Связаться с намиПодключиться

Изменить OIDC-приложение в Yandex Identity Hub

Статья создана
Улучшена
Обновлена 10 ноября 2025 г.

Примечание

Функциональность находится на стадии Preview.

Управлять OIDC-приложениями может пользователь, которому назначена роль organization-manager.oauthApplications.admin или выше.

Измените базовые настройки приложения

Чтобы изменить базовые настройки OIDC-приложения:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. Справа сверху нажмите кнопку Редактировать и в открывшемся окне:

    1. В поле Имя измените имя приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    2. В поле Описание измените описание приложения.

    3. В поле Метки добавьте новые метки с помощью кнопки Добавить метку. Чтобы удалить существующую метку, используйте значок .

    4. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для изменения OIDC-приложения:

    yc organization-manager idp application oauth application update --help

  2. Выполните команду:

    yc iam organization-manager idp application oauth application update \
  --id <идентификатор_приложения> \
  --new-name <имя_приложения> \
  --description <описание_приложения> \
  --client-id <идентификатор_OAuth-клиента> \
  --authorized-scopes <атрибут>[,<атрибут>] \
  --group-distribution-type all-groups \
  --labels <ключ>=<значение>[,<ключ>=<значение>]

    Где:

    • --id — идентификатор OIDC-приложения. Обязательный параметр.

    • --new-name — новое имя OIDC-приложения. Имя должно быть уникальным в пределах организации и соответствовать требованиям:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    • --description — новое описание OIDC-приложения.

    • --client-id — идентификатор нового OAuth-клиента.

    • --authorized-scopes — новый набор атрибутов пользователей, которые будут доступны поставщику услуг. Укажите один или несколько атрибутов через запятую в формате <атрибут1>,<атрибут2>. Возможные атрибуты:

      • openid — идентификатор пользователя. Обязательный атрибут.

      • profile — дополнительная информация о пользователе, такая как имя, фамилия, аватар.

      • email — адрес электронной почты пользователя.

      • address — адрес жительства пользователя.

      • phone — номер телефона пользователя.

      • groupsгруппы пользователей в организации.

        Важно

        Новый набор атрибутов пользователей сначала необходимо указать в конфигурации поставщика услуг с помощью параметра --scopes.

    • --group-distribution-type — если при создании или изменении OAuth-клиента вы указали атрибут groups, измените группы пользователей, которые будут переданы поставщику услуг. Возможные значения:

      • all-groups — поставщику услуг будут переданы все группы, в которые входит пользователь.

        Максимальное количество передаваемых групп — 1 000. Если количество групп, в которые входит пользователь, превышает это число, на сторону поставщика услуг будет передана только первая тысяча групп.

      • assigned-groups — из всех групп, в которые входит пользователь, поставщику услуг будут переданы только те группы, которые явно заданы.

      • none — поставщику услуг не будут переданы группы, в которые входит пользователь.

    • --labels — новый список меток. Можно указать одну или несколько меток через запятую в формате <ключ1>=<значение1>,<ключ2>=<значение2>.

    Результат:

    id: ek0o663g4rs2********
name: oidc-app
organization_id: bpf2c65rqcl8********
group_claims_settings:
  group_distribution_type: NONE
client_grant:
  client_id: ajeqqip130i1********
  authorized_scopes:
    - openid
status: ACTIVE
created_at: "2025-10-21T10:51:28.790866Z"
updated_at: "2025-10-21T12:37:19.274522Z"

Воспользуйтесь методом REST API Application.Update для ресурса Application или вызовом gRPC API ApplicationService/Update.

Измените конфигурацию поставщика услуг

Чтобы изменить конфигурацию поставщика услуг в OIDC-приложении:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. Справа сверху нажмите кнопку Редактировать и в открывшемся окне:

    1. В поле Redirect URI укажите полученный у поставщика услуг адрес.

      Используйте кнопку Добавить URI, чтобы указать одновременно несколько адресов Redirect URI.

    2. В поле Scopes выберите набор атрибутов пользователей, которые будут доступны поставщику услуг:

      • openid (идентификатор пользователя) — идентификатор пользователя. Обязательный параметр.

      • email (адрес электронной почты) — адрес электронной почты пользователя.

      • profile (полное имя, имя, фамилия, аватар и др.) — дополнительная информация о пользователе.

      • groups (группы пользователя в организации)группы пользователей организации, участником которых является аутентифицирующийся пользователь. Возможные значения:

        • Все группы — поставщику услуг будут переданы все группы, в которые входит пользователь.

          Максимальное количество передаваемых групп — 1 000. Если количество групп, в которые входит пользователь, превышает это число, на сторону поставщика услуг будет передана только первая тысяча групп.

        • Только назначенные группы — из всех групп, в которые входит пользователь, поставщику услуг будут переданы только те группы, которые явно заданы на вкладке Пользователи и группы OIDC-приложения.

    3. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для настройки OAuth-клиента:

    yc iam oauth-client update --help

  2. Выполните команду:

    yc iam oauth-client update \
  --id <идентификатор_OAuth-клиента> \
  --new-name <новое_имя_OAuth-клиента> \
  --redirect-uris <адрес>[,<адрес>] \
  --scopes <атрибут>[,<атрибут>]

    Где:

    • --id — идентификатор OAuth-клиента.

