Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Cloud Organization
  • Начало работы
    • Все инструкции
    • Подписать пользователя на уведомления
      • Обзор
      • Настроить федерацию удостоверений
      • Настроить сопоставление групп федеративных пользователей
      • Обновить SAML-сертификат Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Создать федерацию удостоверений
  • Передать сертификат IdP-сервера в федерацию
  • Передать сертификат федерации на IdP-сервер
  • Настроить SAML-приложение на стороне IdP-сервера
  • Настроить сопоставление атрибутов пользователей
  • Проверить работу аутентификации
  1. Пошаговые инструкции
  2. Управление федерациями удостоверений
  3. Настроить федерацию удостоверений

Настроить федерацию удостоверений

Статья создана
Yandex Cloud
Улучшена
Обновлена 21 апреля 2025 г.
  • Создать федерацию удостоверений
  • Передать сертификат IdP-сервера в федерацию
  • Передать сертификат федерации на IdP-сервер
  • Настроить SAML-приложение на стороне IdP-сервера
  • Настроить сопоставление атрибутов пользователей
  • Проверить работу аутентификации

Вы можете настроить аутентификацию пользователей в облаке через федерацию удостоверений. Федерации удостоверений совместимы с любыми поставщиками удостоверений (IdP), которые поддерживают стандарт SAML 2.0.

Чтобы настроить аутентификацию через федерацию удостоверений:

  1. Создайте федерацию удостоверений.
  2. Передайте сертификат IdP-сервера в федерацию.
  3. Передайте сертификат федерации на IdP-сервер.
  4. Настройте SAML-приложение на стороне IdP-сервера.
  5. Настройте сопоставление атрибутов пользователей.
  6. Проверьте работу аутентификации.

Примеры настройки аутентификации для отдельных поставщиков удостоверений приведены в практических руководствах:

  • Active Directory.
  • Google Workspace.
  • Microsoft Entra ID.
  • Keycloak.

Создать федерацию удостоверенийСоздать федерацию удостоверений

Интерфейс Cloud Center
CLI
Terraform
API
  1. Войдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Федерации.

  3. Нажмите кнопку Создать федерацию.

  4. Задайте имя федерации. Имя должно быть уникальным в каталоге.

  5. (Опционально) Добавьте описание федерации.

  6. В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.

  7. В поле IdP Issuer укажите идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя. Формат идентификатора зависит от типа IdP-сервера.

    Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

  8. В поле Single Sign-On метод выберите метод перенаправления пользователя на IdP-сервер. Большинство поставщиков удостоверений поддерживает метод POST.

  9. В поле Ссылка на страницу для входа в IdP укажите адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

    Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    В ссылке допустимо использовать только протоколы HTTP и HTTPS.

  10. В поле Дополнительно при необходимости выберите опции:

    • Автоматически создавать пользователей — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • Подписывать запросы аутентификации — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить SAML-сертификат Yandex Cloud на стороне поставщика удостоверений.

      В появившемся блоке Сертификаты SAML появится информация о действующем SAML-сертификате Yandex Cloud.

      Нажмите Скачать и сохраните скачанный файл сертификата. Он потребуется для установки на ваш IdP-сервер.

      Совет

      Следите за сроком действия сертификатов и устанавливайте новые сертификаты до истечения срока действия используемых. Перевыпущенный SAML-сертификат Yandex Cloud необходимо заранее скачать и установить на стороне IdP-провайдера и в вашей федерации.

    • Регистронезависимые имена пользователей — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • Принудительная повторная аутентификация (ForceAuthn) в IdP — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.

