Настроить федерацию удостоверений
Вы можете настроить аутентификацию пользователей в облаке через федерацию удостоверений. Федерации удостоверений совместимы с любыми поставщиками удостоверений (IdP), которые поддерживают стандарт SAML 2.0
Чтобы настроить аутентификацию через федерацию удостоверений:
- Создайте федерацию удостоверений.
- Передайте сертификат IdP-сервера в федерацию.
- Передайте сертификат федерации на IdP-сервер.
- Настройте SAML-приложение на стороне IdP-сервера.
- Настройте сопоставление атрибутов пользователей.
- Проверьте работу аутентификации.
Примеры настройки аутентификации для отдельных поставщиков удостоверений приведены в практических руководствах:
Создать федерацию удостоверений
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Федерации
. -
Нажмите кнопку Создать федерацию.
-
Задайте имя федерации. Имя должно быть уникальным в каталоге.
-
(Опционально) Добавьте описание федерации.
-
В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.
-
В поле IdP Issuer укажите идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя. Формат идентификатора зависит от типа IdP-сервера.
Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
В поле Single Sign-On метод выберите метод перенаправления пользователя на IdP-сервер. Большинство поставщиков удостоверений поддерживает метод POST.
-
В поле Ссылка на страницу для входа в IdP укажите адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.
Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
В поле Дополнительно при необходимости выберите опции:
-
Автоматически создавать пользователей — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.
Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
Подписывать запросы аутентификации — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.
-
Регистронезависимые имена пользователей — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.
-
Принудительная повторная аутентификация (ForceAuthn) в IdP — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.
-
-
Нажмите кнопку Создать федерацию.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
Чтобы создать федерацию:
-
Посмотрите описание команды создания федерации:
yc organization-manager federation saml create --help
-
Укажите параметры федерации в команде создания:
yc organization-manager federation saml create \ --name <имя_федерации> \ --organization-id <идентификатор_организации> \ --cookie-max-age <время_жизни_cookies> \ --issuer "<идентификатор_IdP-сервера>" \ --sso-binding <POST_или_REDIRECT> \ --sso-url "<адрес_страницы_для перенаправления>" \ --encrypted-assertions \ --auto-create-account-on-login \ --case-insensitive-name-ids \ --force-authn
Где:
-
name
— имя федерации. Имя должно быть уникальным в каталоге. -
organization-id
— идентификатор организации. -
cookie-max-age
— время, в течение которого браузер не будет требовать у пользователя повторной аутентификации, например:12h
. -
issuer
— идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
sso-binding
— тип привязки для Single Sign-on. Возможные значения —POST
илиREDIRECT
. Большинство поставщиков поддерживают тип привязкиPOST
. -
sso-url
— URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
(Опционально)
--encrypted-assertions
— запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений. -
(Опционально)
auto-create-account-on-login
— аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
(Опционально)
--case-insensitive-name-ids
— идентификаторы имен федеративных пользователей будут нечувствительны к регистру. -
(Опционально)
force-authn
— при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.
-
Terraform
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
-
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Создайте конфигурационный файл с описанием федерации.
Пример структуры конфигурационного файла:
resource "yandex_organizationmanager_saml_federation" federation { name = "my-federation" description = "My new SAML federation" organization_id = "<идентификатор_организации>" issuer = "<идентификатор_IdP-сервера>" sso_url = "<адрес_страницы_для перенаправления>" sso_binding = "<POST_или_REDIRECT>" cookie_max_age = <время_жизни_cookies> auto_create_account_on_login = "<true_или_false>" case_insensitive_name_ids = "<true_или_false>" security_settings { encrypted_assertions = "<true_или_false>" } }
Где:
-
name
— имя федерации. Имя должно быть уникальным в каталоге. -
(Опционально)
description
— описание федерации. -
organization_id
— идентификатор организации. -
issuer
— идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
sso_binding
— тип привязки для Single Sign-on. Возможные значения —POST
илиREDIRECT
. Большинство поставщиков поддерживают тип привязкиPOST
. -
sso_url
— URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
cookie_max_age
— время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию —28800
(8 часов). -
auto_create_account_on_login
— еслиtrue
, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
case_insensitive_name_ids
— еслиtrue
, идентификаторы имен федеративных пользователей будут нечувствительны к регистру. -
security_settings
— настройки безопасности федерации:encrypted_assertions
— запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.
