Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Практические руководства
    • Все руководства
    • Разграничение прав доступа для групп пользователей
    • Создание L7-балансировщика с профилем безопасности Smart Web Security через Ingress-контроллер Application Load Balancer
    • Централизованная публикация в интернете и защита приложений от DDoS
    • Передача логов с виртуальной машины в Cloud Logging
    • Запись логов балансировщика в PostgreSQL
    • Безопасное хранение паролей для GitLab CI в виде секретов Yandex Lockbox
    • Сервисный аккаунт с профилем OS Login для управления ВМ с помощью Ansible
    • Передача логов с Container Optimized Image в Cloud Logging
    • Добавление HTML-страницы для работы SmartCaptcha
    • Создание L7-балансировщика с профилем безопасности
    • Настройка алертов в Monitoring
    • Загрузка аудитных логов в MaxPatrol SIEM
    • Загрузка аудитных логов в SIEM Splunk
    • Загрузка аудитных логов в SIEM ArcSight
      • Аутентификация с помощью Active Directory
      • Аутентификация с помощью Google Workspace
      • Аутентификация с помощью Microsoft Entra ID
      • Аутентификация с помощью Keycloak
        • Сопоставление групп пользователей в Active Directory Federation Services
        • Сопоставление групп пользователей в Microsoft Entra ID
        • Сопоставление групп пользователей в Keycloak
    • Шифрование для бакета Object Storage на стороне сервера
    • Шифрование секретов в HashiCorp Terraform
    • Управление ключами KMS с HashiCorp Terraform
    • Auto Unseal в HashiCorp Vault
    • Передача логов кластера Managed Service for Greenplum® в Yandex Cloud Logging

В этой статье:

  • Перед началом работы
  • Начните настройку приложения в Azure
  • Создайте федерацию Yandex Cloud Organization
  • Добавьте SAML-сертификат приложения Azure в федерацию
  • Завершите настройку приложения Azure
  • Настройте сопоставление групп на стороне приложения Azure
  • Создайте пользователя
  • Создайте группу и добавьте в нее пользователя
  • Настройте доступы для группы
  • Настройте сопоставление групп
  • Настройте сопоставление групп на стороне федерации
  • Проверьте работу аутентификации
  1. Безопасность
  2. Управление федерациями удостоверений
  3. Сопоставление групп пользователей
  4. Сопоставление групп пользователей в Microsoft Entra ID

Сопоставление групп пользователей в Microsoft Entra ID

Статья создана
Yandex Cloud
Обновлена 26 марта 2025 г.
  • Перед началом работы
  • Начните настройку приложения в Azure
  • Создайте федерацию Yandex Cloud Organization
  • Добавьте SAML-сертификат приложения Azure в федерацию
  • Завершите настройку приложения Azure
  • Настройте сопоставление групп на стороне приложения Azure
    • Создайте пользователя
    • Создайте группу и добавьте в нее пользователя
    • Настройте доступы для группы
    • Настройте сопоставление групп
  • Настройте сопоставление групп на стороне федерации
  • Проверьте работу аутентификации

Вы можете использовать сервис Microsoft Entra ID (бывший Azure Active Directory) для аутентификации пользователей в организации.

Чтобы настроить сопоставление (mapping) групп пользователей в Entra ID и групп пользователей в федерации удостоверений:

  1. Начните настройку приложения в Azure.
  2. Создайте федерацию в Yandex Cloud Organization.
  3. Добавьте SAML-сертификат приложения в федерацию.
  4. Завершите настройку приложения.
  5. Настройте сопоставление групп на стороне приложения.
  6. Настройте сопоставление групп на стороне федерации.
  7. Проверьте работу аутентификации.

Перед началом работыПеред началом работы

Убедитесь, что у вас есть доступ к следующим службам на портале Azure:

  • Корпоративные приложения.
  • Microsoft Entra ID.

Начните настройку приложения в AzureНачните настройку приложения в Azure

В роли поставщика удостоверений (IdP) выступает приложение в Microsoft Azure с настроенной технологией единого входа (Single Sign-On, SSO). Чтобы создать приложение и начать его настройку:

  1. Перейдите на портал Azure.

  2. В разделе Службы Azure выберите Корпоративные приложения.

  3. На панели слева выберите раздел Корпоративные приложения → Все приложения.

  4. Нажмите кнопку Новое приложение.

  5. На странице Обзор коллекции Microsoft Entra нажмите кнопку Создайте собственное приложение.

  6. В открывшемся окне:

    1. Введите название приложения, например yandex-cloud-saml.
    2. Выберите опцию Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции).
    3. Нажмите кнопку Создать.

    После создания приложения откроется его страница.

