Настроить федерацию удостоверений
Вы можете настроить аутентификацию пользователей в облаке через федерацию удостоверений. Федерации удостоверений совместимы с любыми поставщиками удостоверений (IdP), которые поддерживают стандарт SAML 2.0
Чтобы настроить аутентификацию через федерацию удостоверений:
- Создайте федерацию удостоверений.
- Передайте сертификат IdP-сервера в федерацию.
- Передайте сертификат федерации на IdP-сервер.
- Настройте SAML-приложение на стороне IdP-сервера.
- Настройте сопоставление атрибутов пользователей.
- Проверьте работу аутентификации.
Примеры настройки аутентификации для отдельных поставщиков удостоверений приведены в практических руководствах:
Создать федерацию удостоверений
-
Войдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Федерации. -
Нажмите кнопку
Создать федерацию. -
Задайте имя федерации. Имя должно быть уникальным в каталоге.
-
(Опционально) Добавьте описание федерации.
-
В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.
-
В поле IdP Issuer укажите идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя. Формат идентификатора зависит от типа IdP-сервера.
Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
В поле Single Sign-On метод выберите метод перенаправления пользователя на IdP-сервер. Большинство поставщиков удостоверений поддерживает метод POST.
-
В поле Ссылка на страницу для входа в IdP укажите адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.
Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
В поле Дополнительно при необходимости выберите опции:
-
Автоматически создавать пользователей — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.
Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
Подписывать запросы аутентификации — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.
-
Регистронезависимые имена пользователей — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.
-
Принудительная повторная аутентификация (ForceAuthn) в IdP — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.
-
-
Нажмите кнопку Создать федерацию.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
Чтобы создать федерацию:
-
Посмотрите описание команды создания федерации:
yc organization-manager federation saml create --help
-
Укажите параметры федерации в команде создания:
yc organization-manager federation saml create \ --name <имя_федерации> \ --organization-id <идентификатор_организации> \ --cookie-max-age <время_жизни_cookies> \ --issuer "<идентификатор_IdP-сервера>" \ --sso-binding <POST_или_REDIRECT> \ --sso-url "<адрес_страницы_для перенаправления>" \ --encrypted-assertions \ --auto-create-account-on-login \ --case-insensitive-name-ids \ --force-authn
Где:
-
name
— имя федерации. Имя должно быть уникальным в каталоге. -
organization-id
— идентификатор организации. -
cookie-max-age
— время, в течение которого браузер не будет требовать у пользователя повторной аутентификации, например:12h
. -
issuer
— идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
sso-binding
— тип привязки для Single Sign-on. Возможные значения —POST
илиREDIRECT
. Большинство поставщиков поддерживают тип привязкиPOST
. -
sso-url
— URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
(Опционально)
--encrypted-assertions
— запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений. -
(Опционально)
auto-create-account-on-login
— аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
(Опционально)
--case-insensitive-name-ids
— идентификаторы имен федеративных пользователей будут нечувствительны к регистру. -
(Опционально)
force-authn
— при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.
-
Terraform
Terraform распространяется под лицензией Business Source License
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
-
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Создайте конфигурационный файл с описанием федерации.
Пример структуры конфигурационного файла:
resource "yandex_organizationmanager_saml_federation" federation { name = "my-federation" description = "My new SAML federation" organization_id = "<идентификатор_организации>" issuer = "<идентификатор_IdP-сервера>" sso_url = "<адрес_страницы_для перенаправления>" sso_binding = "<POST_или_REDIRECT>" cookie_max_age = <время_жизни_cookies> auto_create_account_on_login = "<true_или_false>" case_insensitive_name_ids = "<true_или_false>" security_settings { encrypted_assertions = "<true_или_false>" } }
Где:
-
name
— имя федерации. Имя должно быть уникальным в каталоге. -
(Опционально)
description
— описание федерации. -
organization_id
— идентификатор организации. -
issuer
— идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
sso_binding
— тип привязки для Single Sign-on. Возможные значения —POST
илиREDIRECT
. Большинство поставщиков поддерживают тип привязкиPOST
. -
sso_url
— URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
cookie_max_age
— время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию —28800
(8 часов). -
auto_create_account_on_login
— еслиtrue
, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
case_insensitive_name_ids
— еслиtrue
, идентификаторы имен федеративных пользователей будут нечувствительны к регистру. -
security_settings
— настройки безопасности федерации:encrypted_assertions
— запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.
