Сопоставление групп пользователей в Microsoft Entra ID
- Перед началом работы
- Начните настройку приложения в Azure
- Создайте федерацию Yandex Cloud Organization
- Добавьте SAML-сертификат приложения Azure в федерацию
- Завершите настройку приложения Azure
- Настройте сопоставление групп на стороне приложения Azure
- Настройте сопоставление групп на стороне федерации
- Проверьте работу аутентификации
Вы можете использовать сервис Microsoft Entra ID
Чтобы настроить сопоставление (mapping) групп пользователей в Entra ID и групп пользователей в федерации удостоверений:
- Начните настройку приложения в Azure.
- Создайте федерацию в Yandex Cloud Organization.
- Добавьте SAML-сертификат приложения в федерацию.
- Завершите настройку приложения.
- Настройте сопоставление групп на стороне приложения.
- Настройте сопоставление групп на стороне федерации.
- Проверьте работу аутентификации.
Перед началом работы
Убедитесь, что у вас есть доступ к следующим службам на портале Azure
- Корпоративные приложения.
- Microsoft Entra ID.
Начните настройку приложения в Azure
В роли поставщика удостоверений (IdP) выступает приложение в Microsoft Azure с настроенной технологией единого входа (Single Sign-On, SSO). Чтобы создать приложение и начать его настройку:
-
В разделе Службы Azure выберите Корпоративные приложения.
-
На панели слева выберите раздел Корпоративные приложения → Все приложения.
-
Нажмите кнопку Новое приложение.
-
На странице Обзор коллекции Microsoft Entra нажмите кнопку Создайте собственное приложение.
-
В открывшемся окне:
- Введите название приложения, например
yandex-cloud-saml
. - Выберите опцию Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции).
- Нажмите кнопку Создать.
После создания приложения откроется его страница.
- Введите название приложения, например
-
На панели слева выберите раздел Единый вход.
-
Выберите режим единого входа SAML.
Откроется страница Вход на основе SAML.
-
Скачайте SAML-сертификат приложения, который используется для подписи сообщений от Entra ID:
- Найдите блок Сертификаты SAML → Сертификат для подписи маркера.
- Скачайте сертификат по ссылке в поле Сертификат (Base64).
-
Сохраните реквизиты, которые потребуются в дальнейшем при настройке федерации удостоверений:
-
Найдите блок Настройка yandex-cloud-saml.
Если вы выбрали другое имя приложения, то имя блока будет отличаться от приведенного.
-
Сохраните необходимые реквизиты:
-
URL-адрес входа следующего вида:
https://login.microsoftonline.com/<идентификатор_тенанта>/saml2
-
Идентификатор Microsoft Entra следующего вида:
https://sts.windows.net/<идентификатор_тенанта>/
-
-
Примечание
Настройка входа на основе SAML для приложения будет продолжена после создания федерации удостоверений.
Не закрывайте вкладку браузера, в которой выполняется настройка.
Создайте федерацию Yandex Cloud Organization
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Федерации. -
В правом верхнем углу страницы нажмите кнопку
Создать федерацию. В открывшемся окне:-
Задайте имя федерации, например
demo-federation
. Имя должно быть уникальным в каталоге. -
При необходимости добавьте описание.
-
В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.
-
В поле IdP Issuer вставьте идентификатор Microsoft Entra, полученный в ходе настройки приложения Azure.
-
В поле Ссылка на страницу для входа в IdP вставьте URL-адрес входа, полученный в ходе настройки приложения Azure.
-
Включите опцию Автоматически создавать пользователей, чтобы автоматически добавлять пользователя в организацию после аутентификации. Если опция отключена, федеративных пользователей потребуется добавить вручную.
Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
(Опционально) Чтобы все запросы аутентификации от Yandex Cloud содержали цифровую подпись, включите опцию Подписывать запросы аутентификации. Потребуется установить SAML-сертификат Yandex Cloud на стороне поставщика удостоверений.
В появившемся блоке Сертификаты SAML появится информация о действующем SAML-сертификате Yandex Cloud.
Нажмите
Скачать и сохраните скачанный файл сертификата. Он потребуется для установки на ваш IdP-сервер.Совет
Следите за сроком действия сертификатов и устанавливайте новые сертификаты до истечения срока действия используемых. Перевыпущенный SAML-сертификат Yandex Cloud необходимо заранее скачать и установить на стороне IdP-провайдера и в вашей федерации.