  7. На панели слева выберите раздел Единый вход.

  8. Выберите режим единого входа SAML.

    Откроется страница Вход на основе SAML.

  9. Скачайте SAML-сертификат приложения, который используется для подписи сообщений от Entra ID:

    1. Найдите блок Сертификаты SAML → Сертификат для подписи маркера.
    2. Скачайте сертификат по ссылке в поле Сертификат (Base64).
  10. Сохраните реквизиты, которые потребуются в дальнейшем при настройке федерации удостоверений:

    1. Найдите блок Настройка yandex-cloud-saml.

      Если вы выбрали другое имя приложения, то имя блока будет отличаться от приведенного.

    2. Сохраните необходимые реквизиты:

      • URL-адрес входа следующего вида:

        https://login.microsoftonline.com/<идентификатор_тенанта>/saml2
        
      • Идентификатор Microsoft Entra следующего вида:

        https://sts.windows.net/<идентификатор_тенанта>/
        

Примечание

Настройка входа на основе SAML для приложения будет продолжена после создания федерации удостоверений.

Не закрывайте вкладку браузера, в которой выполняется настройка.

Создайте федерацию Yandex Cloud OrganizationСоздайте федерацию Yandex Cloud Organization

Интерфейс Cloud Center
  1. Перейдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Федерации.

  3. В правом верхнем углу страницы нажмите кнопку Создать федерацию. В открывшемся окне:

    1. Задайте имя федерации, например demo-federation. Имя должно быть уникальным в каталоге.

    2. При необходимости добавьте описание.

    3. В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.

    4. В поле IdP Issuer вставьте идентификатор Microsoft Entra, полученный в ходе настройки приложения Azure.

    5. В поле Ссылка на страницу для входа в IdP вставьте URL-адрес входа, полученный в ходе настройки приложения Azure.

    6. Включите опцию Автоматически создавать пользователей, чтобы автоматически добавлять пользователя в организацию после аутентификации. Если опция отключена, федеративных пользователей потребуется добавить вручную.

      Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.

    7. (Опционально) Чтобы все запросы аутентификации от Yandex Cloud содержали цифровую подпись, включите опцию Подписывать запросы аутентификации. Потребуется установить SAML-сертификат Yandex Cloud на стороне поставщика удостоверений.

      В появившемся блоке Сертификаты SAML появится информация о действующем SAML-сертификате Yandex Cloud.

      Нажмите Скачать и сохраните скачанный файл сертификата. Он потребуется для установки на ваш IdP-сервер.

      Совет

      Следите за сроком действия сертификатов и устанавливайте новые сертификаты до истечения срока действия используемых. Перевыпущенный SAML-сертификат Yandex Cloud необходимо заранее скачать и установить на стороне IdP-провайдера и в вашей федерации.

      Скачать и установить сертификат Yandex Cloud вы можете и после создания федерации.

      Сертификат потребуется в дальнейшем при настройке входа на основе SAML для приложения Azure.

    8. Включите опцию Принудительная повторная аутентификация (ForceAuthn) в IdP, чтобы задать значение true для параметра ForceAuthn в запросе аутентификации SAML. При включении этой опции поставщик удостоверений (Identity Provider, IdP) запрашивает у пользователя аутентификацию по истечении сессии в Yandex Cloud.

    9. Нажмите кнопку Создать федерацию.

Добавьте SAML-сертификат приложения Azure в федерациюДобавьте SAML-сертификат приложения Azure в федерацию

Чтобы при аутентификации сервис Cloud Organization мог проверить SAML-сертификат приложения, добавьте сертификат в федерацию:

Интерфейс Cloud Center
  1. Войдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Федерации.

  3. Нажмите на строку с федерацией, для которой нужно добавить сертификат — demo-federation.

  4. Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.

  5. Введите название и описание сертификата.

  6. В поле Способ выберите Текст и вставьте содержимое полученного ранее сертификата.

  7. Нажмите кнопку Добавить.

Завершите настройку приложения AzureЗавершите настройку приложения Azure

  1. Перейдите на вкладку браузера, в которой выполнялась настройка входа на основе SAML для приложения yandex-cloud-saml.

  2. Укажите URL для перенаправления:

    1. Найдите блок Базовая конфигурация SAML.

    2. Нажмите кнопку Изменить в блоке.

    3. Укажите один и тот же URL для перенаправления в полях Идентификатор (сущности) и URL-адрес ответа (URL-адрес службы обработчика утверждений).

      URL для перенаправления имеет вид:

      https://console.cloud.yandex.ru/federations/<идентификатор_федерации>
      
      Как получить идентификатор федерации
      1. Войдите в сервис Yandex Cloud Organization.
      2. На панели слева выберите Федерации.
      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
    4. Нажмите кнопку Сохранить на панели справа.

