Связаться с намиПопробовать бесплатно

Создать SAML-приложение в Yandex Identity Hub для интеграции с OpenVPN Access Server

Статья создана
Обновлена 16 декабря 2025 г.

Примечание

Функциональность находится на стадии Preview.

Чтобы пользователи вашей организации могли аутентифицироваться в OpenVPN Access Server с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне OpenVPN Access Server.

ПО OpenVPN Access Server совместимо с открытой версией OpenVPN и построено на ее основе. Продукт предоставляет клиенты для Windows, Mac, Android и iOS, а также позволяет управлять подключениями с помощью веб-интерфейса.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Чтобы дать доступ пользователям вашей организации в OpenVPN Access Server:

  1. Подготовьте OpenVPN Access Server.
  2. Создайте приложение в Identity Hub.
  3. Настройте интеграцию.
  4. Убедитесь в корректной работе приложения.

Подготовьте OpenVPN Access Server

Вы можете использовать собственную установку OpenVPN Access Server, SaaS-версию или создать виртуальную машину с OpenVPN Access Server в Yandex Cloud.

Создать ВМ с OpenVPN Access Server в Yandex Cloud

  1. В консоли управления выберите каталог, в котором будет создана ВМ.

  2. В списке сервисов выберите Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите кнопку Создать виртуальную машину.

  5. В блоке Образ загрузочного диска в поле Поиск продукта введите OpenVPN Access Server и выберите образ OpenVPN Access Server.

  6. В блоке Расположение выберите зону доступности.

  7. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа к ВМ:

    • В поле Логин введите имя пользователя: yc-user.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      1. Нажмите кнопку Добавить ключ.

      2. Задайте имя SSH-ключа.

      3. Выберите вариант:

        • Ввести вручную — вставьте содержимое открытого SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

        • Загрузить из файла — загрузите открытую часть SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

        • Сгенерировать ключ — автоматическое создание пары SSH-ключей.

          При добавлении сгенерированного SSH-ключа будет создан и загружен архив с парой ключей. В ОС на базе Linux или macOS распакуйте архив в папку /home/<имя_пользователя>/.ssh. В ОС Windows распакуйте архив в папку C:\Users\<имя_пользователя>/.ssh. Дополнительно вводить открытый ключ в консоли управления не требуется.

      4. Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации. Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя внутри создаваемого ресурса.

  8. В блоке Общая информация задайте имя ВМ: vpn-server.

  9. Нажмите кнопку Создать ВМ.

  10. Появится окно с информацией о типе тарификации: BYOL (Bring Your Own License).

  11. Нажмите Создать.

Получите пароль администратора

На сервере OpenVPN заранее создан пользователь openvpn с административными правами. Пароль генерируется автоматически при создании виртуальной машины.

Получите пароль в выводе последовательного порта или в серийной консоли. Пароль отобразится в строке:

To login please use the "openvpn" account with <пароль> password.

Где <пароль> — пароль пользователя openvpn.

Для первого входа в административную панель используйте логин openvpn и полученный пароль.

Если вы не получили пароль после первого запуска сервера VPN, необходимо заново создать ВМ с OpenVPN Access Server. При перезапусках пароль не отображается.

Создайте приложение в Identity Hub

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа SAML (Security Assertion Markup Language).

    2. В поле Имя задайте имя создаваемого приложения: ovpn-app.

    3. (Опционально) В поле Описание задайте описание приложения.

    4. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    5. Нажмите Создать приложение.

  4. Сохраните значение поля Metadata URL, оно понадобится на следующем шаге.

Настройте интеграцию

Настройте аутентификацию на стороне OpenVPN Access Server

Примечание

По умолчанию на сервер установлен самоподписанный сертификат. Если вам необходимо поменять сертификат, воспользуйтесь инструкцией.

Добавьте на сервере OpenVPN способ аутентификации через SAML:

  1. Откройте в браузере административный интерфейс OpenVPN Access Server. По умолчанию он доступен по адресу https://<адрес сервера>:943/admin.
  2. Введите имя и пароль администратора OpenVPN Access Server.
  3. Нажмите кнопку Agree. Откроется главный экран административной панели OpenVPN.
  4. Разверните вкладку Authentication и выберите пункт SAML.
  5. Переведите чекбокс Enable SAML authentication в значение Yes.
  6. Разверните секцию Configure Identity Provider (IdP) Automatically via Metadata.
  7. В поле IdP Metadata URL введите адрес файла с метаданными, скопированный ранее.
  8. Нажмите кнопку Get.
  9. Нажмите кнопку Save settings.
  10. Скопируйте значения SP Identity и SP ACS на этой странице. 
    These URLs depend on the hostname setting your current setting of '<адрес сервера>'.
   SP Identity: https://<адрес сервера>/saml/metadata
   SP ACS: https://<адрес сервера>/saml/acs
  11. Разверните вкладку Authentication и выберите пункт Settings.
  12. В секции Default Authentication System выберите значение SAML.
  13. Нажмите кнопку Save settings.
  14. Нажмите кнопку Update running server.

Настройте SAML-приложение на стороне Yandex Identity Hub

Настройте эндпоинты поставщика услуг

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.
  3. Справа сверху нажмите Редактировать и в открывшемся окне:
    1. В поле SP EntityID вставьте адрес SP Identity, скопированный ранее.
    2. В поле ACS URL вставьте адрес SP ACS, скопированный ранее.
    3. Нажмите Сохранить.

Добавьте пользователя

Чтобы пользователи вашей организации могли аутентифицироваться в OpenVPN Access Server с помощью SAML-приложения Identity Hub, необходимо явно добавить в SAML-приложение нужных пользователей и/или группы пользователей.

Примечание

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена роль organization-manager.samlApplications.userAdmin или выше.

  1. Добавьте пользователей в приложение:

    1. Войдите в сервис Yandex Identity Hub.
    2. На панели слева выберите Приложения и выберите нужное приложение.
    3. Перейдите на вкладку Пользователи и группы.
    4. Нажмите Добавить пользователей.
    5. В открывшемся окне выберите нужного пользователя или группу пользователей.
    6. Нажмите Добавить.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе SAML-приложения и интеграции с OpenVPN Access Server, выполните аутентификацию в Access Server от имени одного из добавленных в приложение пользователей. Для этого:

  1. В браузере перейдите в клиентский интерфейс OpenVPN Access Server. По умолчанию он доступен по адресу https://<адрес сервера>:943/.
  2. На странице аутентификации нажмите Sign In With SAML.
  3. На странице аутентификации Yandex Cloud укажите почту и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.
  4. Убедитесь, что вы аутентифицировались в OpenVPN Access Server.
Предыдущая
SonarQube
Следующая
Организация