Связаться с намиПодключиться

Создать SAML-приложение в Yandex Identity Hub для интеграции с Яндекс 360

Статья создана
Обновлена 29 октября 2025 г.

Примечание

Функциональность находится на стадии Preview.

Яндекс 360 — это облачная платформа для бизнеса, предоставляющая набор инструментов для корпоративной электронной почты, совместной работы и управления документами. Яндекс 360 поддерживает SAML-аутентификацию для обеспечения безопасного единого входа пользователей организации.

Чтобы пользователи вашей организации могли аутентифицироваться в Яндекс 360 с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне Яндекс 360.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Чтобы дать доступ пользователям вашей организации в Яндекс 360:

  1. Создайте приложение.
  2. Настройте интеграцию.
  3. Убедитесь в корректной работе приложения.

Создайте приложение

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа SAML (Security Assertion Markup Language).

    2. В поле Имя задайте имя создаваемого приложения: yandex360.

    3. (Опционально) В поле Описание задайте описание приложения.

    4. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    5. Нажмите Создать приложение.

Настройте интеграцию

Чтобы настроить интеграцию Яндекс 360 с созданным SAML-приложением в Identity Hub, выполните настройки на стороне Identity Hub и на стороне Яндекс 360.

Настройте SAML-приложение на стороне Yandex Identity Hub

Настройте эндпоинты поставщика услуг

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.
  3. Справа сверху нажмите Редактировать и в открывшемся окне:
    1. В поле SP EntityID укажите https://yandex.ru/.
    2. В поле ACS URL укажите адрес https://passport.yandex.ru/auth/sso/commit.
    3. Нажмите Сохранить.

Настройте атрибуты пользователей

Важно

Для интеграции с Яндекс 360 необходимо настроить атрибуты User.EmailAddress, User.Firstname и User.Surname.

Настройте атрибуты пользователей для интеграции с Яндекс 360:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное приложение.

  3. Перейдите на вкладку Атрибуты.

  4. Отредактируйте атрибуты пользователей:

    1. Атрибут emailaddress замените на User.EmailAddress. Для этого:

      1. Кликните на строку с атрибутом emailaddress.
      2. В поле Имя атрибута введите User.EmailAddress.
      3. В поле Значение оставьте текущее значение SubjectClaims.email.
      4. Нажмите Сохранить.

    2. Атрибут givenname замените на User.Firstname:

    3. Атрибут surname замените на User.Surname:

    4. Атрибут fullname не понадобится — его можно удалить.

Подробнее о настройке атрибутов см. Настройте атрибуты пользователей и групп.

Соберите данные для настройки Яндекс 360

Для настройки SSO в Яндекс 360 вам потребуются следующие данные из вашего SAML-приложения:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.

  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте следующие данные:

    • Issuer / IdP EntityID — издатель поставщика удостоверений (IdP Entity ID).
    • Login URL — URL-адрес точки входа (Login URL).

  4. В блоке Сертификат приложения нажмите на кнопку Скачать сертификат и сохраните сертификат подписи токенов формата X.509 на своем устройстве.

Эти данные потребуются для настройки SSO на стороне Яндекс 360.

Настройте SAML-аутентификацию на стороне Яндекс 360

Примечание

Настройку SAML-аутентификации в Яндекс 360 может проводить пользователь с правами администратора организации.

Чтобы настроить SAML-аутентификацию на стороне Яндекс 360:

  1. Войдите в консоль Яндекс 360 для бизнеса.
  2. Перейдите в раздел настроек единого входа (SSO).
  3. Укажите данные, полученные на предыдущем шаге:
    • IdP Entity ID — издатель поставщика удостоверений.
    • Login URL — URL-адрес точки входа.
    • Загрузите сертификат подписи токенов формата X.509.
  4. Сохраните настройки.

Важно

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response совпадает с основным доменом или одним из доменов-алиасов вашей организации Яндекс 360.

Добавьте пользователей

Чтобы пользователи вашей организации могли аутентифицироваться в Яндекс 360 с помощью SAML-приложения Identity Hub, необходимо явно добавить в ваше SAML-приложение нужных пользователей и/или группы пользователей.

Примечание

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена роль organization-manager.samlApplications.userAdmin или выше.

Добавьте пользователей в приложение:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное приложение.
  3. Перейдите на вкладку Пользователи и группы.
  4. Нажмите Добавить пользователей.
  5. В открывшемся окне выберите нужного пользователя или группу пользователей.
  6. Нажмите Добавить.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе SAML-приложения и интеграции с Яндекс 360, выполните аутентификацию в Яндекс 360 от имени одного из добавленных в приложение пользователей. Для этого:

  1. В браузере перейдите на страницу входа в Яндекс 360.
  2. Если вы были авторизованы в Яндекс 360, выйдите из профиля.
  3. На странице аутентификации выберите вход через Single Sign-On (SSO).
  4. На странице аутентификации Yandex Cloud укажите адрес электронной почты и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.
  5. Убедитесь, что вы авторизовались в Яндекс 360.

Решение проблем с настройкой

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.not_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL-адрес точки входа, издатель поставщика удостоверений или сертификат подписи токенов. Также она может возникнуть в течение 14 дней до истечения сертификата подписи токенов или после его истечения. Проверьте корректность настроек SSO в Яндекс 360.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360.

Предыдущая
Zabbix
Следующая
Managed Service for OpenSearch