  11. Нажмите кнопку Создать федерацию.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы создать федерацию:

  1. Посмотрите описание команды создания федерации:

    yc organization-manager federation saml create --help
    
  2. Укажите параметры федерации в команде создания:

    yc organization-manager federation saml create \
      --name <имя_федерации> \
      --organization-id <идентификатор_организации> \
      --cookie-max-age <время_жизни_cookies> \
      --issuer "<идентификатор_IdP-сервера>" \
      --sso-binding <POST_или_REDIRECT> \
      --sso-url "<адрес_страницы_для перенаправления>" \
      --encrypted-assertions \
      --auto-create-account-on-login \
      --case-insensitive-name-ids \
      --force-authn
    

    Где:

    • --name — имя федерации. Имя должно быть уникальным в каталоге.

    • --organization-id — идентификатор организации.

    • --cookie-max-age — время, в течение которого браузер не будет требовать у пользователя повторной аутентификации, например: 12h.

    • --issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • --sso-binding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • --sso-url — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • (Опционально) --encrypted-assertions — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

    • (Опционально) --auto-create-account-on-login — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • (Опционально) --case-insensitive-name-ids — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • (Опционально) --force-authn — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

  1. Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  2. Создайте конфигурационный файл с описанием федерации.

    Пример структуры конфигурационного файла:

    resource "yandex_organizationmanager_saml_federation" federation {
      name            = "my-federation"
      description     = "My new SAML federation"
      organization_id = "<идентификатор_организации>"
      issuer          = "<идентификатор_IdP-сервера>" 
      sso_url         = "<адрес_страницы_для перенаправления>"
      sso_binding     = "<POST_или_REDIRECT>"
      cookie_max_age = <время_жизни_cookies>
      auto_create_account_on_login = "<true_или_false>"
      case_insensitive_name_ids = "<true_или_false>"
      security_settings {
        encrypted_assertions = "<true_или_false>"
        force_authn          = "<true_или_false>"
      }
    }
    

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • (Опционально) description — описание федерации.

    • organization_id — идентификатор организации.

    • issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • sso_binding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • sso_url — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • cookie_max_age — время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию — 28800 (8 часов).

    • auto_create_account_on_login — если true, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • case_insensitive_name_ids — если true, идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • security_settings — настройки безопасности федерации:

      • encrypted_assertions — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

      • force-authn — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию. Необязательный параметр.

    Более подробную информацию о параметрах ресурса yandex_organizationmanager_saml_federation см. в документации провайдера.

  3. Проверьте корректность файлов конфигурации Terraform:

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate
      

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Создайте федерацию:

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan
      

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply
        
      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Проверить появление федерации и ее настройки можно в организации в разделе Федерации.

Примечание

Вы также можете воспользоваться полным решением по развертыванию федерации на базе Keycloak с использованием Terraform.

  1. Создайте файл с телом запроса, например body.json:

    {
      "name": "my-federation",
      "description": "My new SAML federation",
      "organizationId": "<идентификатор_организации>",
      "cookieMaxAge":"43200s",
      "issuer": "<идентификатор_IdP-сервера>",
      "ssoUrl": "<адрес_страницы_для перенаправления>",
      "ssoBinding": "<POST_или_REDIRECT>",
      "autoCreateAccountOnLogin": true,
      "caseInsensitiveNameIds": true,
      "securitySettings": {
        "encryptedAssertions": true,
        "forceAuthn": true
      }
    }
    

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • organizationId — идентификатор организации.

    • (Опционально) description — описание федерации.

    • cookieMaxAge — время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию — 28800 (8 часов).

    • issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
      
    • ssoUrl — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • ssoBinding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • autoCreateAccountOnLogin — если true, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • caseInsensitiveNameIds — если true, идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • encryptedAssertions — если true, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

    • forceAuthn — параметр, который включает принудительную повторную аутентификацию пользователя по истечении сессии в Yandex Cloud.

  2. Чтобы создать федерацию, воспользуйтесь методом REST API create для ресурса Federation или вызовом gRPC API FederationService/Create и передайте в запросе файл с параметрами запроса.

