Связаться с намиПодключиться

Аутентификация с помощью Active Directory

Статья создана
Обновлена 22 октября 2024 г.

С помощью федерации удостоверений вы можете использовать Active Directory Federation Services (AD FS) для аутентификации в облаке.

Чтобы настроить аутентификацию:

  1. Создайте федерацию в организации.

  2. Добавьте сертификаты в федерацию.

  3. Настройте аутентификацию на сервере AD FS.

  4. Добавьте пользователей в организацию.

  5. Протестируйте аутентификацию.

Перед началом работы

Чтобы воспользоваться инструкциями в этом разделе, вам понадобятся:

  1. Работающая ферма AD FS. Если на вашем сервере еще не настроен AD FS, установите и настройте его. Для развертывания AD FS вам также необходимо установить и настроить Active Directory Domain Services (AD DS).

    Совет

    В ферму рекомендуется включать более одного сервера, чтобы обеспечить большую надежность аутентификации.

  2. Действующий сертификат, который используется для подписи в службе AD FS. Если у вас нет действующего SSL-сертификата, получите новый.

    Имя субъекта в сертификате должно содержать FQDN сервера поставщика удостоверений, например fs.contoso.com, чтобы страница аутентификации не могла быть заблокирована браузером.

Создайте федерацию в организации

Чтобы создать федерацию:

  1. Перейдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Федерации.

  3. В правом верхнем углу страницы нажмите кнопку Создать федерацию. В открывшемся окне:

    1. Задайте имя федерации. Имя должно быть уникальным в каталоге.

    2. При необходимости добавьте описание.

    3. В поле Время жизни cookie укажите время, в течение которого браузер не должен требовать у пользователя повторной аутентификации.

    4. В поле IdP Issuer укажите ссылку в формате http://<ADFS>/adfs/services/trust, где <ADFS> — это FQDN вашего AD FS сервера.

    5. В поле Single Sign-On метод выберите POST.

    6. В поле Ссылка на страницу для входа в IdP укажите ссылку в формате https://<ADFS>/adfs/ls/, где <ADFS> — это FQDN вашего AD FS сервера.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    7. Включите опцию Автоматически создавать пользователей, чтобы аутентифицированный пользователь автоматически добавлялся в организацию. Если вы не включите эту опцию, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    8. Включите опцию Принудительная повторная аутентификация (ForceAuthn) в IdP, чтобы задать значение true для параметра ForceAuthn в запросе аутентификации SAML. При включении этой опции IdP-провайдер запрашивает у пользователя аутентификацию по истечении сессии в Yandex Cloud.

    9. Нажмите кнопку Создать федерацию.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды создания федерации:

    yc organization-manager federation saml create --help

  2. Создайте федерацию:

    yc organization-manager federation saml create --name my-federation \
    --organization-id <идентификатор_организации> \
    --auto-create-account-on-login \
    --cookie-max-age 12h \
    --issuer "http://example.com/adfs/services/trust" \
    --sso-url "https://example.com/adfs/ls/" \            
    --sso-binding POST \
    --force-authn

    Где:

    • --name — имя федерации. Имя должно быть уникальным в каталоге.

    • --organization-idидентификатор организации.

    • --auto-create-account-on-login — флаг, который активирует автоматическое создание новых пользователей в облаке после аутентификации на IdP-сервере.
      Опция упрощает процесс заведения пользователей, но созданный таким образом пользователь не сможет выполнять никаких операций с ресурсами в облаке. Исключение — те ресурсы, на которые назначены роли публичной группе All users или All authenticated users.

      Если опцию не включать, то пользователь, которого не добавили в организацию, не сможет войти в консоль управления, даже если пройдет аутентификацию на вашем сервере. В этом случае вы можете управлять списком пользователей, которым разрешено пользоваться ресурсами Yandex Cloud.

    • --cookie-max-age — время, в течение которого браузер не должен требовать у пользователя повторной аутентификации.