Скачать и установить сертификат Yandex Cloud вы можете и после создания федерации.
Сертификат потребуется в дальнейшем при настройке входа на основе SAML для приложения Azure.
-
Включите опцию Принудительная повторная аутентификация (ForceAuthn) в IdP, чтобы задать значение
true
для параметра ForceAuthn в запросе аутентификации SAML. При включении этой опции поставщик удостоверений (Identity Provider, IdP) запрашивает у пользователя аутентификацию по истечении сессии в Yandex Cloud. -
Нажмите кнопку Создать федерацию.
-
Добавьте SAML-сертификат приложения Azure в федерацию
Чтобы при аутентификации сервис Cloud Organization мог проверить SAML-сертификат приложения, добавьте сертификат в федерацию:
-
Войдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Федерации. -
Нажмите на строку с федерацией, для которой нужно добавить сертификат —
demo-federation
. -
Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.
-
Введите название и описание сертификата.
-
В поле Способ выберите
Текст
и вставьте содержимое полученного ранее сертификата. -
Нажмите кнопку Добавить.
Завершите настройку приложения Azure
-
Перейдите на вкладку браузера, в которой выполнялась настройка входа на основе SAML для приложения
yandex-cloud-saml
. -
Укажите URL для перенаправления:
-
Найдите блок Базовая конфигурация SAML.
-
Нажмите кнопку Изменить в блоке.
-
Укажите один и тот же URL для перенаправления в полях Идентификатор (сущности) и URL-адрес ответа (URL-адрес службы обработчика утверждений).
URL для перенаправления имеет вид:
https://console.cloud.yandex.ru/federations/<идентификатор_федерации>
Как получить идентификатор федерации
- Войдите в сервис Yandex Cloud Organization
. - На панели слева выберите
Федерации. - Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
- Войдите в сервис Yandex Cloud Organization
-
Нажмите кнопку Сохранить на панели справа.
-
-
(Опционально) Если при создании федерации в Yandex Cloud Organization вы включили опцию Подписывать запросы аутентификации, то добавьте скачанный ранее SAML-сертификат Yandex Cloud в приложение:
-
Найдите блок Сертификаты SAML → Сертификаты для проверки (необязательно) и нажмите кнопку Изменить.
-
Включите опцию Требовать сертификаты для проверки.
-
Нажмите кнопку Отправить сертификат.
-
Загрузите нужный сертификат в формате PEM.
Если вы не скачивали SAML-сертификат при создании федерации, вы можете скачать его на странице сведений о федерации в Yandex Cloud Organization, нажав кнопку
Скачать сертификат в поле Подписывать запросы аутентификации. -
Нажмите кнопку Сохранить на панели справа.
-
-
Нажмите кнопку Сохранить.
Настройте сопоставление групп на стороне приложения Azure
Создайте пользователя
-
В разделе Службы Azure выберите Microsoft Entra ID.
-
На панели слева выберите раздел Пользователи → Все пользователи.
-
Нажмите кнопку Новый пользователь. Выберите пункт Создание нового пользователя из выпадающего меню.
-
Перейдите на вкладку Основные сведения.
-
В поле Имя субъекта-пользователя укажите логин пользователя (например
az_demo_user
) в комбинации с доменом (напримерexample.com
). -
В поле Псевдоним почты укажите адрес электронной почты. По умолчанию псевдоним совпадает с именем пользователя.
Вы можете указать другой псевдоним:
- Отключите опцию Сформировать на основе имени субъекта-пользователя.
- Укажите нужный псевдоним.
Например можно использовать псевдоним
ivan_ivanov
для пользователяaz_demo_user@example.com
. -
В поле Отображаемое имя укажите имя пользователя, которое будет отображаться в интерфейсе, например
Ivan Ivanov
. -
В поле Пароль укажите пароль пользователя, который будет использоваться при первом входе. По умолчанию пароль генерируется автоматически.
Вы можете указать пароль вручную:
- Отключите опцию Автоматическое создание пароля.
- Укажите нужный пароль.
-
Убедитесь, что опция Учетная запись включена на вкладке Основные сведения включена.
-
Нажмите кнопку Проверить и создать.
Создайте группу и добавьте в нее пользователя
-
В разделе Службы Azure выберите Microsoft Entra ID.
-
Создайте группу:
- На панели слева выберите раздел Группы → Все группы.