  3. (Опционально) Если при создании федерации в Yandex Cloud Organization вы включили опцию Подписывать запросы аутентификации, то добавьте скачанный ранее SAML-сертификат Yandex Cloud в приложение:

    1. Найдите блок Сертификаты SAML → Сертификаты для проверки (необязательно) и нажмите кнопку Изменить.

    2. Включите опцию Требовать сертификаты для проверки.

    3. Нажмите кнопку Отправить сертификат.

    4. Загрузите нужный сертификат в формате PEM.

      Если вы не скачивали SAML-сертификат при создании федерации, вы можете скачать его на странице сведений о федерации в Yandex Cloud Organization, нажав кнопку Скачать сертификат в поле Подписывать запросы аутентификации.

    5. Нажмите кнопку Сохранить на панели справа.

  4. Нажмите кнопку Сохранить.

Настройте сопоставление групп на стороне приложения AzureНастройте сопоставление групп на стороне приложения Azure

Создайте пользователяСоздайте пользователя

  1. Перейдите на портал Azure.

  2. В разделе Службы Azure выберите Microsoft Entra ID.

  3. На панели слева выберите раздел Пользователи → Все пользователи.

  4. Нажмите кнопку Новый пользователь. Выберите пункт Создание нового пользователя из выпадающего меню.

  5. Перейдите на вкладку Основные сведения.

  6. В поле Имя субъекта-пользователя укажите логин пользователя (например az_demo_user) в комбинации с доменом (например example.com).

  7. В поле Псевдоним почты укажите адрес электронной почты. По умолчанию псевдоним совпадает с именем пользователя.

    Вы можете указать другой псевдоним:

    1. Отключите опцию Сформировать на основе имени субъекта-пользователя.
    2. Укажите нужный псевдоним.

    Например можно использовать псевдоним ivan_ivanov для пользователя az_demo_user@example.com.

  8. В поле Отображаемое имя укажите имя пользователя, которое будет отображаться в интерфейсе, например Ivan Ivanov.

  9. В поле Пароль укажите пароль пользователя, который будет использоваться при первом входе. По умолчанию пароль генерируется автоматически.

    Вы можете указать пароль вручную:

    1. Отключите опцию Автоматическое создание пароля.
    2. Укажите нужный пароль.
  10. Убедитесь, что опция Учетная запись включена на вкладке Основные сведения включена.

  11. Нажмите кнопку Проверить и создать.

Создайте группу и добавьте в нее пользователяСоздайте группу и добавьте в нее пользователя

  1. Перейдите на портал Azure.

  2. В разделе Службы Azure выберите Microsoft Entra ID.

  3. Создайте группу:

    1. На панели слева выберите раздел Группы → Все группы.
    2. Нажмите кнопку Создать группу.
    3. Из выпадающего списка Тип группы выберите пункт Группа безопасности.
    4. В поле Имя группы укажите имя группы, например az_demo_group.
    5. В поле Члены нажмите ссылку Нет выбранных участников.
    6. В открывшемся окне отметьте пользователя az_demo_user@example.com и нажмите кнопку Выбрать.
    7. Нажмите кнопку Создать.
  4. Получите идентификатор созданной группы:

    1. На панели слева выберите раздел Группы → Все группы.

    2. Найдите в списке группу az_demo_group и скопируйте ее идентификатор из столбца ИД объекта.

      Идентификатор имеет вид XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.

Настройте доступы для группыНастройте доступы для группы

Настройте приложение так, чтобы созданная группа имела к нему доступ:

  1. Перейдите на портал Azure.
  2. В разделе Службы Azure выберите Корпоративные приложения.
  3. На панели слева выберите раздел Корпоративные приложения → Все приложения.
  4. Выберите созданное ранее приложение yandex-cloud-saml.
  5. На панели слева выберите Пользователи и группы.
  6. Нажмите Добавить пользователя или группу.
  7. В поле Группы нажмите Не выбрано.
  8. В открывшемся окне отметьте группу az_demo_group и нажмите кнопку Выбрать.
  9. Нажмите кнопку Назначить.
  10. Нажмите кнопку Сохранить.

Настройте сопоставление группНастройте сопоставление групп

  1. Перейдите на портал Azure.

  2. В разделе Службы Azure выберите Корпоративные приложения.

  3. На панели слева выберите раздел Корпоративные приложения → Все приложения.

  4. Выберите созданное ранее приложение yandex-cloud-saml.

  5. На панели слева выберите раздел Единый вход.

  6. Найдите блок Атрибуты и утверждения и нажмите кнопку Изменить. Далее будут настроены нужные утверждения (claims).