    • --issuer — идентификатор IdP-сервера, на котором должна происходить аутентификация.

      Укажите ссылку в формате http://<ADFS>/adfs/services/trust, где <ADFS> — это FQDN вашего AD FS сервера.

    • --sso-url — URL-адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

      Укажите ссылку в формате https://<ADFS>/adfs/ls/, где <ADFS> — это FQDN вашего AD FS сервера.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • --sso-binding — укажите тип привязки для Single Sign-on. Большинство поставщиков поддерживают тип привязки POST.

    • (Опционально) force-authn — при истечении сессии в Yandex Cloud поставщик удостоверений запросит у пользователя повторную аутентификацию.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. В конфигурационном файле опишите параметры федерации:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • description — описание федерации.

    • organization_idидентификатор организации.

    • labels — набор пар меток ключ/значение, которые присвоены федерации.

    • issuer — идентификатор IdP-сервера, на котором должна происходить аутентификация.

      Укажите ссылку в формате http://<ADFS>/adfs/services/trust, где <ADFS> — это FQDN вашего AD FS сервера.

    • sso_binding — укажите тип привязки для Single Sign-on. Большинство поставщиков поддерживают тип привязки POST.

    • sso_url — URL-адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

      Укажите ссылку в формате https://<ADFS>/adfs/ls/, где <ADFS> — это FQDN вашего AD FS сервера.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • cookie_max_age — время в секундах, в течение которого браузер не должен требовать у пользователя повторной аутентификации. Значение по умолчанию 8 часов.

    • auto_create_account_on_login — флаг, который активирует автоматическое создание новых пользователей в облаке после аутентификации на IdP-сервере.
      Опция упрощает процесс заведения пользователей, но созданный таким образом пользователь не сможет выполнять никаких операций с ресурсами в облаке. Исключение — те ресурсы, на которые назначены роли публичной группе All users или All authenticated users.

      Если опцию не включать, то пользователь, которого не добавили в организацию, не сможет войти в консоль управления, даже если пройдет аутентификацию на вашем сервере. В этом случае вы можете управлять списком пользователей, которым разрешено пользоваться ресурсами Yandex Cloud.

    • case_insensitive_name_ids — зависимость имен пользователей от регистра.
      Если опция включена, идентификаторы имен федеративных пользователей будут нечувствительны к регистру.

    • security_settings — настройки безопасности федерации:

      • encrypted_assertions — подписывать запросы аутентификации.
        Если включить опцию, то все запросы аутентификации от Yandex Cloud будут содержать цифровую подпись. Вам потребуется скачать и установить сертификат Yandex Cloud.

    Пример структуры конфигурационного файла:

    resource "yandex_organizationmanager_saml_federation" federation {
 name            = "my-federation"
 organization_id = "<идентификатор_организации>"
 auto_create_account_on_login = "true"
 issuer          = "http://example.com/adfs/services/trust"
 sso_url         = "https://example.com/adfs/ls/"
 sso_binding     = "POST"
 security_settings {
    encrypted_assertions = "true"
    }
}

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразятся параметры федерации. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Создайте федерацию.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание федерации.

    После этого в указанной организации будет создана федерация. Проверить появление федерации и ее настроек можно в организации в разделе Федерации.

  1. Создайте файл с телом запроса, например body.json:

    {
  "name": "my-federation",
  "organizationId": "<идентификатор_организации>",
  "autoCreateAccountOnLogin": true,
  "cookieMaxAge":"43200s",
  "issuer": "http://example.com/adfs/services/trust",
  "ssoUrl": "https://example.com/adfs/ls/",
  "ssoBinding": "POST",
  "securitySettings": {
    "forceAuthn": true
  }
}

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • organizationIdидентификатор организации.

    • autoCreateAccountOnLogin — флаг, который активирует автоматическое создание новых пользователей в облаке после аутентификации на IdP-сервере.
      Опция упрощает процесс заведения пользователей, но созданный таким образом пользователь не сможет выполнять никаких операций с ресурсами в облаке. Исключение — те ресурсы, на которые назначены роли публичной группе All users или All authenticated users.

