Деактивировать и удалить OIDC-приложение в Yandex Identity Hub
Управлять OIDC-приложениями может пользователь, которому назначена роль organization-manager.oauthApplications.admin или выше.
Деактивируйте приложение
Если вам требуется временно отключить возможность аутентификации пользователей вашей организации во внешнем приложении с помощью технологии единого входа по стандарту OpenID Connect (OIDC), деактивируйте соответствующее OIDC-приложение в Identity Hub:
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Приложения.
- В строке с OIDC-приложением, которое вы хотите деактивировать, нажмите значок и выберите Деактивировать.
- В открывшемся окне подтвердите действие.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Посмотрите описание команды CLI для деактивации OIDC-приложения:
yc organization-manager idp application oauth application suspend --help -
Выполните команду:
yc organization-manager idp application oauth application suspend <идентификатор_приложения>Результат:
id: ek0o663g4rs2******** name: test-oidc-app organization_id: bpf2c65rqcl8******** group_claims_settings: group_distribution_type: NONE client_grant: client_id: ajeqqip130i1******** authorized_scopes: - openid status: SUSPENDED created_at: "2025-10-21T10:51:28.790866Z" updated_at: "2025-10-21T11:28:09.167252Z"
Воспользуйтесь методом REST API Application.Suspend для ресурса Application или вызовом gRPC API ApplicationService/Suspend.
В результате OIDC-приложение будет деактивировано и перейдет в статус Suspended, а пользователи потеряют возможность аутентификации с его помощью в соответствующем внешнем приложении.
Активируйте приложение
Если вам требуется восстановить возможность аутентификации пользователей вашей организации во внешнем приложении с помощью стандарта единого входа OIDC, активируйте соответствующее OIDC-приложение в Identity Hub:
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Приложения.
- В строке с OIDC-приложением, которое вы хотите активировать, нажмите значок и выберите Активировать.
- В открывшемся окне подтвердите действие.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Посмотрите описание команды CLI для активации OIDC-приложения:
yc organization-manager idp application oauth application reactivate --help -
Выполните команду:
yc organization-manager idp application oauth application reactivate <идентификатор_приложения>Результат:
id: ek0o663g4rs2******** name: test-oidc-app organization_id: bpf2c65rqcl8******** group_claims_settings: group_distribution_type: NONE client_grant: client_id: ajeqqip130i1******** authorized_scopes: - openid status: ACTIVE created_at: "2025-10-21T10:51:28.790866Z" updated_at: "2025-10-21T11:28:09.167252Z"
Воспользуйтесь методом REST API Application.Reactivate для ресурса Application или вызовом gRPC API ApplicationService/Reactivate.
В результате OIDC-приложение будет активировано и перейдет в статус Active, а пользователи, добавленные в приложение, вновь получат возможность аутентификации с его помощью во внешнем приложении.
Удалите приложение
Чтобы удалить OIDC-приложение:
- Войдите в сервис Yandex Identity Hub.
- На панели слева выберите Приложения.
- В строке с OIDC-приложением, которое вы хотите удалить, нажмите значок и выберите Удалить.
- В открывшемся окне подтвердите действие.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Посмотрите описание команды CLI для удаления OIDC-приложения:
yc organization-manager idp application oauth application delete --help -
Выполните команду:
yc organization-manager idp application oauth application delete <идентификатор_приложения>
Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Чтобы удалить OIDC-приложение, удалите соответствующий ресурс из конфигурационного файла Terraform:
Пример описания OIDC-приложения в конфигурации Terraform
resource "yandex_organizationmanager_idp_application_oauth_application" "example_oidc_app" { organization_id = "<идентификатор_организации>" name = "<имя_приложения>" description = "<описание_приложения>" client_grant = { client_id = "<идентификатор_OAuth-клиента>" authorized_scopes = ["<атрибут1>", "<атрибут2>"] } group_claims_settings = { group_distribution_type = "ALL_GROUPS" } labels = { "<ключ1>" = "<значение1>" "<ключ2>" = "<значение2>" } }Где:
organization_id— идентификатор организации, в которой находится OIDC-приложение.name— имя OIDC-приложения.description— описание OIDC-приложения.client_grant— параметры подключения к OAuth-клиенту:client_id— идентификатор OAuth-клиента.authorized_scopes— набор атрибутов пользователей, которые доступны поставщику услуг.
group_claims_settings— настройки передачи групп пользователей поставщику услуг:group_distribution_type— тип распределения групп.
labels— список меток.
Более подробную информацию о параметрах ресурса
yandex_organizationmanager_idp_application_oauth_applicationсм. в документации провайдера. -
Примените изменения:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validateЕсли конфигурация является корректной, появится сообщение:
Success! The configuration is valid. -
Выполните команду:
terraform planВ терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply -
Подтвердите изменения: введите в терминале слово
yesи нажмите Enter.
Terraform удалит ресурс OIDC-приложения. Проверить удаление ресурса можно в Yandex Identity Hub или с помощью команды CLI:
yc organization-manager idp application oauth application list --organization-id <идентификатор_организации> -
Воспользуйтесь методом REST API Application.Delete для ресурса Application или вызовом gRPC API ApplicationService/Delete.
В результате OIDC-приложение будет удалено, а пользователи навсегда потеряют возможность аутентификации с его помощью во внешнем приложении.