  7. Нажмите кнопку Добавить утверждение о группе.

  8. В блоке Какие группы, связанные с пользователем, следует возвратить в утверждении? выберите опцию Группы безопасности.

  9. Из выпадающего списка Атрибут источника выберите пункт Идентификатор группы.

  10. Раскройте блок Дополнительные параметры и измените параметры:

    1. Включите опцию Изменение имени утверждения группы.
    2. В поле Имя (необязательно) введите member.
  11. Нажмите кнопку Сохранить на панели справа.

  12. Нажмите кнопку Сохранить.

Настройте сопоставление групп на стороне федерацииНастройте сопоставление групп на стороне федерации

Интерфейс Cloud Center
Terraform
  1. Войдите в сервис Yandex Cloud Organization.

  2. Создайте группу пользователей yc-demo-group в Cloud Organization и выдайте ей права на просмотр ресурсов в облаке или отдельном каталоге (роль viewer).

  3. На панели слева выберите Федерации.

  4. Выберите созданную ранее федерацию demo-federation и перейдите на вкладку IdP-группы.

  5. Включите опцию Маппинг групп в IdP.

  6. Нажмите кнопку Добавить группу.

  7. В поле Имя группы введите идентификатор группы az_demo_group, полученный ранее в Entra ID.

    Важно

    При настройке сопоставления групп на стороне Azure был выбран идентификатор группы в качестве атрибута источника.

    Поэтому необходимо ввести именно идентификатор группы, а не ее имя.

  8. В поле IAM-группа выберите из списка имя группы в Yandex Cloud Organization — yc-demo-group.

  9. Нажмите кнопку Сохранить.

  1. Опишите в конфигурационном файле Terraform параметры создаваемых ресурсов:

    # Создание группы пользователей
    resource "yandex_organizationmanager_group" "my-group" {
      name            = "yc-demo-group"
      organization_id = "demo-federation"
    }
    
    # Назначение роли viewer на каталог
    resource "yandex_resourcemanager_folder_iam_member" "viewers" {
      folder_id = "<идентификатор_каталога>"
      role      = "viewer"
      member    = "group:${yandex_organizationmanager_group.my-group.id}"
    }
    
    # Включение сопоставления групп федеративных пользователей
    resource "yandex_organizationmanager_group_mapping" "my_group_map" {
      federation_id = "demo-federation"
      enabled       = true
    }
    
    # Настройка сопоставления групп федеративных пользователей
    resource "yandex_organizationmanager_group_mapping_item" "group_mapping_item" {
      federation_id     = "demo-federation"
      internal_group_id = yandex_organizationmanager_group.my-group.id
      external_group_id = "<идентификатор_ группы_az_demo_group>"
    
      depends_on = [yandex_organizationmanager_group_mapping.group_mapping]
    }
    

    Где:

    • folder_id — каталог, на который назначается роль.

    • external_group_id — идентификатор группы az_demo_group, полученный ранее в Entra ID.

      Важно

      При настройке сопоставления групп на стороне Azure был выбран идентификатор группы в качестве атрибута источника.

      Поэтому необходимо ввести именно идентификатор группы, а не ее имя.

    Подробнее см. в описаниях ресурсов yandex_organizationmanager_group_mapping и yandex_organizationmanager_group_mapping_item в документации провайдера Terraform.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      
    3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply
      
    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

Проверьте работу аутентификацииПроверьте работу аутентификации

  1. Откройте браузер в гостевом режиме или режиме инкогнито.

  2. Перейдите по URL для входа в консоль:

    https://console.cloud.yandex.ru/federations/<идентификатор_федерации>
    
    Как получить идентификатор федерации
    1. Войдите в сервис Yandex Cloud Organization.
    2. На панели слева выберите Федерации.
    3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

    Если все настроено правильно, браузер перенаправит вас на страницу аутентификации в Entra ID.

  3. Введите реквизиты пользователя az_demo_user@example.com, созданного ранее в Entra ID, и нажмите кнопку Sign in.

    После успешной аутентификации IdP-сервер перенаправит вас по URL https://console.cloud.yandex.ru/federations/<идентификатор_федерации>, который вы указали в настройках SAML для приложения Azure, а после — на главную страницу консоли управления.

  4. Убедитесь, что пользователь, от имени которого был выполнен вход, входит в группу yc-demo-group и у него есть права на просмотр ресурсов в соответствии с ролью, назначенной для группы.

Была ли статья полезна?

Предыдущая
Сопоставление групп пользователей в Active Directory Federation Services
Следующая
Сопоставление групп пользователей в Keycloak
Проект Яндекса
© 2025 ООО «Яндекс.Облако»