-
-
Проверьте корректность файлов конфигурации Terraform:
-
В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.
-
Выполните команду:
terraform validate
Если в файлах конфигурации есть ошибки, Terraform на них укажет.
-
-
Создайте федерацию:
-
Выполните команду для просмотра планируемых изменений:
terraform plan
Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.
-
Если вас устраивают планируемые изменения, внесите их:
-
Выполните команду:
terraform apply
-
Подтвердите изменение ресурсов.
-
Дождитесь завершения операции.
-
-
Проверить появление федерации и ее настройки можно в организации в разделе Федерации
Примечание
Вы также можете воспользоваться полным решением по развертыванию федерации на базе Keycloak
-
Создайте файл с телом запроса, например
body.json
:{ "name": "my-federation", "description": "My new SAML federation", "organizationId": "<идентификатор_организации>", "cookieMaxAge":"43200s", "issuer": "<идентификатор_IdP-сервера>", "ssoUrl": "<адрес_страницы_для перенаправления>", "ssoBinding": "<POST_или_REDIRECT>", "autoCreateAccountOnLogin": true, "caseInsensitiveNameIds": true, "securitySettings": { "encryptedAssertions": true, "forceAuthn": true } }
Где:
-
name
— имя федерации. Имя должно быть уникальным в каталоге. -
organizationId
— идентификатор организации. -
(Опционально)
description
— описание федерации. -
cookieMaxAge
— время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию —28800
(8 часов). -
issuer
— идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
-
ssoUrl
— URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
В ссылке допустимо использовать только протоколы HTTP и HTTPS.
-
ssoBinding
— тип привязки для Single Sign-on. Возможные значения —POST
илиREDIRECT
. Большинство поставщиков поддерживают тип привязкиPOST
. -
autoCreateAccountOnLogin
— еслиtrue
, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
caseInsensitiveNameIds
— еслиtrue
, идентификаторы имен федеративных пользователей будут нечувствительны к регистру. -
encryptedAssertions
— еслиtrue
, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений. -
forceAuthn
— параметр, который включает принудительную повторную аутентификацию пользователя по истечении сессии в Yandex Cloud.
-
-
Чтобы создать федерацию, воспользуйтесь методом REST API create для ресурса Federation или вызовом gRPC API FederationService/Create и передайте в запросе файл с параметрами запроса.
Пример запроса:
curl \ --request POST \ --header "Content-Type: application/json" \ --header "Authorization: Bearer <IAM-токен>" \ --data '@body.json' \ https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations
Пример ответа:
{ "done": true, "metadata": { "@type": "type.googleapis.com/yandex.cloud.organization-manager.v1.saml.CreateFederationMetadata", "federationId": "ajeobmje4dgj********" }
В свойстве
federationId
указан идентификатор созданной федерации: сохраните его, он понадобится в дальнейшем.
Передать сертификат IdP-сервера в федерацию
Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Cloud Organization мог проверить этот сертификат, добавьте его в созданную федерацию:
-
Получите сертификат вашего поставщика удостоверений.
Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
Имя субъекта в сертификате должно содержать FQDN сервера поставщика удостоверений, например
fs.contoso.com
, чтобы браузер не блокировал страницу аутентификации. -
Приведите файл сертификата к PEM-формату:
-----BEGIN CERTIFICATE----- <значение сертификата> -----END CERTIFICATE-----
-
Добавьте сертификат в федерацию:
Интерфейс Cloud CenterCLIAPI-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Федерации. -
Нажмите на строку с федерацией, для которой нужно добавить сертификат.
-
Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.
