Добавить пользователя
Добавьте пользователя в организацию и назначьте ему подходящую роль, чтобы предоставить доступ к ресурсам Yandex Cloud. Например, роли необходимы, чтобы пользователь мог создавать кластеры управляемой базы данных или следить за состоянием используемых виртуальных машин.
Добавить в организацию можно пользователей с аккаунтом на Яндексе, федеративных пользователей и локальных пользователей. В результате добавленные пользователи станут участниками организации, и вы сможете назначить им роли. Пока пользователю организации не назначены роли, он не имеет доступа к ресурсам в облаках этой организации. О том, как назначить пользователю роль, читайте в разделе Назначение роли.
Чтобы добавлять пользователей в организацию, нужно быть администратором (роль organization-manager.admin
) или владельцем (роль organization-manager.organizations.owner
) этой организации, либо иметь роль администратора того типа пользовательских аккаунтов, которые требуется добавить.
Примечание
Для доступа пользователя к консоли управленияresource-manager.clouds.member
, но также можно назначить и другие роли, если вы знаете, какие права вы хотите предоставить приглашенным пользователям.
Чтобы дать эти права сразу всем пользователям в организации, назначьте роль системной группе All users in organization X
. При работе с CLI или API назначение дополнительных ролей не требуется.
Пользователи с аккаунтом на Яндексе
Если у сотрудников компании есть аккаунты на Яндексе (например, login@yandex.ru
), они могут использовать эти аккаунты для доступа к сервисам Yandex Cloud, подключенным к вашей организации.
Пользователя можно пригласить в организацию через консоль управления или интерфейс Cloud Center. Приглашение присоединиться к организации направляется пользователю на электронную почту.
Приглашать в организацию новых пользователей с аккаунтом на Яндексе и удалять такие приглашения могут пользователи с любой из следующих ролей: organization-manager.passportUserAdmin
, organization-manager.admin
или organization-manager.organizations.owner
.
Отправьте приглашение
-
Перейдите в сервис Yandex Identity Hub
. -
На панели слева выберите
Пользователи. -
В правом верхнем углу экрана нажмите кнопку
Добавить пользователя и в выпадающем списке выберите Пригласить пользователей с аккаунтом на Яндексе. -
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите кнопку Отправить приглашение.
-
Войдите в консоль управления
с учетной записью администратора облака. -
В списке слева выберите нужное облако. Пример:
-
В правом верхнем углу нажмите на значок
и выберите Пригласить пользователей. -
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите Отправить приглашение.
Пользователь сможет войти в организацию, как только примет приглашение по ссылке из письма и выберет подходящий аккаунт для входа. Для доступа к сервисам, которые подключены к организации, приглашенным пользователям достаточно войти в свой аккаунт на Яндексе.
Удалить приглашение или отправить приглашение повторно можно только в сервисе Identity Hub.
Удалите приглашение
-
Перейдите в сервис Yandex Identity Hub
. -
На панели слева выберите
Пользователи. -
В центральной части экрана выберите вкладку Приглашения.
-
В строке с нужным приглашением нажмите значок
и выберите Удалить приглашение. -
В открывшемся окне подтвердите удаление.
Отправьте приглашение повторно
-
Перейдите в сервис Yandex Identity Hub
. -
На панели слева выберите
Пользователи. -
В центральной части экрана выберите вкладку Приглашения.
-
В строке с нужным приглашением нажмите значок
и выберите Отправить повторно. -
В открывшемся окне подтвердите повторную отправку приглашения.
Примечание
Чтобы усилить защиту ваших ресурсов от несанкционированного доступа:
- Включите для своего аккаунта на Яндексе двухфакторную аутентификацию
. - Попросите всех пользователей, которых вы добавляете в организацию, также включить двухфакторную аутентификацию.
- В настройках безопасности организации включите требование двухфакторной аутентификации. Это позволит предоставить доступ к ресурсам только для тех пользователей, у кого включена двухфакторная аутентификация.
Федеративные пользователи
Если при настройке федерации вы не включили опцию Автоматически создавать пользователей, федеративных пользователей нужно добавить в организацию вручную.