-
-
Проверьте корректность файлов конфигурации Terraform:
-
В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.
-
Выполните команду:
terraform validate
Если в файлах конфигурации есть ошибки, Terraform на них укажет.
-
-
Создайте федерацию:
-
Выполните команду для просмотра планируемых изменений:
terraform plan
Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.
-
Если вас устраивают планируемые изменения, внесите их:
-
Выполните команду:
terraform apply
-
Подтвердите изменение ресурсов.
-
Дождитесь завершения операции.
-
-
Проверить появление федерации и ее настройки можно в организации в разделе Федерации
Примечание
Вы также можете воспользоваться полным решением по развертыванию федерации на базе Keycloak
-
Создайте файл с телом запроса, например
body.json
:{ "name": "my-federation", "description": "My new SAML federation", "organizationId": "<идентификатор_организации>", "cookieMaxAge":"43200s", "issuer": "<идентификатор_IdP-сервера>", "ssoUrl": "<адрес_страницы_для перенаправления>", "ssoBinding": "<POST_или_REDIRECT>", "autoCreateAccountOnLogin": true, "caseInsensitiveNameIds": true, "securitySettings": { "encryptedAssertions": true, "forceAuthn": true } }
Где:
-
name
— имя федерации. Имя должно быть уникальным в каталоге. -
organizationId
— идентификатор организации. -
(Опционально)
description
— описание федерации. -
cookieMaxAge
— время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию —28800
(8 часов). -
issuer
— идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
ssoUrl
— URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
ssoBinding
— тип привязки для Single Sign-on. Возможные значения —POST
илиREDIRECT
. Большинство поставщиков поддерживают тип привязкиPOST
. -
autoCreateAccountOnLogin
— еслиtrue
, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
caseInsensitiveNameIds
— еслиtrue
, идентификаторы имен федеративных пользователей будут нечувствительны к регистру. -
encryptedAssertions
— еслиtrue
, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений. -
forceAuthn
— параметр, который включает принудительную повторную аутентификацию пользователя по истечении сессии в Yandex Cloud.
-
-
Чтобы создать федерацию, воспользуйтесь методом REST API create для ресурса Federation или вызовом gRPC API FederationService/Create и передайте в запросе файл с параметрами запроса.
Пример запроса:
curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer <IAM-токен>" \ -d '@body.json' \ https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations
Пример ответа:
{ "done": true, "metadata": { "@type": "type.googleapis.com/yandex.cloud.organization-manager.v1.saml.CreateFederationMetadata", "federationId": "ajeobmje4dgj********" }
В свойстве
federationId
указан идентификатор созданной федерации: сохраните его, он понадобится в дальнейшем.
Передать сертификат IdP-сервера в федерацию
Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Cloud Organization мог проверить этот сертификат, добавьте его в созданную федерацию:
-
Получите сертификат вашего поставщика удостоверений.
Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
Имя субъекта в сертификате должно содержать FQDN сервера поставщика удостоверений, например
fs.contoso.com
, чтобы браузер не блокировал страницу аутентификации. -
Приведите файл сертификата к PEM-формату:
-----BEGIN CERTIFICATE----- <значение сертификата> -----END CERTIFICATE-----
-
Добавьте сертификат в федерацию:
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Федерации
. -
Нажмите на имя федерации, для которой нужно добавить сертификат.
-
Внизу страницы нажмите кнопку Добавить сертификат.
