Связаться с намиПодключиться

Настроить федерацию удостоверений

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

Вы можете настроить аутентификацию пользователей в облаке через федерацию удостоверений. Федерации удостоверений совместимы с любыми поставщиками удостоверений (IdP), которые поддерживают стандарт SAML 2.0.

Чтобы настроить аутентификацию через федерацию удостоверений:

  1. Создайте федерацию удостоверений.
  2. Передайте сертификат IdP-сервера в федерацию.
  3. Передайте сертификат федерации на IdP-сервер.
  4. Настройте SAML-приложение на стороне IdP-сервера.
  5. Настройте сопоставление атрибутов пользователей.
  6. Проверьте работу аутентификации.

Примеры настройки аутентификации для отдельных поставщиков удостоверений приведены в практических руководствах:

Создать федерацию удостоверений

  1. Войдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Федерации.

  3. Нажмите кнопку Создать федерацию.

  4. Задайте имя федерации. Имя должно быть уникальным в каталоге.

  5. (Опционально) Добавьте описание федерации.

  6. В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.

  7. В поле IdP Issuer укажите идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя. Формат идентификатора зависит от типа IdP-сервера.

    Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

  8. В поле Single Sign-On метод выберите метод перенаправления пользователя на IdP-сервер. Большинство поставщиков удостоверений поддерживает метод POST.

  9. В поле Ссылка на страницу для входа в IdP укажите адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

    Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    В ссылке допустимо использовать только протоколы HTTP и HTTPS.

  10. В поле Дополнительно при необходимости выберите опции:

    • Автоматически создавать пользователей — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • Подписывать запросы аутентификации — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить SAML-сертификат Yandex Cloud на стороне поставщика удостоверений.

      В появившемся блоке Сертификаты SAML появится информация о действующем SAML-сертификате Yandex Cloud.

      Нажмите Скачать и сохраните скачанный файл сертификата. Он потребуется для установки на ваш IdP-сервер.

      Совет

      Следите за сроком действия сертификатов и устанавливайте новые сертификаты до истечения срока действия используемых. Перевыпущенный SAML-сертификат Yandex Cloud необходимо заранее скачать и установить на стороне IdP-провайдера и в вашей федерации.

    • Регистронезависимые имена пользователей — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • Принудительная повторная аутентификация (ForceAuthn) в IdP — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.

  11. Нажмите кнопку Создать федерацию.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы создать федерацию:

  1. Посмотрите описание команды создания федерации:

    yc organization-manager federation saml create --help

  2. Укажите параметры федерации в команде создания:

    yc organization-manager federation saml create \
  --name <имя_федерации> \
  --organization-id <идентификатор_организации> \
  --cookie-max-age <время_жизни_cookies> \
  --issuer "<идентификатор_IdP-сервера>" \
  --sso-binding <POST_или_REDIRECT> \
  --sso-url "<адрес_страницы_для перенаправления>" \
  --encrypted-assertions \
  --auto-create-account-on-login \
  --case-insensitive-name-ids \
  --force-authn

    Где:

    • --name — имя федерации. Имя должно быть уникальным в каталоге.

    • --organization-id — идентификатор организации.

    • --cookie-max-age — время, в течение которого браузер не будет требовать у пользователя повторной аутентификации, например: 12h.

    • --issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • --sso-binding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • --sso-url — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • (Опционально) --encrypted-assertions — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

    • (Опционально) --auto-create-account-on-login — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • (Опционально) --case-insensitive-name-ids — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • (Опционально) --force-authn — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

  1. Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  2. Создайте конфигурационный файл с описанием федерации.

    Пример структуры конфигурационного файла:

    resource "yandex_organizationmanager_saml_federation" federation {
  name            = "my-federation"
  description     = "My new SAML federation"
  organization_id = "<идентификатор_организации>"
  issuer          = "<идентификатор_IdP-сервера>" 
  sso_url         = "<адрес_страницы_для перенаправления>"
  sso_binding     = "<POST_или_REDIRECT>"
  cookie_max_age = <время_жизни_cookies>
  auto_create_account_on_login = "<true_или_false>"
  case_insensitive_name_ids = "<true_или_false>"
  security_settings {
    encrypted_assertions = "<true_или_false>"
    force_authn          = "<true_или_false>"
  }
}

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • (Опционально) description — описание федерации.

