Создать SAML-приложение в Yandex Identity Hub для интеграции с Selectel
Selectel — это провайдер облачной инфраструктуры и услуг дата-центров, предоставляющий выделенные серверы, облачные платформы и сервисы хранения данных. Selectel поддерживает SAML-аутентификацию для обеспечения безопасного единого входа пользователей организации.
Чтобы пользователи вашей организации могли аутентифицироваться в Selectel с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне Selectel.
Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.
Чтобы дать доступ пользователям вашей организации в Selectel:
Создайте приложение
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Приложения.
- В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:
- Выберите метод единого входа SAML (Security Assertion Markup Language).
- В поле Имя задайте имя создаваемого приложения:
selectel-app. - (Опционально) В поле Описание задайте описание приложения.
- (Опционально) Добавьте метки:
- Нажмите Добавить метку.
- Введите метку в формате
ключ: значение. - Нажмите Enter.
- Нажмите Создать приложение.
Настройте интеграцию
Чтобы настроить интеграцию Selectel с созданным SAML-приложением в Identity Hub, выполните настройки на стороне Selectel и на стороне Identity Hub.
Настройте SAML-приложение на стороне Selectel
Примечание
Создать федерацию удостоверений в Selectel может владелец аккаунта или пользователь с ролью iam_admin.
Чтобы настроить аутентификацию по стандарту SAML на стороне Selectel, вам потребуется создать и настроить федерацию удостоверений. Для этого:
- Войдите в свой аккаунт Selectel, в верхней панели выберите Аккаунт.
- В левой панели в блоке Управление доступом выберите раздел Федерации.
- Нажмите кнопку Добавить федерацию.
Далее настройте связь между Selectel и Identity Hub:
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Приложения и выберите нужное SAML-приложение.
- На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте значения полей Issuer / IdP EntityID и Login URL.
- На вкладке Обзор в блоке Сертификат приложения нажмите на кнопку Скачать сертификат и сохраните файл на своем устройстве.
- Вернитесь в Selectel, после чего в меню Создание федерации:
- В поле Имя задайте имя федерации.
- (Опционально) В поле Описание задайте описание федерации.
- Вставьте скопированные значения в поля IdP Issuer и Ссылка на страницу входа IdP.
- В поле Время жизни сессии задайте время жизни сессии, в течение которой будет аутентифицирован пользователь без необходимости повторной аутентификации, или оставьте значение по умолчанию (24 часа).
- (Опционально) Чтобы запросы аутентификации подписывались, отметьте чекбокс Подписывать запросы аутентификации.
- (Опционально) Чтобы пользователи проходили принудительную аутентификацию после истечения сессии в Selectel, отметьте чекбокс Принудительная аутентификация в IdP.
- Нажмите кнопку Создать федерацию.
- В поле Имя сертификата задайте имя сертификата.
- Откройте сохраненный ранее файл сертификата в любом текстовом редакторе, скопируйте его содержимое и вставьте в поле Сертификат.
- Нажмите кнопку Добавить, затем кнопку Завершить добавление федерации.
- На странице созданной федерации скопируйте значение поля Идентификатор.
Настройте SAML-приложение на стороне Yandex Identity Hub
Настройте эндпоинты поставщика услуг
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Приложения и выберите нужное SAML-приложение.
- Справа сверху нажмите Редактировать и в открывшемся окне:
- В поле SP EntityID укажите адрес
https://api.selectel.ru/v1/federations/saml/<federation_id>, гдеfederation_id— идентификатор федерации, который вы скопировали в конце прошлого этапа. - В поле ACS URL укажите адрес
https://api.selectel.ru/v1/auth/federations/<federation_id>/saml/acs. - Нажмите Сохранить.
- В поле SP EntityID укажите адрес
(Опционально) Настройте проверку цифровой подписи
Если при настройке федерации вы отметили чекбокс Подписывать запросы аутентификации, необходимо настроить проверку цифровой подписи:
- Скачайте сертификат Selectel.
- В SAML-приложении в правом верхнем углу нажмите Редактировать и в открывшемся окне активируйте опцию Принимать только подписанные запросы.
- Нажмите кнопку Добавить сертификат.
- Выберите способ добавления сертификата:
- Чтобы добавить сертификат в виде файла, нажмите Прикрепить файл и укажите путь к нему.
- Чтобы вставить скопированное содержимое сертификата, выберите способ Текст и вставьте содержимое.
- Нажмите Добавить, затем нажмите Сохранить.
Добавьте пользователей
Чтобы пользователи вашей организации могли аутентифицироваться в Selectel с помощью SAML-приложения Identity Hub, необходимо явно добавить в ваше SAML-приложение нужных пользователей и/или группы пользователей. Также необходимо явно добавить пользователей в Selectel.
Добавьте пользователей в SAML-приложение
Примечание
Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена роль organization-manager.samlApplications.userAdmin или выше.
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Приложения и выберите нужное приложение.
- Перейдите на вкладку Пользователи и группы.
- Нажмите Добавить пользователей.
- В открывшемся окне выберите нужного пользователя или группу пользователей.
- Нажмите Добавить.
Добавьте пользователей в Selectel
Перед тем как добавить пользователя в Selectel, скопируйте его ID из сервиса Identity Hub:
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Пользователи. Найдите в списке пользователя, которого хотите добавить в Selectel.
- Скопируйте значение в столбце Имя пользователя.
После чего добавьте пользователя в аккаунт Selectel:
- Вернитесь в Selectel, после чего в верхней панели выберите Аккаунт.
- Перейдите в раздел Пользователи.
- В правом верхнем углу нажмите кнопку Добавить пользователя.
- В блоке Данные пользователя:
- В поле Способ входа выберите Федерация (<имя_федерации>).
- В поле External ID вставьте скопированный ID.
- В поле Почта введите адрес электронной почты пользователя. На указанную почту пользователю придет письмо с инструкциями для завершения аутентификации.
- (Опционально) Введите описание пользователя.
- В блоке Настройки доступа настройте разрешение для пользователя. Для этого:
- Выберите область доступа: Аккаунт или Проекты. Для области доступа Проекты выберите нужные проекты в поле Проект.
- Назначьте пользователю роль. Для назначения пользователю роли
memberи выше на балансе аккаунта должно быть минимум 100 ₽. - (Опционально) Добавьте еще одно разрешение, нажав на кнопку Добавить разрешение.
- (Опционально) В поле Группа назначьте пользователю группу.
- (Опционально) В поле Уведомления выберите категории уведомлений, которые будут приходить пользователю на почту.
- Нажмите кнопку Добавить пользователя.
Убедитесь в корректной работе приложения
Чтобы убедиться в корректной работе SAML-приложения и интеграции с Selectel, выполните аутентификацию в Selectel от имени одного из добавленных в приложение пользователей. Для этого:
- Откройте письмо о предоставлении доступа к аккаунту Selectel. В письме находятся ссылка для аутентификации по SSO и ID федерации.
- Перейдите по ссылке из письма, после чего откроется страница аутентификации.
- В поле ID федерации введите ID федерации.
- Нажмите кнопку Войти.
- На странице аутентификации Yandex Cloud укажите адрес электронной почты и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.
- После успешной аутентификации на стороне Identity Hub вы будете перенаправлены на страницу входа в Selectel. Введите свое полное имя в поле ФИО.
- Нажмите кнопку Войти.
- Убедитесь, что вы аутентифицировались в Selectel.