Аутентификация с помощью Active Directory

С помощью федерации удостоверений вы можете настроить систему единого входа (Single Sign-On, SSO) и использовать Microsoft Active Directory совместно с Microsoft Active Directory Federation Services (AD FS) для аутентификации в облаке.

Чтобы настроить SSO:

1. Создайте федерацию в организации.

2. Добавьте сертификаты в федерацию.

3. Настройте аутентификацию на стороне AD FS.

4. Добавьте пользователей в организацию.

5. Протестируйте работу аутентификации.

Перед началом работыПеред началом работы

Чтобы воспользоваться инструкциями в этом разделе, вам понадобятся:

1. Работающая ферма AD FS.

   Если у вас еще нет настроенной фермы AD FS, то выполните следующие действия для настройки:

   1. Разверните и настройте Active Directory Domain Services (AD DS), если это еще не сделано. Наличие AD DS — необходимое условие для развертывания AD FS.

   2. Разверните и настройте ферму AD FS из одного или нескольких серверов.

      Совет

      Добавьте в ферму AD FS несколько серверов, чтобы обеспечить отказоустойчивость.

      Тогда SSO будет доступен, даже если отдельные серверы выйдут из строя.

2. Действующий SSL-сертификат для использования в AD FS. Если у вас нет действующего сертификата, получите новый.

   Чтобы браузеры не блокировали страницу аутентификации при использовании SSO, сертификат должен удовлетворять следующим требованиям:

   • Устройства и пользователи в рамках леса Active Directory должны доверять сертификату.

   • FQDN фермы AD FS должен содержаться в свойстве Subject Name и расширении Alternative Name сертификата.

     Как получить FQDN фермы

     1. Подключитесь к любому серверу в ферме AD FS, откройте консоль PowerShell.

     2. Получите эндпоинт сервиса федераций:

        Get-AdfsEndpoint -AddressPath /adfs/ls/ | Select FullUrl
        

        Эндпоинт содержит в себе FQDN фермы AD FS и имеет следующий вид:

        https://<FQDN_фермы_AD_FS>/adfs/ls/
        

Создайте федерацию в организацииСоздайте федерацию в организации

Чтобы создать федерацию:

Укажите сертификаты для федерацииУкажите сертификаты для федерации

Когда поставщик удостоверений сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Cloud Organization мог проверить этот сертификат, добавьте его в созданную федерацию:

1. Получите сертификат фермы AD FS:

   MMC-оснастка

   PowerShell

   1. Подключитесь к любому серверу в ферме AD FS и откройте Server Manager.

   2. Откройте консоль управления AD FS: Tools → AD FS Management.

   3. В открывшемся окне в дереве слева нажмите Services → Certificates.

   4. Нажмите правой кнопкой мыши на сертификате в блоке Token-signing и выберите View certificate.

   5. В открывшемся окне перейдите на вкладку Details.

   6. Нажмите кнопку Copy to file.

   7. Нажмите кнопку Next.

   8. Выберите формат Base-64 encoded X.509 (.CER) и нажмите Next.

   9. Укажите, куда сохранить сертификат и с каким именем, и нажмите Next.

   10. Проверьте настройки экспорта сертификата и нажмите Finish.

   1. Подключитесь к любому серверу в ферме AD FS, откройте консоль PowerShell.

   2. Получите сертификат типа Token-Signing в формате Base64. Для этого выполните команды, указав путь, по которому нужно сохранить сертификат:

      $ADFS_CERT_PATH = "<путь_к_сертификату>/adfs_certificate.cer"
      
      $TEMP_CERT = (Get-AdfsCertificate -CertificateType Token-Signing |
                      where {$_.IsPrimary -eq $true} | Select-Object -First 1
                   ).Certificate.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert)
      
      @(
          '-----BEGIN CERTIFICATE-----'
          [System.Convert]::ToBase64String($TEMP_CERT, 'InsertLineBreaks')
          '-----END CERTIFICATE-----'
      ) | Out-File -FilePath $ADFS_CERT_PATH -Encoding ascii
      
      

      Сертификат будет сохранен под именем adfs_certificate.cer.

2. Добавьте сертификат фермы в федерацию:

   Интерфейс Cloud Center

   CLI

   API

   1. Войдите в сервис Yandex Cloud Organization.

   2. На панели слева выберите Федерации.

   3. Нажмите на строку с федерацией, для которой нужно добавить сертификат.