      Если опцию не включать, то пользователь, которого не добавили в организацию, не сможет войти в консоль управления, даже если пройдет аутентификацию на вашем сервере. В этом случае вы можете управлять списком пользователей, которым разрешено пользоваться ресурсами Yandex Cloud.

    • cookieMaxAge — время, в течение которого браузер не должен требовать у пользователя повторной аутентификации.

    • issuer — идентификатор IdP-сервера, на котором должна происходить аутентификация.

      Укажите ссылку в формате http://<ADFS>/adfs/services/trust, где <ADFS> — это FQDN вашего AD FS сервера.

    • ssoUrl — URL-адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

      Укажите ссылку в формате https://<ADFS>/adfs/ls/, где <ADFS> — это FQDN вашего AD FS сервера.

      В ссылке допустимо использовать только протоколы HTTP и HTTPS.

    • ssoBinding — укажите тип привязки для Single Sign-on. Большинство поставщиков поддерживают тип привязки POST.

    • forceAuthn — параметр, который включает принудительную повторную аутентификацию пользователя по истечении сессии в Yandex Cloud.

  2. Чтобы создать федерацию, воспользуйтесь методом REST API create для ресурса Federation или вызовом gRPC API FederationService/Create и передайте в запросе файл с параметрами запроса.

    Пример запроса:

    curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer <IAM-токен>" \
  --data '@body.json' \
  https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations

    Пример ответа:

    {
 "done": true,
 "metadata": {
  "@type": "type.googleapis.com/yandex.cloud.organization-manager.v1.saml.CreateFederationMetadata",
  "federationId": "ajeobmje4dgj********"
 }

    В свойстве federationId указан идентификатор созданной федерации: сохраните его, он понадобится в дальнейшем.

Примечание

Чтобы принудительная повторная аутентификация (ForceAuthn) в IdP работала корректно, внесите изменения в настройки IdP-провайдера. Для этого на вашем сервере ADFS откройте консоль PowerShell и выполните команду:

Get-AdfsRelyingPartyTrust -Name YC | Set-AdfsRelyingPartyTrust -AlwaysRequireAuthentication $true

Добавьте сертификаты в федерацию

Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Cloud Organization мог проверить этот сертификат, добавьте его в созданную федерацию.

Чтобы получить сертификат службы AD FS:

  1. Войдите на ваш сервер AD FS и откройте Server Manager.

  2. Откройте консоль управления AD FS: ToolsAD FS Management.

  3. В открывшемся окне в дереве слева нажмите ServicesCertificates.

  4. Нажмите правой кнопкой мыши на сертификате в блоке Token-signing и выберите View certificate.

  5. В открывшемся окне перейдите на вкладку Details.

  6. Нажмите кнопку Copy to file.

  7. Нажмите кнопку Next.

  8. Выберите формат Base-64 encoded X.509 (.CER) и нажмите Next.

  9. Укажите, куда сохранить сертификат и с каким именем, и нажмите Next.

  10. Проверьте настройки экспорта сертификата и нажмите Finish.

Чтобы добавить сертификат в федерацию:

  1. Войдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Федерации.

  3. Нажмите на строку с федерацией, для которой нужно добавить сертификат.

  4. Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.

  5. Введите название и описание сертификата.

  6. Выберите способ добавления сертификата:

    • Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
    • Чтобы вставить скопированное содержимое сертификата, выберите способ Текст и вставьте содержимое.

