Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Интерфейс командной строки
  • Начало работы с CLI
    • Все инструкции
    • Установка CLI
    • Обновление CLI
      • Аутентификация от имени пользователя
      • Аутентификация от имени сервисного аккаунта
      • Аутентификация от имени федеративного пользователя
  • Релизы CLI
  • Решение проблем
  1. Пошаговые инструкции
  2. Аутентификация
  3. Аутентификация от имени федеративного пользователя

Аутентификация от имени федеративного пользователя

Статья создана
Yandex Cloud
Обновлена 19 марта 2025 г.

Вы можете использовать федеративный аккаунт для работы с Yandex Cloud, если ваша компания настроила федерацию удостоверений. В этом случае не требуется личный аккаунт на Яндексе.

Примечание

Для прохождения аутентификации на сервере без графического интерфейса нужен установленный браузер с настроенным форвардингом X11. С помощью X11 вы сможете использовать браузер на сервере по SSH. Для SSH-клиентов на ОС Linux эта функциональность доступна по умолчанию. Для клиентов на Windows можно использовать Xming.

См. также Пример аутентификации на ВМ Linux без графического интерфейса.

Если браузер установить невозможно, используйте сервисный аккаунт вместо федеративного.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите его.

Чтобы аутентифицироваться с помощью SAML-совместимой федерации удостоверений:

  1. Узнайте идентификатор федерации у вашего администратора.

  2. Запустите интерактивное создание профиля:

    yc init --federation-id=<идентификатор_федерации>
    
  3. Выберите профиль, для которого вы хотите настроить аутентификацию, или создайте новый.

    Welcome! This command will take you through the configuration process.
    Pick desired action:
    [1] Re-initialize this profile 'default' with new settings
    [2] Create a new profile
    
  4. CLI выведет сообщение о продолжении аутентификации в браузере. Для продолжения нажмите клавишу Enter.

    You are going to be authenticated via federation-id 'aje1f0hsgds3a********'.
    Your federation authentication web site will be opened.
    After your successful authentication, you will be redirected to 'https://console.yandex.cloud'.
    
    Press 'enter' to continue...
    

    После успешной аутентификации в профиле сохранится IAM-токен. При каждой операции аутентификация будет происходить с помощью этого токена, пока не истечет время жизни токена. После этого CLI снова выведет сообщение о необходимости пройти аутентификацию в браузере.

  5. Вернитесь в интерфейс командной строки, чтобы завершить создание профиля.

  6. Выберите одно из предложенных облаков, в которых у вас есть права доступа:

    Please select cloud to use:
     [1] cloud1 (id = aoe2bmdcvata********)
     [2] cloud2 (id = dcvatao4faoe********)
    Please enter your numeric choice: 2
    

    Если вам доступно только одно облако, оно будет выбрано автоматически.

  7. Выберите каталог по умолчанию:

    Please choose a folder to use:
     [1] folder1 (id = cvatao4faoe2********)
     [2] folder2 (id = tao4faoe2cva********)
     [3] Create a new folder
    Please enter your numeric choice: 1
    
  8. Чтобы выбрать зону доступности по умолчанию для сервиса Compute Cloud, введите Y. Чтобы пропустить настройку, введите n.

    Do you want to configure a default Yandex Compute Cloud availability zone? [Y/n] Y
    

    Если вы ввели Y, выберите зону доступности:

    Which zone do you want to use as a profile default?
     [1] ru-central1-a
     [2] ru-central1-b
     [3] ru-central1-d
     [4] Do not set default zone
    Please enter your numeric choice: 2
    
  9. Проверьте настройки вашего профиля CLI:

    yc config list
    

    Результат:

    federation-id: aje1f0hs6oja********
    cloud-id: b1g159pa15cd********
    folder-id: b1g8o9jbt58********
    compute-default-zone: ru-central1-b
    

Пример аутентификации на ВМ Linux без графического интерфейсаПример аутентификации на ВМ Linux без графического интерфейса

Для аутентификации на ВМ Linux выполните следующие шаги:

  1. Подключитесь к ВМ по SSH.

  2. Установите CLI.

  3. Создайте на ВМ файл /usr/local/bin/xdg-open со следующим содержимым:

    #!/bin/sh
    echo $* > /dev/tty
    
  4. Назначьте права на исполнение файла:

    sudo chmod +x /usr/local/bin/xdg-open
    
  5. Запустите создание профиля CLI командой:

    yc init --federation-id=<идентификатор_федерации>
    
  6. Выберите профиль, для которого вы хотите настроить аутентификацию, или создайте новый.

    Welcome! This command will take you through the configuration process.
    Pick desired action:
    [1] Re-initialize this profile 'default' with new settings
    [2] Create a new profile
    
  7. CLI выведет сообщение о продолжении аутентификации в браузере. Для продолжения нажмите клавишу Enter.

    You are going to be authenticated via federation-id 'aje1f0hsgds3a********'.
    Your federation authentication web site will be opened.
    After your successful authentication, you will be redirected to 'https://console.yandex.cloud'.
    
    Press 'enter' to continue...
    
  8. После нажатия клавиши Enter вы получите URL следующего вида:

    https://auth.yandex.cloud/oauth/authorize?client_id=yc.oauth.public-sdk&code_challenge=y22kspX4VrKLmdg9hGr_Bwgte_a3RXtw1En********&code_challenge_method=S256&redirect_uri=http%3A%2F%2F127.0.0.1%3A42121%2Fauth%2Fcallback&response_type=code&scope=openid&state=aExf0z********&yc_federation_hint=federation-id
    

    Сохраните этот URL. Он потребуется для аутентификации в браузере. Вам также понадобится порт, который вы можете найти в query-параметре redirect_uri после IP-адреса 127.0.0.1. В данном случае это порт 42121.

  9. На локальном компьютере откройте новое окно терминала и выполните команду для создания SSH-туннеля, указав порт, полученный в предыдущем шаге, имя пользователя и IP-адрес ВМ:

    ssh -L <порт>:127.0.0.1:<порт> <имя_пользователя>@<IP-адрес_ВМ>
    
  10. В браузере на локальном компьютере откройте URL для аутентификации, полученный ранее.

  11. Если аутентификация прошла успешно, в ожидающей команде CLI в SSH-сессии ВМ вы увидите следующий шаг настройки профиля.

  12. Завершите настройку CLI.

Была ли статья полезна?

Предыдущая
Аутентификация от имени сервисного аккаунта
Следующая
Создание профиля
Проект Яндекса
© 2025 ООО «Яндекс.Облако»