Связаться с намиПодключиться

Создать SAML-приложение в Yandex Identity Hub для интеграции с Managed Service for GitLab

Статья создана
Обновлена 23 октября 2025 г.

Примечание

Функциональность находится на стадии Preview.

Чтобы пользователи вашей организации могли аутентифицироваться в Yandex Managed Service for GitLab с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне Managed Service for GitLab.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Чтобы дать доступ пользователям вашей организации в Managed Service for GitLab:

  1. Создайте инстанс GitLab.
  2. Создайте приложение в Identity Hub.
  3. Настройте интеграцию.
  4. Убедитесь в корректной работе приложения.

Создайте инстанс GitLab

  1. В консоли управления выберите каталог, в котором нужно создать инстанс GitLab.

  2. Выберите сервис Managed Service for GitLab.

  3. Нажмите кнопку Создать инстанс.

  4. В верхней части страницы:

    1. Введите имя инстанса. Оно должно быть уникальным в рамках Yandex Cloud.

  5. В блоке Конфигурация:

    1. Выберите тип инстанса. После создания инстанса можно изменить его тип на более производительный.

    2. Укажите зону доступности. После создания инстанса изменить его зону доступности невозможно.

    3. Укажите подсеть, в которой будет размещен инстанс.

    4. Выберите группу безопасности или создайте новую:

      1. Нажмите кнопку Создать группу.
      2. Введите имя и описание группы безопасности. Правила для группы безопасности вы сможете добавить позже в сервисе Virtual Private Cloud.
      3. Нажмите кнопку Создать.

    5. Выберите размер диска. После создания инстанса размер его диска можно увеличить.

    6. Укажите доменное имя инстанса — для него будут автоматически созданы нужные DNS-записи в домене .gitlab.yandexcloud.net.

    7. Задайте срок хранения автоматических резервных копий (в днях).

  6. В блоке Данные администратора укажите:

    • Электронная почта — адрес электронной почты администратора инстанса GitLab. На этот адрес придет письмо со ссылкой для создания пароля.
    • Логин — логин администратора.

  7. Нажмите кнопку Создать.

  8. Дождитесь, когда инстанс будет готов к работе: его статус на панели Managed Service for GitLab сменится на Running. Это может занять некоторое время.

Создайте приложение в Identity Hub

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа SAML (Security Assertion Markup Language).

    2. В поле Имя задайте имя создаваемого приложения: managed-gitlab-app.

    3. (Опционально) В поле Описание задайте описание приложения.

    4. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    5. Нажмите Создать приложение.

  4. Сохраните значения полей Login URL, Issuer / IdP EntityID и Цифровой отпечаток (fingerprint), они понадобятся на следующем шаге.

Настройте интеграцию

Настройте аутентификацию на стороне GitLab с помощью OmniAuth

Чтобы интегрировать провайдер аутентификации для GitLab через OmniAuth, добавьте провайдер аутентификации:

  1. В консоли управления перейдите на страницу каталога и выберите сервис Managed Service for GitLab.

  2. Нажмите на созданный инстанс и выберите вкладку OmniAuth.

  3. Нажмите кнопку Настроить.

  4. Чтобы добавить провайдера аутентификации, нажмите кнопку Add.

  5. Выберите тип SAML и укажите параметры провайдера аутентификации:

    • Label — название провайдера аутентификации. Может быть любым, например Identity Hub.
    • Assertion consumer service URL — HTTPS-эндпоинт инстанса GitLab. Чтобы сформировать этот URL, добавьте /users/auth/saml/callback к адресу вашего инстанса GitLab, например https://example.gitlab.yandexcloud.net/users/auth/saml/callback.
    • IDP certificate fingerprint — SHA1-отпечаток открытого ключа сертификата. Используйте значение из поля Цифровой отпечаток (fingerprint), полученное при создании приложения в Identity Hub.
    • IDP SSO target URL — URL провайдера идентификации. Используйте значение из поля Login URL.
    • Issuer — уникальный идентификатор приложения, в котором будет происходить аутентификация пользователя, например https://example.gitlab.yandexcloud.net.
    • Name identifier format — формат идентификатора имени, выберите значение Persistent.
    • Allow single sign on — разрешить использование SSO. Установите значение true. Если установить false, аутентифицироваться смогут только пользователи, уже созданные на стороне GitLab.
    • Auto link users by email — установить соответствие между именем пользователя в OmniAuth и в GitLab, если к ним привязан один адрес электронной почты. Установите значение true.
    • Block auto-created users — переводить автоматически созданные учетные записи в состояние Pending approval до их одобрения администратором. Установите значение false.
    • External provider — установить для провайдера свойство внешний. Пользователи, аутентифицированные через данный провайдер, будут считаться внешними и не будут иметь доступа к внутренним проектам. Установите значение false.
    • Auto link LDAP user — создавать LDAP-сущность для автоматически созданных учетных записей. Применимо только для инстансов, к которым подключен LDAP-провайдер. Установите значение false.

  6. Нажмите кнопку Создать.

Настройте SAML-приложение на стороне Yandex Identity Hub

Настройте эндпоинты поставщика услуг

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.
  3. Справа сверху нажмите Редактировать и в открывшемся окне:
    1. В поле SP EntityID вставьте адрес эндпоинта, который вы вводили в поле Issuer при настройке OmniAuth.
    2. В поле ACS URL вставьте адрес эндпоинта, который вы вводили в поле Assertion consumer service URL при настройке OmniAuth, например https://example.gitlab.yandexcloud.net/users/auth/saml/callback.
    3. Нажмите Сохранить.

Настройте атрибуты пользователей

Важно

Для интеграции с GitLab необходимо, чтобы у пользователей был атрибут email.

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное приложение.

  3. Перейдите на вкладку Атрибуты.

  4. Нажмите на строку с атрибутом emailaddress и в открывшемся окне:

    1. В поле Имя атрибута измените значение на email.
    2. Нажмите Обновить.

Подробнее о настройке атрибутов см. Настройте атрибуты пользователей и групп.

Добавьте пользователя

Чтобы пользователи вашей организации могли аутентифицироваться в GitLab с помощью SAML-приложения Identity Hub, необходимо явно добавить в SAML-приложение нужных пользователей и/или группы пользователей.

Примечание

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена роль organization-manager.samlApplications.userAdmin или выше.

  1. Добавьте пользователей в приложение:

    1. Войдите в сервис Yandex Identity Hub.
    2. На панели слева выберите Приложения и выберите нужное приложение.
    3. Перейдите на вкладку Пользователи и группы.
    4. Нажмите Добавить пользователей.
    5. В открывшемся окне выберите нужного пользователя или группу пользователей.
    6. Нажмите Добавить.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе SAML-приложения и интеграции с GitLab, выполните аутентификацию в GitLab от имени одного из добавленных в приложение пользователей. Для этого:

  1. В браузере перейдите по адресу вашего инстанса GitLab (например, https://example.gitlab.yandexcloud.net).
  2. Если вы прошли аутентификацию в GitLab, выйдите из профиля.
  3. На странице аутентификации GitLab нажмите на название созданного провайдера аутентификации, например Identity Hub.
  4. На странице аутентификации Yandex Cloud укажите почту и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение. Также у пользователя должна быть указана почта.
  5. Убедитесь, что вы аутентифицировались в GitLab.
Предыдущая
Managed Service for OpenSearch
Следующая
Zabbix