Добавление пользователя в организацию
Добавьте пользователя в вашу организацию, чтобы дать ему доступ к ресурсам Yandex Cloud.
Добавить можно пользователей с аккаунтом на Яндексе и федеративных пользователей. Для этого нужно быть администратором (роль organization-manager.admin
) или владельцем (роль organization-manager.organizations.owner
) организации.
Пользователь станет участником организации, вы сможете дать ему доступ к ресурсам ваших облаков, назначив ему роль. Новый участник организации не будет иметь доступа к ресурсам в облаках, пока вы не назначите ему роль.
Добавьте пользователя в организацию и назначьте ему подходящую роль для доступа к ресурсам Yandex Cloud. Например, пользователь сможет создавать кластеры управляемой базы данных или следить за состоянием используемых виртуальных машин.
Добавить можно пользователей с аккаунтом на Яндексе и федеративных пользователей. Для этого нужно быть администратором (роль organization-manager.admin
) или владельцем (роль organization-manager.organizations.owner
) организации. О том, как назначить пользователю роль, читайте в разделе Назначение роли.
Примечание
Для доступа пользователя к консоли управленияresource-manager.clouds.member
, но также можно назначить и другие роли, если вы знаете, какие права вы хотите предоставить приглашенным пользователям.
Чтобы дать эти права сразу всем пользователям в организации, назначьте роль системной группе All users in organization X
. При работе с CLI или API назначение дополнительных ролей не требуется.
Пользователи с аккаунтом на Яндексе
Если у сотрудников компании есть аккаунты на Яндексе (например, login@yandex.ru
), они могут использовать эти аккаунты для доступа к сервисам Yandex Cloud, подключенным к вашей организации.
Пользователя можно пригласить в организацию через консоль управления или интерфейс Cloud Center. Приглашение присоединиться к организации направляется пользователю на электронную почту.
Отправьте приглашение
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Пользователи. -
В правом верхнем углу экрана нажмите кнопку Пригласить пользователей.
-
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите кнопку Отправить приглашение.
-
Войдите в консоль управления
с учетной записью администратора облака. -
В списке слева выберите нужное облако. Пример:
-
В правом верхнем углу нажмите на значок
и выберите Пригласить пользователей. -
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите Отправить приглашение.
Пользователь сможет войти в организацию, как только примет приглашение по ссылке из письма и выберет подходящий аккаунт для входа. Для доступа к сервисам, которые подключены к организации, приглашенным пользователям достаточно войти в свой аккаунт на Яндексе.
Удалить приглашение или отправить приглашение повторно можно только в сервисе Cloud Organization.
Удалите приглашение
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Пользователи. -
В центральной части экрана выберите вкладку Приглашения.
-
В строке с нужным приглашением нажмите значок
и выберите Удалить приглашение. -
В открывшемся окне подтвердите удаление.
Отправьте приглашение повторно
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Пользователи. -
В центральной части экрана выберите вкладку Приглашения.
-
В строке с нужным приглашением нажмите значок
и выберите Отправить повторно. -
В открывшемся окне подтвердите повторную отправку приглашения.
Примечание
Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, включите для своего аккаунта Яндекс ID двухфакторную аутентификацию
Федеративные пользователи
Если при настройке федерации вы не включили опцию Автоматически создавать пользователей, федеративных пользователей нужно добавить в организацию вручную.
Для этого необходимо знать Name ID пользователей, которые вместе с ответом об успешной аутентификации возвращает сервер поставщика удостоверений (IdP). Обычно это электронная почта пользователя. Чтобы узнать, что возвращается в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.
При включенной опции Автоматически создавать пользователей в федерацию будут добавлены только пользователи, которые впервые авторизуются в облаке. Если федеративный пользователь был исключен, добавить его повторно можно только вручную.
Федеративных пользователей не нужно отдельно приглашать в организацию, они добавляются автоматически после логина.
Добавьте федеративных пользователей
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Пользователи. -
В правом верхнем углу экрана нажмите Ещё
и выберите Добавить федеративных пользователей. -
Выберите федерацию, из которой необходимо добавить пользователей.
-
Перечислите Name ID пользователей, разделяя их пробелами или переносами строк.
-
Нажмите Добавить. Пользователи будут подключены к организации.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды добавления пользователей:
yc organization-manager federation saml add-user-accounts --help
-
Добавьте пользователей, перечислив их Name ID через запятую:
yc organization-manager federation saml add-user-accounts \ --name <имя_федерации> \ --name-ids <список_Name_ID_пользователей>
Terraform
Terraform распространяется под лицензией Business Source License
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:
resource "yandex_organizationmanager_saml_federation_user_account" "some_account" { federation_id = "<идентификатор_федерации>" name_id = "<Name_ID_пользователя>" }
Где:
federation_id
— идентификатор федерации для добавления пользователя.name_id
— Name ID пользователя.
Более подробную информацию о параметрах ресурса
yandex_organizationmanager_saml_federation_user_account
см. в документации провайдера . -
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов можно в консоли управления
или с помощью команды CLI:yc organization-manager federations saml \ --organization-id <идентификатор_организации> list-user-accounts \ --id <идентификатор_федерации>
-
Воспользуйтесь методом REST API addUserAccounts для ресурса Federation или вызовом gRPC API FederationService/AddUserAccounts и передайте в запросе:
- Идентификатор федерации в параметре
federationId
. - Список Name ID пользователей в параметре
nameIds
.