-
Введите название и описание сертификата.
-
Выберите способ добавления сертификата:
- Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
- Чтобы вставить скопированное содержимое сертификата, выберите способ Текст.
-
Нажмите кнопку Добавить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды добавления сертификата:
yc organization-manager federation saml certificate create --help
-
Добавьте сертификат для федерации, указав путь к файлу сертификата:
yc organization-manager federation saml certificate create --federation-name <имя_федерации> \ --name "<имя_сертификата>" \ --certificate-file <путь_к_файлу_сертификата>
-
Сформируйте файл с телом запроса
body.json
, указав содержимое сертификата в свойствеdata
:{ "federationId": "<идентификатор_федерации>", "description": "<описание_сертификата>", "name": "<имя_сертификата>", "data": "<содержимое_сертификата>" }
-
Воспользуйтесь методом REST API create для ресурса Certificate или вызовом gRPC API CertificateService/Create и передайте в запросе файл с параметрами запроса.
Пример cURL-запроса:
$ export IAM_TOKEN=CggaATEVAgA...
$ curl -X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ${IAM_TOKEN}" \
-d '@body.json' \
"https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/certificates"
Совет
Чтобы аутентификация не прерывалась, когда у очередного сертификата закончится срок действия, добавьте в федерацию несколько сертификатов — текущий и те, которые будут использоваться после текущего. Когда один сертификат станет недействительным, Yandex Cloud проверит подпись другим сертификатом.
Передать сертификат федерации на IdP-сервер
Если при создании федерации вы включили опцию Подписывать запросы аутентификации, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Чтобы IdP-сервер мог проверить эту подпись, добавьте сертификат Yandex Cloud на IdP-сервер:
- Перейдите в сервис Yandex Cloud Organization
. - На панели слева выберите раздел Федерации
. - Нажмите на имя федерации, для которой нужно добавить сертификат.
- Скачайте сертификат по ссылке в поле Подписывать запросы аутентификации.
- Передайте сертификат на IdP-сервер. Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
Настроить SAML-приложение на стороне IdP-сервера
Конкретные шаги по настройке SAML-приложения на стороне IdP-сервера зависят от используемого поставщика удостоверений. Здесь приведены общие требования к содержанию SAML-сообщения, которое IdP-сервер отправляет на сторону Yandex Cloud при успешной аутентификации пользователя:
<samlp:Response ID="_bcdf7b6b-ea42-4191-8d5e-ebd4274acec6" Version="2.0" IssueInstant="2019-07-30T13:24:25.488Z"
Destination="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://example.org/auth</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
<Assertion ID="_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5" IssueInstant="2019-07-30T13:24:25.488Z"
Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>http://example.org/auth</Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<ds:Reference URI="#_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
<ds:DigestValue>phUQR...</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>VACd7O...</ds:SignatureValue>
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>MIIC7j...</ds:X509Certificate>
</ds:X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID>user@example.org</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" NotOnOrAfter="2019-07-30T13:29:25.488Z" Recipient="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" />
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2019-07-30T13:24:25.482Z" NotOnOrAfter="2019-07-30T14:24:25.482Z">
<AudienceRestriction>
<Audience>https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
<AttributeValue>user@example.org</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<AttributeValue>First Name</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Last Name</AttributeValue>
</Attribute>
</AttributeStatement>
</Assertion>
</samlp:Response>
Настройте SAML-приложение таким образом, чтобы при формировании сообщения:
-
В элементах
Response
иSubjectConfirmationData
в атрибутеInResponseTo
был передан идентификатор из SAML-запроса на аутентификацию, отправленного Yandex Cloud. -
ACS URL был передан в следующих элементах:
Response
в атрибутеDestination
;SubjectConfirmationData
в атрибутеRecipient
;Audience
.
Как получить идентификатор федерации-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Федерации
. -
Скопируйте идентификатор федерации, для которой вы настраиваете доступ.