Для этого необходимо знать Name ID пользователей, которые вместе с ответом об успешной аутентификации возвращает сервер поставщика удостоверений (IdP). Обычно это электронная почта пользователя. Чтобы узнать, что возвращается в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.
При включенной опции Автоматически создавать пользователей в федерацию будут добавлены только пользователи, которые впервые авторизуются в облаке. Если федеративный пользователь был исключен, добавить его повторно можно только вручную.
Федеративных пользователей не нужно отдельно приглашать в организацию, они добавляются автоматически после логина.
Добавлять в организацию федеративных пользователей и удалять их могут пользователи с любой из следующих ролей: organization-manager.federations.userAdmin
, organization-manager.federations.admin
, organization-manager.admin
или organization-manager.organizations.owner
.
Добавьте федеративных пользователей
-
Перейдите в сервис Yandex Identity Hub
. -
На панели слева выберите
Пользователи. -
В правом верхнем углу нажмите кнопку
Добавить пользователя и в выпадающем списке выберите Добавить федеративных пользователей. -
Укажите федерацию, из которой необходимо добавить пользователей.
-
Перечислите Name ID пользователей, разделяя их пробелами или переносами строк.
-
Нажмите Добавить. Пользователи будут подключены к организации.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>
. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name
или --folder-id
.
-
Посмотрите описание команды добавления пользователей:
yc organization-manager federation saml add-user-accounts --help
-
Добавьте пользователей, перечислив их Name ID через запятую:
yc organization-manager federation saml add-user-accounts \ --name <имя_федерации> \ --name-ids <список_Name_ID_пользователей>
Terraform
Terraform распространяется под лицензией Business Source License
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:
resource "yandex_organizationmanager_saml_federation_user_account" "some_account" { federation_id = "<идентификатор_федерации>" name_id = "<Name_ID_пользователя>" }
Где:
federation_id
— идентификатор федерации для добавления пользователя.name_id
— Name ID пользователя.
Более подробную информацию о параметрах ресурса
yandex_organizationmanager_saml_federation_user_account
см. в документации провайдера . -
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов можно в консоли управления
или с помощью команды CLI:yc organization-manager federations saml \ --organization-id <идентификатор_организации> list-user-accounts \ --id <идентификатор_федерации>
-
Воспользуйтесь методом REST API addUserAccounts для ресурса Federation или вызовом gRPC API FederationService/AddUserAccounts и передайте в запросе:
- Идентификатор федерации в параметре
federationId
. - Список Name ID пользователей в параметре
nameIds
.
Локальные пользователи
Локальных пользователей необходимо добавлять в организацию вручную. При этом каждому пользователю присваивается имя пользователя, уникальное для выбранного пула пользователей.
Добавлять в организацию локальных пользователей и удалять их могут пользователи с любой из следующих ролей: organization-manager.userpools.userAdmin
, organization-manager.userpools.admin
, organization-manager.admin
или organization-manager.organizations.owner
.
Добавьте локальных пользователей
-
Войдите в сервис Yandex Identity Hub
с учетной записью администратора или владельца организации. -
На панели слева нажмите
Пулы пользователей и выберите нужный пул пользователей. -
На вкладке Пользователи нажмите Добавить пользователя.
-
Введите логин пользователя и выберите домен из списка. Логин должен быть уникальным для данного пула пользователей.
Если нужного домена нет, добавьте новый.
-
В поле Полное имя укажите имя и фамилию пользователя в произвольном формате.
-
(Опционально) Добавьте электронную почту пользователя.
-
В поле Пароль вы можете посмотреть автоматически сгенерированный пароль пользователя и сгенерировать новый пароль.
Пользователь должен будет изменить этот пароль при первом входе в Yandex Cloud.
-
Включите опцию Учётная запись активна, если нужно активировать пользователя сразу после добавления. Активированные пользователи получают доступ к ресурсам организации.
-
(Опционально) В блоке Персональная информация укажите имя, фамилию и номер телефона пользователя.
-
Нажмите Добавить пользователя.