Связаться с намиПодключиться

Настроить федерацию удостоверений

Статья создана
Улучшена
Обновлена 30 октября 2024 г.

Вы можете настроить аутентификацию пользователей в облаке через федерацию удостоверений. Федерации удостоверений совместимы с любыми поставщиками удостоверений (IdP), которые поддерживают стандарт SAML 2.0.

Чтобы настроить аутентификацию через федерацию удостоверений:

  1. Создайте федерацию удостоверений.
  2. Передайте сертификат IdP-сервера в федерацию.
  3. Передайте сертификат федерации на IdP-сервер.
  4. Настройте SAML-приложение на стороне IdP-сервера.
  5. Настройте сопоставление атрибутов пользователей.
  6. Проверьте работу аутентификации.

Примеры настройки аутентификации для отдельных поставщиков удостоверений приведены в практических руководствах:

Создать федерацию удостоверений

  1. Войдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Федерации.

  3. Нажмите кнопку Создать федерацию.

  4. Задайте имя федерации. Имя должно быть уникальным в каталоге.

  5. (Опционально) Добавьте описание федерации.

  6. В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.

  7. В поле IdP Issuer укажите идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя. Формат идентификатора зависит от типа IdP-сервера.

    Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

  8. В поле Single Sign-On метод выберите метод перенаправления пользователя на IdP-сервер. Большинство поставщиков удостоверений поддерживает метод POST.

  9. В поле Ссылка на страницу для входа в IdP укажите адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

    Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    В ссылке допустимо использовать только протоколы HTTP и HTTPS.

  10. В поле Дополнительно при необходимости выберите опции:

    • Автоматически создавать пользователей — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • Подписывать запросы аутентификации — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

    • Регистронезависимые имена пользователей — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • Принудительная повторная аутентификация (ForceAuthn) в IdP — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.

  11. Нажмите кнопку Создать федерацию.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы создать федерацию:

  1. Посмотрите описание команды создания федерации:

    yc organization-manager federation saml create --help

  2. Укажите параметры федерации в команде создания:

    yc organization-manager federation saml create \
    --name <имя_федерации> \
    --organization-id <идентификатор_организации> \
    --cookie-max-age <время_жизни_cookies> \
    --issuer "<идентификатор_IdP-сервера>" \
    --sso-binding <POST_или_REDIRECT> \
    --sso-url "<адрес_страницы_для перенаправления>" \
    --encrypted-assertions \
    --auto-create-account-on-login \
    --case-insensitive-name-ids \
    --force-authn

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • organization-id — идентификатор организации.

    • cookie-max-age — время, в течение которого браузер не будет требовать у пользователя повторной аутентификации, например: 12h.

    • issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • sso-binding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • sso-url — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • (Опционально) --encrypted-assertions — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

    • (Опционально) auto-create-account-on-login — аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • (Опционально) --case-insensitive-name-ids — идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • (Опционально) force-authn — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

  1. Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  2. Создайте конфигурационный файл с описанием федерации.

    Пример структуры конфигурационного файла:

    resource "yandex_organizationmanager_saml_federation" federation {
  name            = "my-federation"
  description     = "My new SAML federation"
  organization_id = "<идентификатор_организации>"
  issuer          = "<идентификатор_IdP-сервера>" 
  sso_url         = "<адрес_страницы_для перенаправления>"
  sso_binding     = "<POST_или_REDIRECT>"
  cookie_max_age = <время_жизни_cookies>
  auto_create_account_on_login = "<true_или_false>"
  case_insensitive_name_ids = "<true_или_false>"
  security_settings {
    encrypted_assertions = "<true_или_false>"
    }
}

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • (Опционально) description — описание федерации.

    • organization_id — идентификатор организации.

    • issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • sso_binding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • sso_url — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • cookie_max_age — время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию — 28800 (8 часов).

