чтобы указать несколько URL/индексов ACS.

      Примечание

      Если в настройках поля ACS URL для одного из URL-адресов вы указали индекс, то индексы также должны быть указаны и для всех остальных URL-адресов.

    3. В поле Режим подписи выберите элементы SAML-ответа, которые будут подписываться электронной подписью:

      • Assertions — будут подписываться только передаваемые атрибуты. Значение по умолчанию.
      • Response — будет подписываться весь SAML-ответ целиком.
      • Assertions and Response — будут подписываться как целиком весь SAML-ответ, так и (отдельно) передаваемые атрибуты.

      Важно

      Режим подписи, заданный для SAML-приложения на стороне Identity Hub, должен соответствовать режиму подписи, заданному на стороне поставщика услуг.

    4. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для изменения конфигурации поставщика услуг:

    yc organization-manager idp application saml application update --help

  2. Выполните команду:

    yc organization-manager idp application saml application update \
  --id <идентификатор_приложения> \
  --sp-entity-id <идентификатор_поставщика_услуг> \
  --acs-urls <URL>[,<URL>] \
  --signature-mode <режим_подписи>

    Где:

    • --id — идентификатор SAML-приложения. Обязательный параметр.
    • --sp-entity-id — уникальный идентификатор поставщика услуг (Service Provider). Значение должно совпадать на стороне поставщика услуг и на стороне Identity Hub.
    • --acs-urls — URL-адрес или несколько адресов через запятую, на которые Identity Hub будет отправлять SAML-ответ. ACS URL должен соответствовать схеме https. Использовать протокол без шифрования допускается только в целях тестирования на локальном хосте (значения http://127.0.0.1 и http://localhost).
    • --signature-mode — элементы SAML-ответа, которые будут подписываться электронной подписью. Возможные значения:
      • assertion_only — только передаваемые атрибуты пользователя;
      • response_only — весь SAML-ответ целиком;
      • response_and_assertion — целиком весь SAML-ответ и (отдельно) передаваемые атрибуты.

    Результат:

    id: ek0o663g4rs2********
name: saml-app
organization_id: bpf2c65rqcl8********
sp_entity_id: https://example.com/saml
acs_urls:
  - url: https://example.com/saml/acs
signature_mode: RESPONSE_AND_ASSERTION
group_claims_settings:
  group_distribution_type: NONE
status: ACTIVE
created_at: "2025-10-21T10:51:28.790866Z"
updated_at: "2025-10-21T12:37:19.274522Z"

Измените сертификат ключа проверки электронной подписи

Сертификат ключа проверки электронной подписи для SAML-приложения автоматически выпускается при создании приложения сроком на пять лет.

В любой момент вы можете выпустить любое количество новых сертификатов ключа проверки электронной подписи для SAML-приложения. Для этого:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. На вкладке Обзор в блоке Сертификат приложения нажмите кнопку Управление сертификатами и в открывшемся окне:

    1. Нажмите кнопку Сгенерировать новый сертификат. В результате будет создан новый сертификат, который отобразится в списке.

    2. Чтобы активировать новый сертификат, в строке с этим сертификатом включите опцию Активный.

      Важно

      В SAML-приложении активным может быть только один сертификат: при активации нового сертификата текущий сертификат становится неактивным. После активации нового сертификата не забудьте загрузить его в настройки интеграции приложения на стороне поставщика услуг.

    3. Чтобы скачать новый сертификат, в строке с этим сертификатом нажмите значок и выберите Скачать.

    4. Чтобы удалить сертификат, в строке с этим сертификатом нажмите значок и выберите Удалить, после чего подтвердите удаление. Удалить можно только неактивный сертификат.

    5. Нажмите кнопку Закрыть.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания нового сертификата:

    yc organization-manager idp application saml signature-certificate create --help

  2. Создайте новый сертификат:

    yc organization-manager idp application saml signature-certificate create \
  --application-id <идентификатор_приложения>

    Где:

    • --application-id — идентификатор SAML-приложения.

    Результат:

    id: ajeq9jfrmc5t********
application_id: ek0o663g4rs2********
created_at: "2025-10-21T10:14:17.861652377Z"

    Сохраните идентификатор сертификата — он потребуется для активации сертификата.

  3. Посмотрите список сертификатов приложения:

    yc organization-manager idp application saml signature-certificate list \
  --application-id <идентификатор_приложения>

  4. Активируйте новый сертификат:

    yc organization-manager idp application saml signature-certificate update \
  --id <идентификатор_сертификата> \
  --active true

    Где:

    • --id — идентификатор сертификата, полученный при создании.
    • --active — установите true для активации сертификата.

    Важно

    В SAML-приложении активным может быть только один сертификат: при активации нового сертификата текущий сертификат становится неактивным. После активации нового сертификата не забудьте загрузить его в настройки интеграции приложения на стороне поставщика услуг.

Измените атрибуты пользователей и групп

Чтобы изменить атрибуты, которые будут передаваться из Identity Hub поставщику услуг:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное приложение.