   4. Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.

   5. Введите название и описание сертификата.

   6. Выберите способ добавления сертификата:

      • Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
      • Чтобы вставить скопированное содержимое сертификата, выберите способ Текст и вставьте содержимое.

   7. Нажмите кнопку Добавить.

   Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

   По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

   1. Посмотрите описание команды добавления сертификата:

      yc organization-manager federation saml certificate create --help
      

   2. Добавьте сертификат для федерации, указав путь к файлу сертификата:

      yc organization-manager federation saml certificate create --federation-name my-federation \
        --name "my-certificate" \
        --certificate-file test.pem
      

   Чтобы добавить сертификат, воспользуйтесь методом create для ресурса Certificate:

   1. Сформируйте тело запроса, указав содержимое сертификата в свойстве data:

      {
        "federationId": "<ID_федерации>",
        "name": "my-certificate",
        "data": "MII...=="
      }
      

   2. Отправьте запрос на добавление сертификата:

      export IAM_TOKEN=CggaAT********
      curl -X POST \
          -H "Content-Type: application/json" \
          -H "Authorization: Bearer ${IAM_TOKEN}" \
          -d '@body.json' \
          "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/certificates"
      

Настройте ферму AD FS так, чтобы она сообщала Yandex Cloud о каждой успешной аутентификации и затем перенаправляла пользователя в консоль. Для настройки фермы потребуются сведения о федерации, которая была создана ранее.

Чтобы настроить ферму:

1. Создайте отношение доверия с проверяющей стороной.

2. Настройте Claims Mapping.

Создайте отношение доверия с проверяющей сторонойСоздайте отношение доверия с проверяющей стороной

Создайте отношение доверия с проверяющей стороной (relying party trust), чтобы Yandex Cloud мог использовать AD FS для аутентификации:

1. Подключитесь к любому серверу в ферме AD FS и откройте Server Manager.

2. Откройте консоль управления AD FS: Tools → AD FS Management.

3. В списке действий выберите Add Relying Party Trust.

   Откроется окно помощника.

4. На шаге Welcome выберите Claims aware и нажмите Start.

5. На шаге Select Data Source выберите Enter data about the relying party manually и нажмите Next.

6. На шаге Specify Display Name задайте имя, например Yandex Cloud, и нажмите Next.

7. Пропустите шаг Configure Certificate, нажав кнопку Next. Сертификаты будут настроены позднее.

8. На шаге Configure URL выберите Enable support for the SAML 2.0 WebSSO protocol и укажите ACS URL, на который пользователи будут перенаправляться после аутентификации.

   Как получить ID федерации

   1. Войдите в сервис Yandex Cloud Organization.

   2. На панели слева выберите Федерации.

   3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

   Как получить ACS URL федерации

   1. Войдите в сервис Yandex Cloud Organization.

   2. На панели слева выберите Федерации.

   3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля ACS URL.

   

   После этого нажмите Next.

9. На шаге Configure Identifiers введите в качестве идентификатора этот же URL для перенаправления и нажмите Add. После этого нажмите Next.

10. На шаге Choose Access Control Policy выберите, кому будет доступна аутентификация с помощью этой федерации. По умолчанию выбрана политика Permit for everyone, которая разрешает доступ для всех пользователей.

    Вы можете выбрать другую политику. Например, чтобы разрешить доступ только для отдельной группы пользователей, выберите Permit specific group и нажмите на слово <parameter>, чтобы выбрать, для каких групп разрешить доступ. Подробнее о политиках управления доступом.

    

    После выбора политики нажмите Next.

11. На шаге Ready to Add Trust проверьте введенные данные и нажмите Close.

12. (Опционально) Если при создании федерации в Yandex Cloud Organization вы включили опцию Подписывать запросы аутентификации, настройте связанные с этим параметры для отношения доверия:

    1. Откройте контекстное меню созданного отношения доверия и выберите пункт Properties.

       Откроется окно со свойствами отношения доверия.

    2. Перейдите на вкладку Encryption и добавьте сертификат, полученный ранее:

       1. Нажмите кнопку Browse.
       2. Выберите файл с сертификатом (например, YandexCloud.cer).

    3. Перейдите на вкладку Signature и добавьте этот же сертификат:

       1. Нажмите кнопку Add.
       2. Выберите файл с сертификатом.

    4. Нажмите кнопку OK.