    Пример запроса:

    curl \
      --request POST \
      --header "Content-Type: application/json" \
      --header "Authorization: Bearer <IAM-токен>" \
      --data '@body.json' \
      https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations
    

    Пример ответа:

    {
     "done": true,
     "metadata": {
      "@type": "type.googleapis.com/yandex.cloud.organization-manager.v1.saml.CreateFederationMetadata",
      "federationId": "ajeobmje4dgj********"
     }
    

    В свойстве federationId указан идентификатор созданной федерации: сохраните его, он понадобится в дальнейшем.

Передать сертификат IdP-сервера в федерациюПередать сертификат IdP-сервера в федерацию

Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Cloud Organization мог проверить этот сертификат, добавьте его в созданную федерацию:

  1. Получите сертификат вашего поставщика удостоверений.

    Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    Имя субъекта в сертификате должно содержать FQDN сервера поставщика удостоверений, например fs.contoso.com, чтобы браузер не блокировал страницу аутентификации.

  2. Приведите файл сертификата к PEM-формату:

    -----BEGIN CERTIFICATE-----
      <значение сертификата>
    -----END CERTIFICATE-----
    
  3. Добавьте сертификат в федерацию:

    Интерфейс Cloud Center
    CLI
    API
    1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

    2. На панели слева выберите Федерации.

    3. Нажмите на строку с федерацией, для которой нужно добавить сертификат.

    4. Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.

    5. Введите название и описание сертификата.

    6. Выберите способ добавления сертификата:

      • Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
      • Чтобы вставить скопированное содержимое сертификата, выберите способ Текст.
    7. Нажмите кнопку Добавить.

    Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

    По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

    1. Посмотрите описание команды добавления сертификата:

      yc organization-manager federation saml certificate create --help
      
    2. Добавьте сертификат для федерации, указав путь к файлу сертификата:

      yc organization-manager federation saml certificate create --federation-name <имя_федерации> \
        --name "<имя_сертификата>" \
        --certificate-file <путь_к_файлу_сертификата>
      
    1. Сформируйте файл с телом запроса body.json, указав содержимое сертификата в свойстве data:

      {
        "federationId": "<идентификатор_федерации>",
        "description": "<описание_сертификата>",
        "name": "<имя_сертификата>",
        "data": "<содержимое_сертификата>"
      }
      
    2. Воспользуйтесь методом REST API create для ресурса Certificate или вызовом gRPC API CertificateService/Create и передайте в запросе файл с параметрами запроса.

    Пример cURL-запроса:

    export IAM_TOKEN=CggaATEVAgA...
    curl \
      --request POST \
      --header "Content-Type: application/json" \
      --header "Authorization: Bearer ${IAM_TOKEN}" \
      --data '@body.json' \
      "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/certificates"
    

    Совет

    Не забывайте своевременно перевыпускать сертификаты и добавлять их в федерацию.

    Чтобы не пропустить момент окончания срока действия сертификата, подпишитесь на уведомления от организации. Уведомления направляются подписанным пользователям за 60, 30 и 5 дней до момента прекращения действия сертификата, а также после того, как сертификат становится недействительным.

    Передать сертификат федерации на IdP-серверПередать сертификат федерации на IdP-сервер

    Если при создании федерации вы включили опцию Подписывать запросы аутентификации, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Чтобы IdP-сервер мог проверить эту подпись, добавьте сертификат Yandex Cloud на IdP-сервер:

    1. Если вы не скачивали SAML-сертификат Yandex Cloud при создании федерации удостоверений, скачайте его сейчас:

      Интерфейс Cloud Center
      1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

      2. На панели слева выберите Федерации.

      3. В открывшемся списке выберите нужную федерацию удостоверений и в поле Подписывать запросы аутентификации нажмите Скачать сертификат.

        Если слева от кнопки Скачать сертификат отображается значок , значит срок действия текущего SAML-сертификата Yandex Cloud закончился или вот-вот закончится.

        Скачайте и установите перевыпущенный SAML-сертификат Yandex Cloud в вашей федерации удостоверений.