-
Введите название и описание сертификата.
-
Выберите способ добавления сертификата:
- Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
- Чтобы вставить скопированное содержимое сертификата, выберите способ Текст.
-
Нажмите кнопку Добавить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.-
Посмотрите описание команды добавления сертификата:
yc organization-manager federation saml certificate create --help
-
Добавьте сертификат для федерации, указав путь к файлу сертификата:
yc organization-manager federation saml certificate create --federation-name <имя_федерации> \ --name "<имя_сертификата>" \ --certificate-file <путь_к_файлу_сертификата>
-
Сформируйте файл с телом запроса
body.json
, указав содержимое сертификата в свойствеdata
:{ "federationId": "<идентификатор_федерации>", "description": "<описание_сертификата>", "name": "<имя_сертификата>", "data": "<содержимое_сертификата>" }
-
Воспользуйтесь методом REST API create для ресурса Certificate или вызовом gRPC API CertificateService/Create и передайте в запросе файл с параметрами запроса.
Пример cURL-запроса:
export IAM_TOKEN=CggaATEVAgA... curl \ --request POST \ --header "Content-Type: application/json" \ --header "Authorization: Bearer ${IAM_TOKEN}" \ --data '@body.json' \ "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/certificates"
Совет
Чтобы аутентификация не прерывалась, когда у очередного сертификата закончится срок действия, добавьте в федерацию несколько сертификатов — текущий и те, которые будут использоваться после текущего. Когда один сертификат станет недействительным, Yandex Cloud проверит подпись другим сертификатом.
Передать сертификат федерации на IdP-сервер
Если при создании федерации вы включили опцию Подписывать запросы аутентификации, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Чтобы IdP-сервер мог проверить эту подпись, добавьте сертификат Yandex Cloud на IdP-сервер:
-
Скачайте сертификат Yandex Cloud:
Интерфейс Cloud Center-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Федерации. -
Нажмите на строку с нужной федерацией и в поле Подписывать запросы аутентификации нажмите Скачать сертификат.
-
-
Передайте сертификат на IdP-сервер. Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.
Настроить SAML-приложение на стороне IdP-сервера
Конкретные шаги по настройке SAML-приложения на стороне IdP-сервера зависят от используемого поставщика удостоверений. Здесь приведены общие требования к содержанию SAML-сообщения, которое IdP-сервер отправляет на сторону Yandex Cloud при успешной аутентификации пользователя:
Пример SAML-сообщения
<samlp:Response ID="_bcdf7b6b-ea42-4191-8d5e-ebd4274acec6" Version="2.0" IssueInstant="2019-07-30T13:24:25.488Z" Destination="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://example.org/auth</Issuer> <samlp:Status> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> </samlp:Status> <Assertion ID="_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5" IssueInstant="2019-07-30T13:24:25.488Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <Issuer>http://example.org/auth</Issuer> <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" /> <ds:Reference URI="#_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" /> <ds:DigestValue>phUQR...</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>VACd7O...</ds:SignatureValue> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate>MIIC7j...</ds:X509Certificate> </ds:X509Data> </KeyInfo> </ds:Signature> <Subject> <NameID>user@example.org</NameID> <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <SubjectConfirmationData InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" NotOnOrAfter="2019-07-30T13:29:25.488Z" Recipient="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" /> </SubjectConfirmation> </Subject> <Conditions NotBefore="2019-07-30T13:24:25.482Z" NotOnOrAfter="2019-07-30T14:24:25.482Z"> <AudienceRestriction> <Audience>https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu</Audience> </AudienceRestriction> </Conditions> <AttributeStatement> <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"> <AttributeValue>user@example.org</AttributeValue> </Attribute> <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"> <AttributeValue>First Name</AttributeValue> </Attribute> <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"> <AttributeValue>Last Name</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
Настройте SAML-приложение таким образом, чтобы при формировании сообщения:
-
В элементах
Response
иSubjectConfirmationData
в атрибутеInResponseTo
был передан идентификатор из SAML-запроса на аутентификацию, отправленного Yandex Cloud. -
ACS URL был передан в следующих элементах:
Response
в атрибутеDestination
;SubjectConfirmationData
в атрибутеRecipient
;Audience
.