- Нажмите кнопку Создать группу.
- Из выпадающего списка Тип группы выберите пункт
Группа безопасности
. - В поле Имя группы укажите имя группы, например
az_demo_group
. - В поле Члены нажмите ссылку Нет выбранных участников.
- В открывшемся окне отметьте пользователя
az_demo_user@example.com
и нажмите кнопку Выбрать. - Нажмите кнопку Создать.
-
Получите идентификатор созданной группы:
-
На панели слева выберите раздел Группы → Все группы.
-
Найдите в списке группу
az_demo_group
и скопируйте ее идентификатор из столбца ИД объекта.Идентификатор имеет вид
XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
.
-
Настройте доступы для группы
Настройте приложение так, чтобы созданная группа имела к нему доступ:
- Перейдите на портал Azure
. - В разделе Службы Azure выберите Корпоративные приложения.
- На панели слева выберите раздел Корпоративные приложения → Все приложения.
- Выберите созданное ранее приложение
yandex-cloud-saml
. - На панели слева выберите Пользователи и группы.
- Нажмите Добавить пользователя или группу.
- В поле Группы нажмите Не выбрано.
- В открывшемся окне отметьте группу
az_demo_group
и нажмите кнопку Выбрать. - Нажмите кнопку Назначить.
- Нажмите кнопку Сохранить.
Настройте сопоставление групп
-
В разделе Службы Azure выберите Корпоративные приложения.
-
На панели слева выберите раздел Корпоративные приложения → Все приложения.
-
Выберите созданное ранее приложение
yandex-cloud-saml
. -
На панели слева выберите раздел Единый вход.
-
Найдите блок Атрибуты и утверждения и нажмите кнопку Изменить. Далее будут настроены нужные утверждения (claims).
-
Нажмите кнопку Добавить утверждение о группе.
-
В блоке Какие группы, связанные с пользователем, следует возвратить в утверждении? выберите опцию
Группы безопасности
. -
Из выпадающего списка Атрибут источника выберите пункт
Идентификатор группы
. -
Раскройте блок Дополнительные параметры и измените параметры:
- Включите опцию Изменение имени утверждения группы.
- В поле Имя (необязательно) введите
member
.
-
Нажмите кнопку Сохранить на панели справа.
-
Нажмите кнопку Сохранить.
Настройте сопоставление групп на стороне федерации
-
Войдите в сервис Yandex Cloud Organization
. -
Создайте группу пользователей
yc-demo-group
в Cloud Organization и выдайте ей права на просмотр ресурсов в облаке или отдельном каталоге (рольviewer
). -
На панели слева выберите
Федерации. -
Выберите созданную ранее федерацию
demo-federation
и перейдите на вкладку IdP-группы. -
Включите опцию Маппинг групп в IdP.
-
Нажмите кнопку Добавить группу.
-
В поле Имя группы введите идентификатор группы
az_demo_group
, полученный ранее в Entra ID.Важно
При настройке сопоставления групп на стороне Azure был выбран идентификатор группы в качестве атрибута источника.
Поэтому необходимо ввести именно идентификатор группы, а не ее имя.
-
В поле IAM-группа выберите из списка имя группы в Yandex Cloud Organization —
yc-demo-group
. -
Нажмите кнопку Сохранить.
Проверьте работу аутентификации
-
Откройте браузер в гостевом режиме или режиме инкогнито.
-
Перейдите по URL для входа в консоль:
https://console.cloud.yandex.ru/federations/<идентификатор_федерации>
Как получить идентификатор федерации
- Войдите в сервис Yandex Cloud Organization
. - На панели слева выберите
Федерации. - Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
Если все настроено правильно, браузер перенаправит вас на страницу аутентификации в Entra ID.
- Войдите в сервис Yandex Cloud Organization
-
Введите реквизиты пользователя
az_demo_user@example.com
, созданного ранее в Entra ID, и нажмите кнопку Sign in.После успешной аутентификации IdP-сервер перенаправит вас по URL
https://console.cloud.yandex.ru/federations/<идентификатор_федерации>
, который вы указали в настройках SAML для приложения Azure, а после — на главную страницу консоли управления . -
Убедитесь, что пользователь, от имени которого был выполнен вход, входит в группу
yc-demo-group
и у него есть права на просмотр ресурсов в соответствии с ролью, назначенной для группы.