  3. Перейдите на вкладку Атрибуты.

  4. Чтобы добавить атрибут групп пользователей, в правом верхнем углу страницы нажмите кнопку Добавить атрибут группы и в открывшемся окне:

    1. В поле Имя атрибута задайте имя атрибута групп пользователей. Имя атрибута должно быть уникальным для вашего приложения.

    2. В поле Передаваемые группы выберите одно из значений:

      • Все группы — в SAML-ответе в значение данного поля будут включены все группы, в которые входит пользователь.

        Максимальное количество передаваемых в этом поле групп — 1 000. Если количество групп, в которые входит пользователь, превышает это число, на сторону поставщика услуг будет передана только первая тысяча групп.

      • Только назначенные группы — в SAML-ответе в значение данного поля из всех групп, в которые входит пользователь, будут включены только те группы, которые явно заданы на вкладке Пользователи и группы SAML-приложения.

    3. Нажмите кнопку Добавить.

  5. Чтобы добавить дополнительные атрибуты пользователей, в правом верхнем углу страницы нажмите кнопку Добавить атрибут и в открывшемся окне:

    1. В поле Имя атрибута задайте имя атрибута, уникальное для вашего приложения.

    2. В поле Значение выберите одно из значений:

      • SubjectClaims.subидентификатор пользователя. Значение поля соответствует значению, отображаемому в поле Идентификатор в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: aje0fapf84ofj57q1r0b.
      • SubjectClaims.preferred_username — уникальный логин пользователя. Значение поля соответствует значению, отображаемому в поле Имя пользователя в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: ivanov@example-federation.ru.
      • SubjectClaims.name — полное имя пользователя. Значение поля соответствует значению, отображаемому в поле Пользователь в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: Иванов Иван.
      • SubjectClaims.given_name — имя. Значение поля соответствует значению, отображаемому в поле Имя в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: Иван.
      • SubjectClaims.family_name — фамилия. Значение поля соответствует значению, отображаемому в поле Фамилия в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: Иванов.
      • SubjectClaims.email — адрес электронной почты. Значение поля соответствует значению, отображаемому в поле Электронная почта на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: ivanov@example-company.ru.
      • SubjectClaims.phone_number — номер телефона. Значение поля соответствует значению, отображаемому в поле Номер телефона в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: +74951234567.

      Примечание

      Любое из этих значений атрибутов вы можете добавлять более одного раза под разными именами.

    3. Нажмите кнопку Добавить.

  6. Чтобы изменить имеющийся атрибут, нажмите на строку с нужным атрибутом и в открывшемся окне:

    1. Измените имя и/или значение атрибута.

      Имя атрибута NameID, в котором передается идентификатор пользователя, изменить нельзя. Для этого атрибута можно изменить формат, в котором будет отправляться идентификатор, если в SAML-запросе со стороны поставщика услуг формат атрибута не указан явно. При изменении формата значение атрибута изменяется автоматически. Возможные форматы и значения атрибута:

      • urn: oasis: names: tc: SAML: 1.1:nameid-format: emailAddress — идентификатор пользователя передается в формате адреса электронной почты в атрибуте SubjectClaims.preferred_username. Формат по умолчанию.

        Уникальность и неизменяемость передаваемого идентификатора не гарантируется: в одной организации могут быть два пользователя с одинаковым идентификатором preferred_username. Например: федеративный пользователь и локальный пользователь могут иметь одинаковое значение этого атрибута.

        Если идентификатор preferred_username федеративного пользователя задан не в формате адреса электронной почты, к передаваемому идентификатору будет автоматически добавлен суффикс @<идентификатор_федерации_удостоверений>, чтобы привести его к такому формату.

      • urn: oasis: names: tc: SAML: 2.0:nameid-format: persistent — идентификатор пользователя передается в атрибуте SubjectClaims.sub в формате идентификатора пользователя организации. При этом передаваемое значение гарантированно уникальное и неизменяемое.

      Важно

      Если SAML-запрос со стороны поставщика услуг содержит явное указание формата, в котором ожидается значение идентификатора пользователя NameID, то в SAML-ответе значение будет отправлено в том формате, который указан в SAML-запросе. При этом значение формата, заданное в настройках Identity Hub, будет проигнорировано.

    2. Нажмите кнопку Обновить.

  7. Чтобы удалить имеющийся атрибут пользователя или группы, в строке с этим атрибутом нажмите значок и выберите Удалить, после чего подтвердите удаление.

    Примечание

    Удалять можно любые атрибуты, кроме обязательного атрибута NameID.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для добавления атрибута:

    yc organization-manager idp application saml attribute create --help

  2. Чтобы добавить атрибут пользователя, выполните команду:

    yc organization-manager idp application saml attribute create \
  --application-id <идентификатор_приложения> \
  --name <имя_атрибута> \
  --value <значение_атрибута>

    Где:

    • --application-id — идентификатор SAML-приложения.

    • --name — имя атрибута, уникальное для вашего приложения.