    • auto_create_account_on_login — если true, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • case_insensitive_name_ids — если true, идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • security_settings — настройки безопасности федерации:

      • encrypted_assertions — запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

  3. Проверьте корректность файлов конфигурации Terraform:

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Создайте федерацию:

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Проверить появление федерации и ее настройки можно в организации в разделе Федерации.

Примечание

Вы также можете воспользоваться полным решением по развертыванию федерации на базе Keycloak с использованием Terraform.

  1. Создайте файл с телом запроса, например body.json:

    {
  "name": "my-federation",
  "description": "My new SAML federation",
  "organizationId": "<идентификатор_организации>",
  "cookieMaxAge":"43200s",
  "issuer": "<идентификатор_IdP-сервера>",
  "ssoUrl": "<адрес_страницы_для перенаправления>",
  "ssoBinding": "<POST_или_REDIRECT>",
  "autoCreateAccountOnLogin": true,
  "caseInsensitiveNameIds": true,
  "securitySettings": {
    "encryptedAssertions": true,
    "forceAuthn": true
  }
}

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • organizationId — идентификатор организации.

    • (Опционально) description — описание федерации.

    • cookieMaxAge — время в секундах, в течение которого браузер не будет требовать у пользователя повторной аутентификации. По умолчанию — 28800 (8 часов).

    • issuer — идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя.

      Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    • ssoUrl — URL-адрес страницы, на которую браузер перенаправит пользователя для аутентификации.

      Чтобы узнать, как получить адрес страницы для перенаправления, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • ssoBinding — тип привязки для Single Sign-on. Возможные значения — POST или REDIRECT. Большинство поставщиков поддерживают тип привязки POST.

    • autoCreateAccountOnLogin — если true, аутентифицированные через федерацию пользователи будут автоматически добавлены в организацию. Если опция не выбрана, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    • caseInsensitiveNameIds — если true, идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • encryptedAssertions — если true, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Потребуется установить сертификат Yandex Cloud на стороне поставщика удостоверений.

    • forceAuthn — параметр, который включает принудительную повторную аутентификацию пользователя по истечении сессии в Yandex Cloud.

  2. Чтобы создать федерацию, воспользуйтесь методом REST API create для ресурса Federation или вызовом gRPC API FederationService/Create и передайте в запросе файл с параметрами запроса.

    Пример запроса:

    curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer <IAM-токен>" \
  --data '@body.json' \
  https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations

    Пример ответа:

    {
 "done": true,
 "metadata": {
  "@type": "type.googleapis.com/yandex.cloud.organization-manager.v1.saml.CreateFederationMetadata",
  "federationId": "ajeobmje4dgj********"
 }

    В свойстве federationId указан идентификатор созданной федерации: сохраните его, он понадобится в дальнейшем.

Передать сертификат IdP-сервера в федерацию

Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Cloud Organization мог проверить этот сертификат, добавьте его в созданную федерацию:

  1. Получите сертификат вашего поставщика удостоверений.

    Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    Имя субъекта в сертификате должно содержать FQDN сервера поставщика удостоверений, например fs.contoso.com, чтобы браузер не блокировал страницу аутентификации.

  2. Приведите файл сертификата к PEM-формату:

      -----BEGIN CERTIFICATE-----
  <значение сертификата>
  -----END CERTIFICATE-----

  3. Добавьте сертификат в федерацию:

    1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

    2. На панели слева выберите Федерации.

    3. Нажмите на строку с федерацией, для которой нужно добавить сертификат.

    4. Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.

    5. Введите название и описание сертификата.

    6. Выберите способ добавления сертификата:

      • Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
      • Чтобы вставить скопированное содержимое сертификата, выберите способ Текст.