    5. Включите обязательные шифрование утверждений и подпись запросов для созданного отношения доверия:

       Set-AdfsRelyingPartyTrust `
           -TargetName "Yandex Cloud" `
           -EncryptClaims $true `
           -SignedSamlRequestsRequired $true `
           -SamlResponseSignature MessageAndAssertion
       

13. (Опционально) Если при создании федерации в Yandex Cloud Organization вы включили опцию Принудительная повторная аутентификация (ForceAuthn) в IdP, то включите принудительное требование аутентификации на стороне отношения доверия:

    Set-AdfsRelyingPartyTrust `
        -TargetName "Yandex Cloud" `
        -AlwaysRequireAuthentication $true
    

Настройте Claims MappingНастройте Claims Mapping

Когда служба AD FS аутентифицирует пользователя, она отправляет в Yandex Cloud SAML-сообщение с подтверждением успешной аутентификации. Сообщение обязательно должно содержать элемент Name ID, однозначно идентифицирующий пользователя, а также может содержать другие данные пользователя (имя, электронная почта и так далее). Для этого необходимо настроить соответствие атрибутов пользователя типам исходящих утверждений (Outgoing Claim Type).

Изучите перечень данных, атрибутов и типов исходящих утвержденийИзучите перечень данных, атрибутов и типов исходящих утверждений

Данные пользователя	Комментарий	Outgoing Claim Type
Уникальный идентификатор пользователя	Обязательный атрибут. Рекомендуем использовать один из уникальных и неизменных атрибутов пользователя Active Directory: User-Principal-Name, Object-Sid, Object-Guid или адрес электронной почты.	Name ID
Перечень групп, к которым принадлежит пользователь	Этот перечень используется для сопоставления групп при аутентификации пользователя в Yandex Cloud. Используйте атрибут из семейства Token-Groups. В зависимости от выбранного атрибута формат, в котором передается перечень групп, будет разным. Например, при использовании Token-Groups - Unqualified Names будут передаваться короткие имена групп (например adfs_group, Domain Users) без указания их принадлежности к домену. Пример настройки сопоставления групп см. в разделе Сопоставление групп пользователей в Microsoft Active Directory Federation Services.	Group
Фамилия	Отображается в сервисах Yandex Cloud. Рекомендуется использовать атрибут Surname. Ограничение значения по длине: 64 символа.	Surname
Имя	Отображается в сервисах Yandex Cloud. Рекомендуется использовать атрибут Given-Name. Ограничение значения по длине: 64 символа.	Given Name
Полное имя	Отображается в сервисах Yandex Cloud. Пример: Иван Иванов. Рекомендуется использовать атрибут Display-Name. Ограничение значения по длине: 64 символа.	Name
Почта	Используется для отправки уведомлений из сервисов Yandex Cloud. Пример: ivanov@example.com Рекомендуется использовать атрибут E-Mail-Address. Ограничение значения по длине: 256 символов.	E-Mail Address
Телефон	Используется для отправки уведомлений из сервисов Yandex Cloud. Пример: +71234567890 Рекомендуется использовать атрибут Telephone-Number. Ограничение значения по длине: 64 символа.	phone
Аватар	Отображается в сервисах Yandex Cloud. Рекомендуется использовать атрибут thumbnailPhoto. Как добавить аватар. Ограничение значения по длине: 204800 символов.	thumbnailPhoto

Настройте сопоставления для атрибутов и утвержденийНастройте сопоставления для атрибутов и утверждений

Настройте сопоставления:

1. В консоли управления AD FS в блоке Relying Party Trusts нажмите правой кнопкой мыши на созданном ранее отношении доверия с проверяющей стороной и выберите Edit Claim Issuance Policy.

2. В открывшемся окне нажмите Add Rule.

3. Выберите Send LDAP Attributes as Claims и нажмите Next.

4. На следующей странице настройте, какие данные будут передаваться в сообщении:

   1. В поле Claim rule name задайте имя правила, например Claims mapping.

   2. В поле Attribute Store выберите Active Directory.

   3. Настройте сопоставление для обязательного утверждения Name ID, добавив запись в списке Mapping of LDAP attributes:

      1. Выберите тип утверждения Name ID в столбце Outgoing Claim Type.

      2. Выберите нужный атрибут в столбце LDAP Attribute.

         Вы можете выбрать либо один из рекомендуемых атрибутов, либо другой атрибут. Выбранный атрибут должен быть неизменным и уникальным, чтобы можно было однозначно идентифицировать пользователя по этому атрибуту.