    • --value — значение атрибута. Возможные значения:

      • SubjectClaims.subидентификатор пользователя. Значение поля соответствует значению, отображаемому в поле Идентификатор в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: aje0fapf84ofj57q1r0b.
      • SubjectClaims.preferred_username — уникальный логин пользователя. Значение поля соответствует значению, отображаемому в поле Имя пользователя в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: ivanov@example-federation.ru.
      • SubjectClaims.name — полное имя пользователя. Значение поля соответствует значению, отображаемому в поле Пользователь в списке пользователей организации в интерфейсе Identity Hub в Cloud Center. Например: Иванов Иван.
      • SubjectClaims.given_name — имя. Значение поля соответствует значению, отображаемому в поле Имя в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: Иван.
      • SubjectClaims.family_name — фамилия. Значение поля соответствует значению, отображаемому в поле Фамилия в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: Иванов.
      • SubjectClaims.email — адрес электронной почты. Значение поля соответствует значению, отображаемому в поле Электронная почта на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: ivanov@example-company.ru.
      • SubjectClaims.phone_number — номер телефона. Значение поля соответствует значению, отображаемому в поле Номер телефона в разделе Персональная информация на странице с информацией о пользователе в интерфейсе Identity Hub в Cloud Center. Например: +74951234567.

      Примечание

      Любое из этих значений атрибутов вы можете добавлять более одного раза под разными именами.

  3. Чтобы добавить атрибут групп пользователей, выполните команду:

    yc organization-manager idp application saml attribute create \
  --application-id <идентификатор_приложения> \
  --name <имя_атрибута_групп> \
  --value <значение_атрибута_групп>

    Где:

    • --name — имя атрибута групп пользователей. Имя атрибута должно быть уникальным для вашего приложения.

    • --value — значение атрибута групп. Возможные значения:

      • Все группы — в SAML-ответе в значение данного поля будут включены все группы, в которые входит пользователь.

        Максимальное количество передаваемых в этом поле групп — 1 000. Если количество групп, в которые входит пользователь, превышает это число, на сторону поставщика услуг будет передана только первая тысяча групп.

      • Только назначенные группы — в SAML-ответе в значение данного поля из всех групп, в которые входит пользователь, будут включены только те группы, которые явно заданы на вкладке Пользователи и группы SAML-приложения.

  4. Чтобы изменить атрибут, выполните команду:

    yc organization-manager idp application saml attribute update \
  --id <идентификатор_атрибута> \
  --name <новое_имя_атрибута> \
  --value <новое_значение_атрибута>

  5. Чтобы удалить атрибут, выполните команду:

    yc organization-manager idp application saml attribute delete <идентификатор_атрибута>

Убедитесь, что добавленные атрибуты также добавлены в настройки интеграции SAML-приложения на стороне поставщика услуг и корректно обрабатываются им.

Измените список пользователей и групп приложения

Измените список пользователей вашей организации, которые могут аутентифицироваться во внешнем приложении с помощью SAML-приложения:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное приложение.

  3. Перейдите на вкладку Пользователи и группы.

  4. Чтобы добавить в SAML-приложение пользователя или группу пользователей:

    1. Нажмите кнопку Добавить пользователей.
    2. В открывшемся окне выберите нужного пользователя или группу пользователей.
    3. Нажмите кнопку Добавить.

  5. Чтобы удалить пользователя или группу пользователей из SAML-приложения:

    1. В списке пользователей и групп в строке с нужным пользователем или группой нажмите значок и выберите Удалить.
    2. Подтвердите удаление.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Получите идентификатор пользователя или группы пользователей.

  2. Чтобы добавить в приложение пользователя или группу пользователей:

    1. Посмотрите описание команды CLI для добавления пользователей в приложение:

      yc organization-manager idp application saml application add-assignments --help

    2. Выполните команду:

      yc organization-manager idp application saml application add-assignments \
  --id <идентификатор_приложения> \
  --subject-id <идентификатор_пользователя_или_группы>

      Где:

      • --id — идентификатор приложения.
      • --subject-id — идентификатор нужного пользователя или группы пользователей.

      Результат:

      assignment_deltas:
  - action: ADD
    assignment:
      subject_id: ajetvnq2mil8********

  3. Чтобы удалить пользователя или группу пользователей из приложения:

    1. Посмотрите описание команды CLI для удаления пользователей из приложения:

      yc organization-manager idp application saml application remove-assignments --help

    2. Выполните команду:

      yc organization-manager idp application saml application remove-assignments \
  --id <идентификатор_приложения> \
  --subject-id <идентификатор_пользователя_или_группы>

      Где:

      • --id — идентификатор SAML-приложения.
      • --subject-id — идентификатор нужного пользователя или группы пользователей.

      Результат:

      assignment_deltas:
  - action: REMOVE
    assignment:
      subject_id: ajetvnq2mil8********

См. также

Предыдущая
Создать приложение
Следующая
Деактивировать и удалить приложение