Как получить ACS URL федерации-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Федерации
. -
Выберите из списка федерацию, для которой вы настраиваете доступ, и скопируйте ее ACS URL.
-
В элементе
NameID
был указан уникальный идентификатор пользователя. В качестве идентификатора рекомендуется использовать User Principal Name (UPN) или адрес электронной почты. -
В элементе
Issuer
была указана ссылка на страницу поставщика удостоверений, куда перенаправлялся пользователь для прохождения аутентификации. -
В элементе
SignatureValue
было указано подписанное сообщение, а в элементеKeyInfo
— сертификат, которым оно было подписано. -
Чтобы пользователь мог обратиться в службу технической поддержки Yandex Cloud из консоли управления
, в элементеAttributeStatement
должен быть указан его адрес электронной почты и имя.
Чтобы получить более подробную информацию о настройке SAML-приложения, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений. Также примеры настройки для отдельных поставщиков удостоверений приведены в практических руководствах:
Настроить сопоставление атрибутов пользователей
После аутентификации пользователя IdP-сервер отправляет в Yandex Cloud SAML-сообщение, которое содержит информацию об успешной аутентификации и атрибуты пользователя, такие как идентификатор, имя, адрес электронной почты и так далее.
Чтобы корректно передавать в сервис Yandex Cloud Organization информацию о пользователе, настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на стороне поставщика удостоверений.
Данные пользователя | Комментарий | Элементы SAML-сообщения |
---|---|---|
Уникальный идентификатор пользователя | Обязательный атрибут. Рекомендуется использовать User Principal Name (UPN) или адрес электронной почты. | <NameID> |
Фамилия | Отображается в сервисах Yandex Cloud. Ограничение значения по длине: 64 символа. |
<Attribute> с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
Имя | Отображается в сервисах Yandex Cloud. Ограничение значения по длине: 64 символа. |
<Attribute> с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" |
Полное имя | Отображается в сервисах Yandex Cloud. Пример: Иван Иванов. Ограничение значения по длине: 64 символа. |
<Attribute> с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" |
Почта | Используется для отправки уведомлений из сервисов Yandex Cloud. Пример: ivanov@example.com .Ограничение по длине: 256 символов. |
<Attribute> с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" |
Телефон | Используется для отправки уведомлений из сервисов Yandex Cloud. Пример: +71234567890. Ограничение по длине: 64 символа. |
<Attribute> с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone" |
Аватар | Отображается в сервисах Yandex Cloud. Изображение передается в кодировке Base64 Ограничение по длине: 204800 символов. |
<Attribute> с параметромName="thumbnailPhoto" |
Членство в группах | Используется для функционала динамического сопоставления членства в группах. | <Attribute> с параметромName="member" |
Примечание
Если значение атрибута thumbnailPhoto
превышает ограничение по длине, атрибут игнорируется. Если значение другого атрибута превышает ограничение, такое значение обрезается.
Проверить работу аутентификации
Чтобы проверить работу аутентификации федеративных пользователей:
-
Если в федерации не включена опция Автоматически создавать пользователей, добавьте федеративных пользователей вручную.
-
Откройте браузер в гостевом режиме или режиме инкогнито для чистой симуляции нового пользователя.
-
Перейдите по URL для входа в консоль управления:
https://console.yandex.cloud/federations/<идентификатор_федерации>
Как получить идентификатор федерации-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Федерации
. -
Скопируйте идентификатор федерации, для которой вы настраиваете доступ.
Браузер перенаправит вас на страницу аутентификации поставщика удостоверений.
-
-
Введите ваши аутентификационные данные. По умолчанию необходимо ввести UPN и пароль.
-
Нажмите кнопку Sign in.
-
После успешной аутентификации IdP-сервер перенаправит вас по ACS URL, который вы указали в настройках сервера, а после этого — на главную страницу консоли управления.
Убедитесь, что вошли в консоль от имени федеративного пользователя.