    • organization_id — идентификатор организации.

    • issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • sso_binding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • sso_url — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • cookie_max_age — время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию — 28800 (8 часов).

    • auto_create_account_on_login — если true, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • case_insensitive_name_ids — если true, идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • security_settings — настройки безопасности федерации:

      • encrypted_assertions — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

      • force-authn — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию. Необязательный параметр.

    Более подробную информацию о параметрах ресурса yandex_organizationmanager_saml_federation см. в документации провайдера.

  3. Проверьте корректность файлов конфигурации Terraform:

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Создайте федерацию:

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Проверить появление федерации и ее настройки можно в организации в разделе Федерации.

Примечание

Вы также можете воспользоваться полным решением по развертыванию федерации на базе Keycloak с использованием Terraform.

  1. Создайте файл с телом запроса, например body.json:

    {
  "name": "my-federation",
  "description": "My new SAML federation",
  "organizationId": "<идентификатор_организации>",
  "cookieMaxAge":"43200s",
  "issuer": "<идентификатор_IdP-сервера>",
  "ssoUrl": "<адрес_страницы_для перенаправления>",
  "ssoBinding": "<POST_или_REDIRECT>",
  "autoCreateAccountOnLogin": true,
  "caseInsensitiveNameIds": true,
  "securitySettings": {
    "encryptedAssertions": true,
    "forceAuthn": true
  }
}

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • organizationId — идентификатор организации.

    • (Опционально) description — описание федерации.

    • cookieMaxAge — время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию — 28800 (8 часов).

    • issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • ssoUrl — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • ssoBinding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • autoCreateAccountOnLogin — если true, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • caseInsensitiveNameIds — если true, идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • encryptedAssertions — если true, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

    • forceAuthn — параметр, который включает принудительную повторную аутентификацию пользователя по истечении сессии в Yandex Cloud.

  2. Чтобы создать федерацию, воспользуйтесь методом REST API create для ресурса Federation или вызовом gRPC API FederationService/Create и передайте в запросе файл с параметрами запроса.

    Пример запроса:

    curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer <IAM-токен>" \
  --data '@body.json' \
  https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations

    Пример ответа:

    {
 "done": true,
 "metadata": {
  "@type": "type.googleapis.com/yandex.cloud.organization-manager.v1.saml.CreateFederationMetadata",
  "federationId": "ajeobmje4dgj********"
 }

    В свойстве federationId указан идентификатор созданной федерации: сохраните его, он понадобится в дальнейшем.

Передать сертификат IdP-сервера в федерацию

Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Cloud Organization мог проверить этот сертификат, добавьте его в созданную федерацию:

  1. Получите сертификат вашего поставщика удостоверений.

    Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    Имя субъекта в сертификате должно содержать FQDN сервера поставщика удостоверений, например fs.contoso.com, чтобы браузер не блокировал страницу аутентификации.

  2. Приведите файл сертификата к PEM-формату:

    -----BEGIN CERTIFICATE-----
  <значение сертификата>
-----END CERTIFICATE-----

  3. Добавьте сертификат в федерацию:

    1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

    2. На панели слева выберите Федерации.

    3. Нажмите на строку с федерацией, для которой нужно добавить сертификат.

    4. Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.

    5. Введите название и описание сертификата.

    6. Выберите способ добавления сертификата:

      • Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
      • Чтобы вставить скопированное содержимое сертификата, выберите способ Текст.

    7. Нажмите кнопку Добавить.

    Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

    По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

    1. Посмотрите описание команды добавления сертификата:

      yc organization-manager federation saml certificate create --help

    2. Добавьте сертификат для федерации, указав путь к файлу сертификата:

      yc organization-manager federation saml certificate create --federation-name <имя_федерации> \
  --name "<имя_сертификата>" \
  --certificate-file <путь_к_файлу_сертификата>

    1. Сформируйте файл с телом запроса body.json, указав содержимое сертификата в свойстве data:

      {
  "federationId": "<идентификатор_федерации>",
  "description": "<описание_сертификата>",
  "name": "<имя_сертификата>",
  "data": "<содержимое_сертификата>"
}

    2. Воспользуйтесь методом REST API create для ресурса Certificate или вызовом gRPC API CertificateService/Create и передайте в запросе файл с параметрами запроса.

    Пример cURL-запроса:

    export IAM_TOKEN=CggaATEVAgA...
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/certificates"

    Совет

    Не забывайте своевременно перевыпускать сертификаты и добавлять их в федерацию.

    Чтобы не пропустить момент окончания срока действия сертификата, подпишитесь на уведомления от организации. Уведомления направляются подписанным пользователям за 60, 30 и 5 дней до момента прекращения действия сертификата, а также после того, как сертификат становится недействительным.

    Передать сертификат федерации на IdP-сервер

    Если при создании федерации вы включили опцию Подписывать запросы аутентификации, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Чтобы IdP-сервер мог проверить эту подпись, добавьте сертификат Yandex Cloud на IdP-сервер:

    1. Если вы не скачивали SAML-сертификат Yandex Cloud при создании федерации удостоверений, скачайте его сейчас:

      1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

      2. На панели слева выберите Федерации.

      3. В открывшемся списке выберите нужную федерацию удостоверений и в поле Подписывать запросы аутентификации нажмите Скачать сертификат.

        Если слева от кнопки Скачать сертификат отображается значок , значит срок действия текущего SAML-сертификата Yandex Cloud закончился или вот-вот закончится.

        Скачайте и установите перевыпущенный SAML-сертификат Yandex Cloud в вашей федерации удостоверений.

        Совет

        Чтобы узнать дату истечения срока действия текущего SAML-сертификата, в правом верхнем углу нажмите Изменить. Нужная дата будет указана в блоке Дополнительно в секции Сертификат SAML.

        Сохраните дату истечения срока действия SAML-сертификата в свой календарь. За несколько месяцев до указанной даты вам будет необходимо скачать и установить в вашей федерации и на IdP-сервере перевыпущенный SAML-сертификат Yandex Cloud.

    2. Передайте скачанный SAML-сертификат Yandex Cloud на IdP-сервер. Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    Настроить SAML-приложение на стороне IdP-сервера

    Конкретные шаги по настройке SAML-приложения на стороне IdP-сервера зависят от используемого поставщика удостоверений. Здесь приведены общие требования к содержанию SAML-сообщения, которое IdP-сервер отправляет на сторону Yandex Cloud при успешной аутентификации пользователя:

    Пример SAML-сообщения
    <samlp:Response ID="_bcdf7b6b-ea42-4191-8d5e-ebd4274acec6" Version="2.0" IssueInstant="2019-07-30T13:24:25.488Z"
 Destination="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
  InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://example.org/auth</Issuer>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
  </samlp:Status>
  <Assertion ID="_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5" IssueInstant="2019-07-30T13:24:25.488Z"
   Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://example.org/auth</Issuer>
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
        <ds:Reference URI="#_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5">
          <ds:Transforms>
            <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
          <ds:DigestValue>phUQR...</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>VACd7O...</ds:SignatureValue>
      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>MIIC7j...</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID>user@example.org</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" NotOnOrAfter="2019-07-30T13:29:25.488Z" Recipient="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2019-07-30T13:24:25.482Z" NotOnOrAfter="2019-07-30T14:24:25.482Z">
      <AudienceRestriction>
        <Audience>https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
        <AttributeValue>user@example.org</AttributeValue>
      </Attribute>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
        <AttributeValue>First Name</AttributeValue>
      </Attribute>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
        <AttributeValue>Last Name</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

    Настройте SAML-приложение таким образом, чтобы при формировании сообщения:

    • В элементах Response и SubjectConfirmationData в атрибуте InResponseTo был передан идентификатор из SAML-запроса на аутентификацию, отправленного Yandex Cloud.