        Совет

        Чтобы узнать дату истечения срока действия текущего SAML-сертификата, в правом верхнем углу нажмите Изменить. Нужная дата будет указана в блоке Дополнительно в секции Сертификат SAML.

        Сохраните дату истечения срока действия SAML-сертификата в свой календарь. За несколько месяцев до указанной даты вам будет необходимо скачать и установить в вашей федерации и на IdP-сервере перевыпущенный SAML-сертификат Yandex Cloud.

    2. Передайте скачанный SAML-сертификат Yandex Cloud на IdP-сервер. Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    Настроить SAML-приложение на стороне IdP-сервераНастроить SAML-приложение на стороне IdP-сервера

    Конкретные шаги по настройке SAML-приложения на стороне IdP-сервера зависят от используемого поставщика удостоверений. Здесь приведены общие требования к содержанию SAML-сообщения, которое IdP-сервер отправляет на сторону Yandex Cloud при успешной аутентификации пользователя:

    Пример SAML-сообщения
    <samlp:Response ID="_bcdf7b6b-ea42-4191-8d5e-ebd4274acec6" Version="2.0" IssueInstant="2019-07-30T13:24:25.488Z"
     Destination="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
      InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
      <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://example.org/auth</Issuer>
      <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
      </samlp:Status>
      <Assertion ID="_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5" IssueInstant="2019-07-30T13:24:25.488Z"
       Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
        <Issuer>http://example.org/auth</Issuer>
        <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
          <ds:SignedInfo>
            <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
            <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
            <ds:Reference URI="#_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5">
              <ds:Transforms>
                <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
              </ds:Transforms>
              <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
              <ds:DigestValue>phUQR...</ds:DigestValue>
            </ds:Reference>
          </ds:SignedInfo>
          <ds:SignatureValue>VACd7O...</ds:SignatureValue>
          <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
            <ds:X509Data>
              <ds:X509Certificate>MIIC7j...</ds:X509Certificate>
            </ds:X509Data>
          </KeyInfo>
        </ds:Signature>
        <Subject>
          <NameID>user@example.org</NameID>
          <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <SubjectConfirmationData InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" NotOnOrAfter="2019-07-30T13:29:25.488Z" Recipient="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" />
          </SubjectConfirmation>
        </Subject>
        <Conditions NotBefore="2019-07-30T13:24:25.482Z" NotOnOrAfter="2019-07-30T14:24:25.482Z">
          <AudienceRestriction>
            <Audience>https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu</Audience>
          </AudienceRestriction>
        </Conditions>
        <AttributeStatement>
          <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
            <AttributeValue>user@example.org</AttributeValue>
          </Attribute>
          <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
            <AttributeValue>First Name</AttributeValue>
          </Attribute>
          <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
            <AttributeValue>Last Name</AttributeValue>
          </Attribute>
        </AttributeStatement>
      </Assertion>
    </samlp:Response>
    

    Настройте SAML-приложение таким образом, чтобы при формировании сообщения:

    • В элементах Response и SubjectConfirmationData в атрибуте InResponseTo был передан идентификатор из SAML-запроса на аутентификацию, отправленного Yandex Cloud.

    • ACS URL был передан в следующих элементах:

      • Response в атрибуте Destination;
      • SubjectConfirmationData в атрибуте Recipient;
      • Audience.
      Как получить идентификатор федерации
      1. Войдите в сервис Yandex Cloud Organization.
      2. На панели слева выберите Федерации.
      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
      Как получить ACS URL федерации
      1. Войдите в сервис Yandex Cloud Organization.

      2. На панели слева выберите Федерации.

      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля ACS URL.

    • В элементе NameID был указан уникальный идентификатор пользователя. В качестве идентификатора рекомендуется использовать User Principal Name (UPN) или адрес электронной почты.