  7. Нажмите кнопку Добавить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды добавления сертификата:

    yc organization-manager federation saml certificate create --help

  2. Добавьте сертификат для федерации, указав путь к файлу сертификата:

    yc organization-manager federation saml certificate create --federation-name my-federation \
  --name "my-certificate" \
  --certificate-file test.pem

Чтобы добавить сертификат, воспользуйтесь методом create для ресурса Certificate:

  1. Сформируйте тело запроса, указав содержимое сертификата в свойстве data:

    {
  "federationId": "<ID_федерации>",
  "name": "my-certificate",
  "data": "MII...=="
}

  2. Отправьте запрос на добавление сертификата:

    export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/certificates"

Совет

Чтобы аутентификация не прерывалась в тот момент, когда у очередного сертификата закончился срок действия, рекомендуется добавлять в федерацию несколько сертификатов — текущий и те, которые будут использоваться после текущего. Если один сертификат окажется недействительным, Yandex Cloud попробует проверить подпись другим сертификатом.

Настройте аутентификацию на сервере AD FS

После того как вы настроили федерацию в Yandex Cloud Organization, вы можете настроить сервер AD FS так, чтобы он сообщал консоли управления о каждой успешной аутентификации и возвращал пользователя в консоль.

Инструкции в этом разделе написаны для ОС Windows Server 2016, для других версий шаги могут отличаться.

Чтобы настроить аутентификацию на сервере AD FS:

  1. Создайте отношение доверия с проверяющей стороной.

  2. Настройте Claims Mapping.

Создайте отношение доверия с проверяющей стороной

AD FS требует создавать отношение доверия с проверяющей стороной (relying party trust) для каждого поставщика услуг (Service Provider, SP), который будет использовать AD FS для аутентификации.

Создайте отношение доверия с проверяющей стороной для федерации, созданной в облаке:

  1. Войдите на ваш сервер AD FS и откройте Server Manager.

  2. Откройте консоль управления AD FS: ToolsAD FS Management.

  3. В списке действий выберите Add Relying Party Trust.

  4. Откроется окно помощника. На первой странице выберите Claims aware и нажмите Start.

  5. Выберите Enter data about the relying party manually и нажмите Next.

  6. Задайте имя, например Yandex Cloud, и нажмите Next.

  7. На следующем шаге вас попросят указать сертификат для подписи токенов. Этот шаг необязательный, поэтому нажмите Next.

  8. На шаге Configure URL выберите Enable support for the SAML 2.0 WebSSO protocol и укажите ACS URL, на который пользователи будут перенаправляться после аутентификации.

    Как получить ID федерации

    1. Войдите в сервис Yandex Cloud Organization.

    2. На панели слева выберите Федерации.

    3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

    Как получить ACS URL федерации

    1. Войдите в сервис Yandex Cloud Organization.

    2. На панели слева выберите Федерации.

    3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля ACS URL.

    image

    После этого нажмите Next.

  9. На следующей странице введите в качестве идентификатора этот же URL для перенаправления и нажмите Add. После этого нажмите Next.

  10. На следующей странице можно выбрать, кому будет доступна аутентификация с помощью этой федерации. По умолчанию выбрана политика Permit for everyone, которая разрешает доступ для всех пользователей.

    Вы можете выбрать другую политику. Например, чтобы разрешить доступ только для отдельной группы пользователей, выберите Permit specific group и нажмите на слово <parameter>, чтобы выбрать, для каких групп разрешить доступ. Подробнее о политиках управления доступом.

    image

  11. Нажмите Next.

  12. На странице Ready to Add Trust проверьте введенные данные и нажмите Close.

Настройте Claims Mapping

Когда служба AD FS аутентифицирует пользователя, она отправляет в Yandex Cloud SAML-сообщение с подтверждением успешной аутентификации. Сообщение обязательно должно содержать элемент Name ID, однозначно идентифицирующий пользователя, а также может содержать другие данные пользователя (имя, электронная почта и так далее). Для этого необходимо настроить соответствие атрибутов пользователя типам исходящих утверждений (Outgoing Claim Type). Типы персональных данных, которые поддерживает Yandex Cloud Organization, приведены ниже.