    7. Нажмите кнопку Добавить.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    1. Посмотрите описание команды добавления сертификата:

      yc organization-manager federation saml certificate create --help

    2. Добавьте сертификат для федерации, указав путь к файлу сертификата:

      yc organization-manager federation saml certificate create --federation-name <имя_федерации> \
  --name "<имя_сертификата>" \
  --certificate-file <путь_к_файлу_сертификата>

    1. Сформируйте файл с телом запроса body.json, указав содержимое сертификата в свойстве data:

      {
  "federationId": "<идентификатор_федерации>",
  "description": "<описание_сертификата>",
  "name": "<имя_сертификата>",
  "data": "<содержимое_сертификата>"
}

    2. Воспользуйтесь методом REST API create для ресурса Certificate или вызовом gRPC API CertificateService/Create и передайте в запросе файл с параметрами запроса.

    Пример cURL-запроса:

    export IAM_TOKEN=CggaATEVAgA...
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/certificates"

    Совет

    Чтобы аутентификация не прерывалась, когда у очередного сертификата закончится срок действия, добавьте в федерацию несколько сертификатов — текущий и те, которые будут использоваться после текущего. Когда один сертификат станет недействительным, Yandex Cloud проверит подпись другим сертификатом.

    Передать сертификат федерации на IdP-сервер

    Если при создании федерации вы включили опцию Подписывать запросы аутентификации, запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Чтобы IdP-сервер мог проверить эту подпись, добавьте сертификат Yandex Cloud на IdP-сервер:

    1. Скачайте сертификат Yandex Cloud:

      1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

      2. На панели слева выберите Федерации.

      3. Нажмите на строку с нужной федерацией и в поле Подписывать запросы аутентификации нажмите Скачать сертификат.

    2. Передайте сертификат на IdP-сервер. Чтобы узнать, как это сделать, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений.

    Настроить SAML-приложение на стороне IdP-сервера

    Конкретные шаги по настройке SAML-приложения на стороне IdP-сервера зависят от используемого поставщика удостоверений. Здесь приведены общие требования к содержанию SAML-сообщения, которое IdP-сервер отправляет на сторону Yandex Cloud при успешной аутентификации пользователя:

    Пример SAML-сообщения
    <samlp:Response ID="_bcdf7b6b-ea42-4191-8d5e-ebd4274acec6" Version="2.0" IssueInstant="2019-07-30T13:24:25.488Z"
 Destination="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
  InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://example.org/auth</Issuer>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
  </samlp:Status>
  <Assertion ID="_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5" IssueInstant="2019-07-30T13:24:25.488Z"
   Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://example.org/auth</Issuer>
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
        <ds:Reference URI="#_90cd8dcc-6105-4300-9ae4-f2c8c5aeb1e5">
          <ds:Transforms>
            <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
          <ds:DigestValue>phUQR...</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>VACd7O...</ds:SignatureValue>
      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>MIIC7j...</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID>user@example.org</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="19fb953133b313a86a001f2d387160e47f3e7aa0" NotOnOrAfter="2019-07-30T13:29:25.488Z" Recipient="https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2019-07-30T13:24:25.482Z" NotOnOrAfter="2019-07-30T14:24:25.482Z">
      <AudienceRestriction>
        <Audience>https://console.cloud.yandex.ru/federations/bfbrotp6l1b2avhe1spu</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
        <AttributeValue>user@example.org</AttributeValue>
      </Attribute>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
        <AttributeValue>First Name</AttributeValue>
      </Attribute>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
        <AttributeValue>Last Name</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

    Настройте SAML-приложение таким образом, чтобы при формировании сообщения:

    • В элементах Response и SubjectConfirmationData в атрибуте InResponseTo был передан идентификатор из SAML-запроса на аутентификацию, отправленного Yandex Cloud.

    • ACS URL был передан в следующих элементах:

      • Response в атрибуте Destination;
      • SubjectConfirmationData в атрибуте Recipient;
      • Audience.
      Как получить идентификатор федерации

      1. Войдите в сервис Yandex Cloud Organization.

      2. На панели слева выберите Федерации.

      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

      Как получить ACS URL федерации

      1. Войдите в сервис Yandex Cloud Organization.