    • ACS URL был передан в следующих элементах:

      • Response в атрибуте Destination;
      • SubjectConfirmationData в атрибуте Recipient;
      • Audience.
      Как получить идентификатор федерации
      1. Войдите в сервис Yandex Cloud Organization.
      2. На панели слева выберите Федерации.
      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
      Как получить ACS URL федерации

      1. Войдите в сервис Yandex Cloud Organization.

      2. На панели слева выберите Федерации.

      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля ACS URL.

    • В элементе NameID был указан уникальный идентификатор пользователя. В качестве идентификатора рекомендуется использовать User Principal Name (UPN) или адрес электронной почты.

    • В элементе Issuer была указана ссылка на страницу поставщика удостоверений, куда перенаправлялся пользователь для прохождения аутентификации.

    • В элементе SignatureValue было указано подписанное сообщение, а в элементе KeyInfo — сертификат, которым оно было подписано.

    • Чтобы пользователь мог обратиться в службу технической поддержки Yandex Cloud из консоли управления, в элементе AttributeStatement должен быть указан его адрес электронной почты и имя.

    Чтобы получить более подробную информацию о настройке SAML-приложения, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений. Также примеры настройки для отдельных поставщиков удостоверений приведены в практических руководствах:

    Настроить сопоставление атрибутов пользователей

    После аутентификации пользователя IdP-сервер отправляет в Yandex Cloud SAML-сообщение, которое содержит информацию об успешной аутентификации и атрибуты пользователя, такие как идентификатор, имя, адрес электронной почты и так далее.

    Чтобы корректно передавать в сервис Yandex Cloud Organization информацию о пользователе, настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на стороне поставщика удостоверений.

    Данные пользователя Комментарий Элементы SAML-сообщения
    Уникальный идентификатор пользователя Обязательный атрибут. Рекомендуется использовать User Principal Name (UPN) или адрес электронной почты. <NameID>
    Фамилия Отображается в сервисах Yandex Cloud.
    Ограничение значения по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
    Имя Отображается в сервисах Yandex Cloud.
    Ограничение значения по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
    Полное имя Отображается в сервисах Yandex Cloud.
    Пример: Иван Иванов.
    Ограничение значения по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
    Почта Используется для отправки уведомлений из сервисов Yandex Cloud.
    Пример: ivanov@example.com.
    Ограничение по длине: 256 символов.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    Телефон Используется для отправки уведомлений из сервисов Yandex Cloud.
    Пример: +71234567890.
    Ограничение по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone"
    Аватар Отображается в сервисах Yandex Cloud.
    Изображение передается в кодировке Base64.
    Ограничение по длине: 204800 символов.    		 <Attribute> с параметром
    Name="thumbnailPhoto"
    Членство в группах Используется для функционала динамического сопоставления членства в группах. <Attribute> с параметром
    Name="member"

    Примечание

    Если значение атрибута thumbnailPhoto превышает ограничение по длине, атрибут игнорируется. Если значение другого атрибута превышает ограничение, такое значение обрезается.

    Проверить работу аутентификации

    Чтобы проверить работу аутентификации федеративных пользователей:

    1. Если в федерации не включена опция Автоматически создавать пользователей, добавьте федеративных пользователей вручную.

    2. Откройте браузер в гостевом режиме или режиме инкогнито для чистой симуляции нового пользователя.

    3. Перейдите по URL для входа в консоль управления:

      https://console.yandex.cloud/federations/<идентификатор_федерации>
      Как получить идентификатор федерации
      1. Войдите в сервис Yandex Cloud Organization.
      2. На панели слева выберите Федерации.
      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

      Браузер перенаправит вас на страницу аутентификации поставщика удостоверений.

    4. Введите ваши аутентификационные данные. По умолчанию необходимо ввести UPN и пароль.

    5. Нажмите кнопку Sign in.

    6. После успешной аутентификации IdP-сервер перенаправит вас по ACS URL, который вы указали в настройках сервера, а после этого — на главную страницу консоли управления.

    Убедитесь, что вошли в консоль от имени федеративного пользователя.

Предыдущая
Обзор
Следующая
Настроить сопоставление групп федеративных пользователей