Данные пользователя Комментарий Outgoing Claim Type
Уникальный идентификатор пользователя Обязательный атрибут. Рекомендуем использовать один из уникальных и неизменных атрибутов пользователя Active Directory: User-Principal-Name, Object-Sid, Object-Guid или адрес электронной почты. Name ID
Фамилия Отображается в сервисах Yandex Cloud. Рекомендуется использовать атрибут Surname.
Ограничение значения по длине: 64 символа.		 Surname
Имя Отображается в сервисах Yandex Cloud. Рекомендуется использовать атрибут Given-Name.
Ограничение значения по длине: 64 символа.		 Given Name
Полное имя Отображается в сервисах Yandex Cloud. Пример: Иван Иванов.
Рекомендуется использовать атрибут Display-Name.
Ограничение значения по длине: 64 символа.		 Name
Почта Используется для отправки уведомлений из сервисов Yandex Cloud. Пример: ivanov@example.com
Рекомендуется использовать атрибут E-Mail-Address.
Ограничение значения по длине: 256 символов.		 E-Mail Address
Телефон Используется для отправки уведомлений из сервисов Yandex Cloud. Пример: +71234567890
Рекомендуется использовать атрибут Telephone-Number.
Ограничение значения по длине: 64 символа.		 В поле Outgoing Claim Type введите phone
Аватар Отображается в сервисах Yandex Cloud.
Рекомендуется использовать атрибут thumbnailPhoto. Как добавить аватар.
Ограничение значения по длине: 204800 символов.		 В поле Outgoing Claim Type введите thumbnailPhoto

Важно

В качестве идентификатора Name ID используйте только такие атрибуты пользователя Active Directory, значения которых уникальны и не будут изменены. Если значение Name ID пользователя федерации изменится, для такого пользователя потребуется создать новую учетную запись в федерации, а доступ к прежним настройкам и данным в Yandex Cloud будет потерян.

Значение атрибута thumbnailPhoto, превышающее ограничение по длине, игнорируется. Если значение другого атрибута превышает ограничения, то часть значения, выходящая за пределы ограничения, отбрасывается.

Чтобы настроить соответствие данных пользователя типам исходящих утверждений (Outgoing Claim Type):

  1. В консоли управления AD FS в блоке Relying Party Trusts нажмите правой кнопкой мыши на созданном ранее отношении доверия с проверяющей стороной и выберите Edit Claim Issuance Policy.

  2. В открывшемся окне нажмите Add Rule.

  3. Выберите Send LDAP Attributes as Claims и нажмите Next.

  4. На следующей странице настройте, какие данные будут передаваться в сообщении:

    1. В поле Claim rule name задайте имя правила, например Claims mapping

    2. В поле Attribute Store выберите Active Directory.

    3. Укажите, что будет передаваться в качестве Name ID — уникального идентификатора пользователя. Для этого добавьте строчку в списке Mapping of LDAP attributes:

      В столбце LDAP Attribute выберите атрибут, который обеспечит уникальность и неизменность идентификатора пользователя федерации: User-Principal-Name, Object-Sid, Object-Guid или E-Mail-Addresses.

      В столбце Outgoing Claim Type выберите Name ID.

    4. Чтобы пользователь мог обратиться в службу технической поддержки Yandex Cloud из консоли управления, добавьте адрес электронной почты (тип утверждения E-Mail Address) и имя пользователя (тип утверждения Name).

    5. Чтобы передавать отдельно имя и фамилию пользователя, добавьте типы утверждения Given Name и Surname.

    6. Чтобы добавить номер телефона или аватар пользователя, в поле Outgoing Claim Type вручную введите название типа: phone или thumbnailPhoto.

      image

  5. Нажмите Finish, затем нажмите OK, чтобы закрыть окно Edit Claim Issuance Policy.

Как добавить аватар в Active Directory

Чтобы добавить в Active Directory аватар пользователя, запишите изображение в атрибут thumbnailPhoto с помощью командной оболочки PowerShell.