    • В элементе Issuer была указана ссылка на страницу поставщика удостоверений, куда перенаправлялся пользователь для прохождения аутентификации.

    • В элементе SignatureValue было указано подписанное сообщение, а в элементе KeyInfo — сертификат, которым оно было подписано.

    • Чтобы пользователь мог обратиться в службу технической поддержки Yandex Cloud из консоли управления, в элементе AttributeStatement должен быть указан его адрес электронной почты и имя.

    Чтобы получить более подробную информацию о настройке SAML-приложения, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений. Также примеры настройки для отдельных поставщиков удостоверений приведены в практических руководствах:

    • Active Directory.
    • Google Workspace.
    • Microsoft Entra ID.
    • Keycloak.

    Настроить сопоставление атрибутов пользователейНастроить сопоставление атрибутов пользователей

    После аутентификации пользователя IdP-сервер отправляет в Yandex Cloud SAML-сообщение, которое содержит информацию об успешной аутентификации и атрибуты пользователя, такие как идентификатор, имя, адрес электронной почты и так далее.

    Чтобы корректно передавать в сервис Yandex Cloud Organization информацию о пользователе, настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на стороне поставщика удостоверений.

    Данные пользователя Комментарий Элементы SAML-сообщения
    Уникальный идентификатор пользователя Обязательный атрибут. Рекомендуется использовать User Principal Name (UPN) или адрес электронной почты. <NameID>
    Фамилия Отображается в сервисах Yandex Cloud.
    Ограничение значения по длине: 64 символа.
    <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
    Имя Отображается в сервисах Yandex Cloud.
    Ограничение значения по длине: 64 символа.
    <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
    Полное имя Отображается в сервисах Yandex Cloud.
    Пример: Иван Иванов.
    Ограничение значения по длине: 64 символа.
    <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
    Почта Используется для отправки уведомлений из сервисов Yandex Cloud.
    Пример: ivanov@example.com.
    Ограничение по длине: 256 символов.
    <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    Телефон Используется для отправки уведомлений из сервисов Yandex Cloud.
    Пример: +71234567890.
    Ограничение по длине: 64 символа.
    <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone"
    Аватар Отображается в сервисах Yandex Cloud.
    Изображение передается в кодировке Base64.
    Ограничение по длине: 204800 символов.
    <Attribute> с параметром
    Name="thumbnailPhoto"
    Членство в группах Используется для функционала динамического сопоставления членства в группах. <Attribute> с параметром
    Name="member"

    Примечание

    Если значение атрибута thumbnailPhoto превышает ограничение по длине, атрибут игнорируется. Если значение другого атрибута превышает ограничение, такое значение обрезается.

    Проверить работу аутентификацииПроверить работу аутентификации

    Чтобы проверить работу аутентификации федеративных пользователей:

    1. Если в федерации не включена опция Автоматически создавать пользователей, добавьте федеративных пользователей вручную.

    2. Откройте браузер в гостевом режиме или режиме инкогнито для чистой симуляции нового пользователя.

    3. Перейдите по URL для входа в консоль управления:

      https://console.yandex.cloud/federations/<идентификатор_федерации>
      
      Как получить идентификатор федерации
      1. Войдите в сервис Yandex Cloud Organization.
      2. На панели слева выберите Федерации.
      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

      Браузер перенаправит вас на страницу аутентификации поставщика удостоверений.

    4. Введите ваши аутентификационные данные. По умолчанию необходимо ввести UPN и пароль.

    5. Нажмите кнопку Sign in.

    6. После успешной аутентификации IdP-сервер перенаправит вас по ACS URL, который вы указали в настройках сервера, а после этого — на главную страницу консоли управления.

    Убедитесь, что вошли в консоль от имени федеративного пользователя.

Была ли статья полезна?

Предыдущая
Обзор
Следующая
Настроить сопоставление групп федеративных пользователей
Проект Яндекса
© 2025 ООО «Яндекс.Облако»