         Важно

         Если значение идентификатора пользователя изменится, то для такого пользователя придется создать новую учетную запись в федерации, а доступ к прежним настройкам и данным в Yandex Cloud будет потерян.

   4. Аналогичным образом настройте сопоставление для утверждения Group, если вы используете сопоставление групп пользователей.

   5. Аналогичным образом настройте сопоставления для утверждений Name и E-Mail Address, если нужно, чтобы пользователь мог обратиться в службу технической поддержки Yandex Cloud из консоли управления.

   6. (Опционально) Аналогичным образом настройте сопоставления для других утверждений. Конкретный перечень сопоставлений зависит от того, какие данные пользователя нужно передать на сторону Yandex Cloud после прохождения аутентификации.

      Как сохранить изображение с аватаром пользователя в атрибут thumbnailPhoto

      1. Подготовьте изображения для использования в качестве аватара.

         Убедитесь, что изображение удовлетворяет требованиям:

         • Максимальный размер файла с изображением — 100 Кбайт.
         • Рекомендуемый размер файла с изображением — до 10 Кбайт, размер изображения — до 96×96 пикселей.

      2. Запустите консоль PowerShell.

      3. Подключите модуль Active Directory Module for Windows PowerShell с помощью команды:

         Import-Module ActiveDirectory
         

      4. Чтобы добавить аватар для одного пользователя, выполните команду:

         Set-ADUser <имя_пользователя> -Replace @{thumbnailPhoto=([byte[]](Get-Content "<путь_к_изображению>" -Encoding byte))}
         

      5. Чтобы массово добавить аватары для пользователей:

         1. Подготовьте CSV-файл, в котором указаны имена пользователей и пути к изображениям.

            Пример CSV-файла:

            AD_username, Photo
            smith, C:\Photo\smith.jpg
            jones, C:\Photo\jones.jpg
            

         2. Выполните команду:

            Import-Csv <путь_к_CSV-файлу> |%{Set-ADUser -Identity $_.AD_username -Replace @{thumbnailPhoto=([byte[]](Get-Content $_.Photo -Encoding byte))}}
            

      Если нужно настроить сопоставления для phone и thumbnailPhoto, то введите названия этих типов исходящих утверждений вручную в поле Outgoing Claim Type. Эти типы нельзя выбрать из выпадающего списка:

      

5. Нажмите Finish, затем нажмите OK, чтобы закрыть окно Edit Claim Issuance Policy.

Добавьте пользователей в организациюДобавьте пользователей в организацию

Если при создании федерации вы не включили опцию Автоматически создавать пользователей, федеративных пользователей нужно добавить в организацию вручную.

Для этого вам необходимо знать Name ID пользователей, которые возвращает поставщик удостоверений вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает поставщик в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.

При включенной опции Автоматически создавать пользователей в федерацию будут добавлены только пользователи, которые впервые авторизуются в облаке. Если федеративный пользователь был исключен, добавить его повторно можно только вручную.

Добавить пользователя может администратор (роль organization-manager.admin) или владелец (роль organization-manager.organizations.owner) организации. О том, как назначить пользователю роль, читайте в разделе Роли.

Чтобы добавить пользователей федерации в организацию:

Протестируйте работу аутентификацииПротестируйте работу аутентификации

Теперь, когда вы закончили настройку SSO, проверьте работу аутентификации:

1. Откройте браузер в гостевом режиме или режиме инкогнито для чистой симуляции нового пользователя.

2. Перейдите по URL для входа в консоль управления:

   https://console.yandex.cloud/federations/<ID_федерации>
   

   Как получить ID федерации

   1. Войдите в сервис Yandex Cloud Organization.

   2. На панели слева выберите Федерации.

   3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

   Браузер должен перенаправить вас на страницу аутентификации в AD FS, которая по умолчанию выглядит так:

   

3. Введите ваши данные для аутентификации. По умолчанию необходимо ввести UPN и пароль. Затем нажмите кнопку Sign in.

4. После успешной аутентификации AD FS перенаправит вас по ACS URL, который вы указали в настройках отношения доверия AD FS, а после этого — на главную страницу консоли управления. В правом верхнем углу вы можете увидеть, что вы вошли в консоль от имени аккаунта в Active Directory.

Что дальшеЧто дальше

• Назначьте роли добавленным пользователям.