Примечание

Атрибут thumbnailPhoto поддерживает максимальный размер изображения 100 Кбайт. Рекомендуемый размер файла до 10 Кбайт, размер изображения до 96×96 пикселей.

  1. Запустите командную оболочку PowerShell.

  2. Подключите модуль Active Directory Module for Windows PowerShell с помощью команды:

    Import-Module ActiveDirectory

  3. Чтобы добавить аватар для одного пользователя, выполните команду:

    Set-ADUser <имя_пользователя> -Replace @{thumbnailPhoto=([byte[]](Get-Content "<путь_к_изображению>" -Encoding byte))}

  4. Чтобы массово добавить аватары для пользователей:

    1. Подготовьте CSV-файл, в котором указаны имена пользователей и пути к изображениям.

      Пример CSV-файла:

      AD_username, Photo
smith, C:\Photo\smith.jpg
jones, C:\Photo\jones.jpg

    2. Выполните команду:

      Import-Csv <путь_к_CSV-файлу> |%{Set-ADUser -Identity $_.AD_username -Replace @{thumbnailPhoto=([byte[]](Get-Content $_.Photo -Encoding byte))}}

Добавьте пользователей в организацию

Если при создании федерации вы не включили опцию Автоматически создавать пользователей, федеративных пользователей нужно добавить в организацию вручную.

Для этого вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.

При включенной опции Автоматически создавать пользователей в федерацию будут добавлены только пользователи, которые впервые авторизуются в облаке. Если федеративный пользователь был исключен, добавить его повторно можно только вручную.

Добавить пользователя может администратор (роль organization-manager.admin) или владелец (роль organization-manager.organizations.owner) организации. О том, как назначить пользователю роль, читайте в разделе Роли.

Чтобы добавить пользователей федерации в организацию:

  1. Перейдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Пользователи.

  3. В правом верхнем углу экрана нажмите Ещё и выберите Добавить федеративных пользователей.

  4. Выберите федерацию, из которой необходимо добавить пользователей.

  5. Перечислите Name ID пользователей, разделяя их пробелами или переносами строк.

  6. Нажмите Добавить. Пользователи будут подключены к организации.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды добавления пользователей:

    yc organization-manager federation saml add-user-accounts --help

  2. Добавьте пользователей, перечислив их Name ID через запятую:

    yc organization-manager federation saml add-user-accounts --name my-federation \
  --name-ids=alice@example.com,bob@example.com,charlie@example.com

Чтобы добавить пользователей федерации в облако:

  1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

    {
  "nameIds": [
    "alice@example.com",
    "bob@example.com",
    "charlie@example.com"
  ]
}

  2. Отправьте запрос, указав в параметрах идентификатор федерации:

    curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer <IAM-токен>" \
  --data '@body.json' \
  https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations/<ID_федерации>:addUserAccounts

Протестируйте аутентификацию

Теперь, когда вы закончили настройку аутентификации с помощью Active Directory, проверьте ее работу:

  1. Откройте браузер в гостевом режиме или режиме инкогнито для чистой симуляции нового пользователя.

  2. Перейдите по URL для входа в консоль управления:

    https://console.yandex.cloud/federations/<ID_федерации>
    Как получить ID федерации

    1. Войдите в сервис Yandex Cloud Organization.

    2. На панели слева выберите Федерации.

    3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

    Браузер должен перенаправить вас на страницу аутентификации в AD FS, которая по умолчанию выглядит так:

    image

  3. Введите ваши данные для аутентификации. По умолчанию, необходимо ввести UPN и пароль. Затем нажмите кнопку Sign in.

  4. После успешной аутентификации AD FS перенаправит вас по ACS URL, который вы указали в настройках сервера AD FS, а после этого — на главную страницу консоли управления. В правом верхнем углу вы можете увидеть, что вы вошли в консоль от имени аккаунта в Active Directory.

Что дальше

Предыдущая
Обзор
Следующая
Аутентификация с помощью Google Workspace