Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Создать SAML-приложение в Yandex Identity Hub для интеграции с Пассворк

Статья создана
Обновлена 8 июня 2026 г.

Пассворк — это корпоративная платформа, предназначенная для безопасного и надежного хранения секретов (паролей, ключей, токенов и т.п.), управления секретами, а также автоматизации доступа сотрудников организации к секретам. Пассворк поддерживает SAML-аутентификацию для обеспечения безопасного единого входа пользователей организации.

Чтобы пользователи вашей организации могли аутентифицироваться в Пассворк с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Yandex Identity Hub и настройте его на стороне Yandex Identity Hub и на стороне Пассворк.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Чтобы предоставить пользователям вашей организации доступ в Пассворк:

  1. Создайте SAML-приложение в Yandex Identity Hub.
  2. Настройте интеграцию Yandex Identity Hub с Пассворк.
  3. Убедитесь в корректной работе приложения.

Создайте приложение

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа SAML (Security Assertion Markup Language).

    2. В поле Имя задайте имя создаваемого приложения: passwork-app.

    3. (Опционально) В поле Описание задайте описание приложения.

    4. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    5. Нажмите Создать приложение.

Сохраните настройки поставщика удостоверений

На открывшейся странице с информацией о вновь созданном SAML-приложении passwork-app скопируйте и сохраните настройки, необходимые для установления отношений доверия между поставщиком удостоверений и поставщиком услуг на стороне Пассворк:

  1. В блоке Конфигурация поставщика удостоверений (IdP) скопируйте и сохраните значения следующих полей:

    • Issuer / IdP EntityID;
    • Login URL;
    • Logout URL.

  2. В блоке Сертификат приложения нажмите кнопку Скачать сертификат, чтобы скачать сертификат вашего SAML-приложения.

Сохраненные значения понадобятся позднее при настройке интеграции на стороне Пассворк.

Настройте интеграцию

Чтобы настроить интеграцию Пассворк с созданным SAML-приложением в Yandex Identity Hub, выполните настройки на стороне Пассворк и на стороне Yandex Identity Hub.

Настройте SAML-приложение на стороне Пассворк

Примечание

Настройку SAML-приложения в Пассворк может выполнять пользователь с ролью администратора или владельца аккаунта.

  1. Аутентифицируйтесь в аккаунте Пассворк от имени владельца или администратора.

  2. В верхней части экрана нажмите Настройки и пользователи и в появившемся списке выберите Настройки SSO. В открывшемся окне:

    • В блоке Общие настройки включите опции:

      • Включить SSO;
      • Автоматически подтверждать новых пользователей из SSO.

    • В блоке Атрибуты пользователя укажите имена атрибутов пользователей:

      • в поле Атрибут для электронной почтыemailaddress;
      • в поле Атрибут для полного имениfullname.

    • В блоке Поставщик удостоверений → Пассворк укажите скопированные ранее (в приложении passwork-app) и сохраненные значения настроек:

      • в поле Идентификатор (Entity ID) укажите значение из поля Issuer / IdP EntityID приложения passwork-app;
      • в поле URL ответа (URL службы обработчика утверждений) — значение из поля Login URL;
      • в поле URL выхода — значение из поля Logout URL;
      • в поле Сертификат вставьте содержимое скачанного в приложении passwork-app сертификата.

  3. В блоке Пассворк → Поставщик удостоверений скопируйте и сохраните значения настроек, необходимые для установления отношений доверия между поставщиком удостоверений и поставщиком услуг на стороне Yandex Identity Hub:

    • Идентификатор (Entity ID);
    • URL ответа (URL службы обработчика утверждений);
    • URL выхода.

  4. Нажмите кнопку Сохранить настройки, чтобы сохранить заданные параметры единого входа.

Настройте SAML-приложение на стороне Yandex Identity Hub

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите созданное ранее SAML-приложение passwork-app.
  3. Справа сверху нажмите Редактировать и в открывшемся окне:
    1. В поле SP EntityID укажите значение, скопированное ранее из поля Идентификатор (Entity ID) на стороне Пассворк.
    2. В поле ACS URL — значение, скопированное из поля URL ответа (URL службы обработчика утверждений).
    3. В поле SP Logout URL — значение, скопированное из поля URL выхода.
    4. Нажмите Сохранить.

Добавьте пользователей в SAML-приложение Yandex Identity Hub

Чтобы пользователи вашей организации могли аутентифицироваться в Пассворк с помощью SAML-приложения Yandex Identity Hub, необходимо явно добавить в это приложение нужных пользователей и/или группы пользователей:

Примечание

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена роль organization-manager.samlApplications.userAdmin или выше.

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное приложение.
  3. Перейдите на вкладку Пользователи и группы.
  4. Нажмите Добавить пользователей.
  5. В открывшемся окне выберите нужных пользователей или группы пользователей.
  6. Нажмите Добавить.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе SAML-приложения и интеграции с Пассворк, выполните аутентификацию в Пассворк от имени одного из добавленных в приложение пользователей. Для этого:

  1. В браузере перейдите по адресу вашего экземпляра Пассворк (например, https://my-domain.passwork-cloud.ru).

  2. Если вы уже авторизованы в Пассворк, выйдите из профиля.

  3. На странице аутентификации Пассворк нажмите Войти через SSO.

  4. На странице аутентификации Yandex Cloud укажите адрес электронной почты и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.

    Если вы аутентифицируетесь от имени пользователя с аккаунтом на Яндексе, пройдите аутентификацию в Яндекс ID удобным вам способом.

  5. Задайте мастер-пароль для нового пользователя, добавляемого в Пассворк.

  6. Убедитесь, что вы аутентифицировались в Пассворк. В результате новый пользователь появится в настройках вашего экземпляра Пассворк, и вы сможете настраивать для него права на просмотр и управление секретами.

Предыдущая
Настройка единого входа в Zabbix по стандарту SAML
Следующая
Настройка единого входа в Яндекс 360 по стандарту SAML