Как получить идентификатор федерации
-
Войдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Федерации. -
Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
Как получить ACS URL федерации
-
Войдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Федерации. -
Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля ACS URL.
-
В элементе
NameID
был указан уникальный идентификатор пользователя. В качестве идентификатора рекомендуется использовать User Principal Name (UPN) или адрес электронной почты. -
В элементе
Issuer
была указана ссылка на страницу поставщика удостоверений, куда перенаправлялся пользователь для прохождения аутентификации. -
В элементе
SignatureValue
было указано подписанное сообщение, а в элементеKeyInfo
— сертификат, которым оно было подписано. -
Чтобы пользователь мог обратиться в службу технической поддержки Yandex Cloud из консоли управления
, в элементеAttributeStatement
должен быть указан его адрес электронной почты и имя.
Чтобы получить более подробную информацию о настройке SAML-приложения, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений. Также примеры настройки для отдельных поставщиков удостоверений приведены в практических руководствах:
Настроить сопоставление атрибутов пользователей
После аутентификации пользователя IdP-сервер отправляет в Yandex Cloud SAML-сообщение, которое содержит информацию об успешной аутентификации и атрибуты пользователя, такие как идентификатор, имя, адрес электронной почты и так далее.
Чтобы корректно передавать в сервис Yandex Cloud Organization информацию о пользователе, настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на стороне поставщика удостоверений.
Данные пользователя Комментарий Элементы SAML-сообщения Уникальный идентификатор пользователя Обязательный атрибут. Рекомендуется использовать User Principal Name (UPN) или адрес электронной почты. <NameID>
Фамилия Отображается в сервисах Yandex Cloud.
Ограничение значения по длине: 64 символа.<Attribute>
с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
Имя Отображается в сервисах Yandex Cloud.
Ограничение значения по длине: 64 символа.<Attribute>
с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
Полное имя Отображается в сервисах Yandex Cloud.
Пример: Иван Иванов.
Ограничение значения по длине: 64 символа.<Attribute>
с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
Почта Используется для отправки уведомлений из сервисов Yandex Cloud.
Пример:ivanov@example.com
.
Ограничение по длине: 256 символов.<Attribute>
с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
Телефон Используется для отправки уведомлений из сервисов Yandex Cloud.
Пример: +71234567890.
Ограничение по длине: 64 символа.<Attribute>
с параметромName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone"
Аватар Отображается в сервисах Yandex Cloud.
Изображение передается в кодировке Base64 .
Ограничение по длине: 204800 символов.<Attribute>
с параметромName="thumbnailPhoto"
Членство в группах Используется для функционала динамического сопоставления членства в группах. <Attribute>
с параметромName="member"
Примечание
Если значение атрибута
thumbnailPhoto
превышает ограничение по длине, атрибут игнорируется. Если значение другого атрибута превышает ограничение, такое значение обрезается.Проверить работу аутентификации
Чтобы проверить работу аутентификации федеративных пользователей:
-
Если в федерации не включена опция Автоматически создавать пользователей, добавьте федеративных пользователей вручную.
-
Откройте браузер в гостевом режиме или режиме инкогнито для чистой симуляции нового пользователя.
-
Перейдите по URL для входа в консоль управления:
https://console.yandex.cloud/federations/<идентификатор_федерации>
Как получить идентификатор федерации
-
Войдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Федерации. -
Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
Браузер перенаправит вас на страницу аутентификации поставщика удостоверений.
-
-
Введите ваши аутентификационные данные. По умолчанию необходимо ввести UPN и пароль.
-
Нажмите кнопку Sign in.
-
После успешной аутентификации IdP-сервер перенаправит вас по ACS URL, который вы указали в настройках сервера, а после этого — на главную страницу консоли управления.
Убедитесь, что вошли в консоль от имени федеративного пользователя.
-