    • --new-name — новое имя OAuth-клиента.

    • --scopes — новый набор атрибутов пользователей, которые будут доступны поставщику услуг. Укажите один или несколько атрибутов через запятую в формате <атрибут1>,<атрибут2>. Возможные атрибуты:

      • openid — идентификатор пользователя. Обязательный атрибут.

      • profile — дополнительная информация о пользователе, такая как имя, фамилия, аватар.

      • email — адрес электронной почты пользователя.

      • address — место жительства пользователя.

      • phone — номер телефона пользователя.

      • groupsгруппы пользователей в организации.

        Важно

        Новый набор атрибутов пользователей также необходимо указать в базовых настройках приложения с помощью параметра --authorized-scopes.

    • --redirect-uris — укажите новые полученные у поставщика услуг адрес или несколько адресов в формате <адрес1>,<адрес2>.

    Результат:

    id: ajejklv8g9kh********
name: my-oauth-client
redirect_uris:
  - https://example2.com
  - https://example2.ru
scopes:
  - openid
  - profile
folder_id: b1g500m2195v********
status: ACTIVE

Воспользуйтесь методом REST API OAuthClient.Update для ресурса OAuthClient или вызовом gRPC API OAuthClientService/Update.

Измените секрет приложения

Посмотреть или изменить имеющийся в приложении секрет невозможно. Вместо этого вы можете сгенерировать новый секрет:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. В блоке Секреты приложения нажмите кнопку Добавить секрет и в открывшемся окне:

    1. (Опционально) Добавьте произвольное описание создаваемого секрета.
    2. Нажмите Создать.

    В окне отобразится сгенерированный секрет приложения. Сохраните полученное значение.

    Важно

    После обновления или закрытия страницы с информацией о приложении посмотреть секрет будет невозможно.

    Если вы закрыли или обновили страницу, не сохранив сгенерированный секрет, используйте кнопку Добавить секрет, чтобы создать новый.

    Чтобы удалить секрет, в списке секретов на странице OIDC-приложения в строке с нужным секретом нажмите значок и выберите Удалить.

  4. Не забудьте указать новый секрет в настройках на стороне поставщика услуг. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания нового секрета OIDC-приложения:

    yc iam oauth-client-secret create --help

  2. Выполните команду:

    yc iam oauth-client-secret create --oauth-client-id <идентификатор_OAuth-клиента>

    Результат:

    oauth_client_secret:
  id: aje0hjqp68u6********
  oauth_client_id: ajejklv8g9kh********
  masked_secret: yccs__9e1d5f6d5c****
  created_at: "2025-10-23T11:44:50.739768533Z"
secret_value: yccs__9e1d5f6d5c********

    Не забудьте указать новый секрет в настройках на стороне поставщика услуг. При необходимости обратитесь к документации или в службу поддержки вашего поставщика услуг.

Воспользуйтесь методом REST API OAuthClientSecret.Create для ресурса OAuthClientSecret или вызовом gRPC API OAuthClientSecretService/Create.

Измените список пользователей и групп приложения

Измените список пользователей вашей организации, которые могут аутентифицироваться во внешнем приложении с помощью OIDC-приложения:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. Перейдите на вкладку Пользователи и группы.

  4. Чтобы добавить в приложение пользователя или группу пользователей:

    1. Нажмите кнопку Добавить пользователей.
    2. В открывшемся окне выберите нужного пользователя или группу пользователей.
    3. Нажмите кнопку Добавить.

  5. Чтобы удалить пользователя или группу пользователей из приложения:

    1. В списке пользователей и групп в строке с нужным пользователем или группой нажмите значок и выберите Удалить.
    2. Подтвердите удаление.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Получите идентификатор пользователя или группы пользователей.

  2. Чтобы добавить в приложение пользователя или группу пользователей:

    1. Посмотрите описание команды CLI для добавления пользователей в приложение:

      yc organization-manager idp application oauth application add-assignments --help

    2. Выполните команду:

      yc organization-manager idp application oauth application add-assignments \
  --id <идентификатор_приложения> \
  --subject-id ek0omvvcb9vv********

      Где:

      • --id — идентификатор приложения.
      • --subject-id — идентификатор нужного пользователя или группы пользователей.

      Результат:

      assignment_deltas:
  - action: ADD
    assignment:
      subject_id: ajetvnq2mil8********

  3. Чтобы удалить пользователя или группу пользователей из приложения:

    1. Посмотрите описание команды CLI для удаления пользователей из приложения:

      yc organization-manager idp application oauth application remove-assignments --help

    2. Выполните команду:

      yc organization-manager idp application oauth application remove-assignments \
  --id <идентификатор_приложения> \
  --subject-id <идентификатор_пользователя>

      Где:

      • --id — идентификатор OIDC-приложения.
      • --subject-id — идентификатор нужного пользователя или группы пользователей.

      Результат:

      assignment_deltas:
  - action: REMOVE
    assignment:
      subject_id: ajetvnq2mil8********

Воспользуйтесь методом REST API Application.UpdateAssignments для ресурса Application или вызовом gRPC API ApplicationService/UpdateAssignments.

См. также

Предыдущая
Создать приложение
Следующая
Настроить доступ пользователям приложения