      2. На панели слева выберите Федерации.

      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля ACS URL.

    • В элементе NameID был указан уникальный идентификатор пользователя. В качестве идентификатора рекомендуется использовать User Principal Name (UPN) или адрес электронной почты.

    • В элементе Issuer была указана ссылка на страницу поставщика удостоверений, куда перенаправлялся пользователь для прохождения аутентификации.

    • В элементе SignatureValue было указано подписанное сообщение, а в элементе KeyInfo — сертификат, которым оно было подписано.

    • Чтобы пользователь мог обратиться в службу технической поддержки Yandex Cloud из консоли управления, в элементе AttributeStatement должен быть указан его адрес электронной почты и имя.

    Чтобы получить более подробную информацию о настройке SAML-приложения, обратитесь к документации или в службу технической поддержки используемого поставщика удостоверений. Также примеры настройки для отдельных поставщиков удостоверений приведены в практических руководствах:

    Настроить сопоставление атрибутов пользователей

    После аутентификации пользователя IdP-сервер отправляет в Yandex Cloud SAML-сообщение, которое содержит информацию об успешной аутентификации и атрибуты пользователя, такие как идентификатор, имя, адрес электронной почты и так далее.

    Чтобы корректно передавать в сервис Yandex Cloud Organization информацию о пользователе, настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на стороне поставщика удостоверений.

    Данные пользователя Комментарий Элементы SAML-сообщения
    Уникальный идентификатор пользователя Обязательный атрибут. Рекомендуется использовать User Principal Name (UPN) или адрес электронной почты. <NameID>
    Фамилия Отображается в сервисах Yandex Cloud.
    Ограничение значения по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
    Имя Отображается в сервисах Yandex Cloud.
    Ограничение значения по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
    Полное имя Отображается в сервисах Yandex Cloud.
    Пример: Иван Иванов.
    Ограничение значения по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
    Почта Используется для отправки уведомлений из сервисов Yandex Cloud.
    Пример: ivanov@example.com.
    Ограничение по длине: 256 символов.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    Телефон Используется для отправки уведомлений из сервисов Yandex Cloud.
    Пример: +71234567890.
    Ограничение по длине: 64 символа.    		 <Attribute> с параметром
    Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone"
    Аватар Отображается в сервисах Yandex Cloud.
    Изображение передается в кодировке Base64.
    Ограничение по длине: 204800 символов.    		 <Attribute> с параметром
    Name="thumbnailPhoto"
    Членство в группах Используется для функционала динамического сопоставления членства в группах. <Attribute> с параметром
    Name="member"

    Примечание

    Если значение атрибута thumbnailPhoto превышает ограничение по длине, атрибут игнорируется. Если значение другого атрибута превышает ограничение, такое значение обрезается.

    Проверить работу аутентификации

    Чтобы проверить работу аутентификации федеративных пользователей:

    1. Если в федерации не включена опция Автоматически создавать пользователей, добавьте федеративных пользователей вручную.

    2. Откройте браузер в гостевом режиме или режиме инкогнито для чистой симуляции нового пользователя.

    3. Перейдите по URL для входа в консоль управления:

      https://console.yandex.cloud/federations/<идентификатор_федерации>
      Как получить идентификатор федерации

      1. Войдите в сервис Yandex Cloud Organization.

      2. На панели слева выберите Федерации.

      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

      Браузер перенаправит вас на страницу аутентификации поставщика удостоверений.

    4. Введите ваши аутентификационные данные. По умолчанию необходимо ввести UPN и пароль.

    5. Нажмите кнопку Sign in.

    6. После успешной аутентификации IdP-сервер перенаправит вас по ACS URL, который вы указали в настройках сервера, а после этого — на главную страницу консоли управления.

    Убедитесь, что вошли в консоль от имени федеративного пользователя.

Предыдущая
Обзор
Следующая
Настроить сопоставление групп федеративных пользователей