Сопоставление групп пользователей в Microsoft Entra ID
- Перед началом работы
- Начните настройку приложения в Azure
- Создайте федерацию Yandex Cloud Organization
- Добавьте SAML-сертификат приложения Azure в федерацию
- Завершите настройку приложения Azure
- Настройте сопоставление групп на стороне приложения Azure
- Настройте сопоставление групп на стороне федерации
- Проверьте работу аутентификации
Вы можете использовать сервис Microsoft Entra ID (бывший Azure Active Directory) для аутентификации пользователей в организации.
Чтобы настроить сопоставление (mapping) групп пользователей в Entra ID и групп пользователей в федерации удостоверений:
- Начните настройку приложения в Azure.
- Создайте федерацию в Yandex Cloud Organization.
- Добавьте SAML-сертификат приложения в федерацию.
- Завершите настройку приложения.
- Настройте сопоставление групп на стороне приложения.
- Настройте сопоставление групп на стороне федерации.
- Проверьте работу аутентификации.
Перед началом работы
Убедитесь, что у вас есть доступ к следующим службам на портале Azure:
- Корпоративные приложения.
- Microsoft Entra ID.
Начните настройку приложения в Azure
В роли поставщика удостоверений (IdP) выступает приложение в Microsoft Azure с настроенной технологией единого входа (Single Sign-On, SSO). Чтобы создать приложение и начать его настройку:
-
В разделе Службы Azure выберите Корпоративные приложения.
-
На панели слева выберите раздел Корпоративные приложения → Все приложения.
-
Нажмите кнопку Новое приложение.
-
На странице Обзор коллекции Microsoft Entra нажмите кнопку Создайте собственное приложение.
-
В открывшемся окне:
- Введите название приложения, например
yandex-cloud-saml. - Выберите опцию Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции).
- Нажмите кнопку Создать.
После создания приложения откроется его страница.
- Введите название приложения, например
-
На панели слева выберите раздел Единый вход.
-
Выберите режим единого входа SAML.
Откроется страница Вход на основе SAML.
-
Скачайте SAML-сертификат приложения, который используется для подписи сообщений от Entra ID:
- Найдите блок Сертификаты SAML → Сертификат для подписи маркера.
- Скачайте сертификат по ссылке в поле Сертификат (Base64).
-
Сохраните реквизиты, которые потребуются в дальнейшем при настройке федерации удостоверений:
-
Найдите блок Настройка yandex-cloud-saml.
Если вы выбрали другое имя приложения, то имя блока будет отличаться от приведенного.
-
Сохраните необходимые реквизиты:
-
URL-адрес входа следующего вида:
https://login.microsoftonline.com/<идентификатор_тенанта>/saml2 -
Идентификатор Microsoft Entra следующего вида:
https://sts.windows.net/<идентификатор_тенанта>/
-
-
Примечание
Настройка входа на основе SAML для приложения будет продолжена после создания федерации удостоверений.
Не закрывайте вкладку браузера, в которой выполняется настройка.
Создайте федерацию Yandex Cloud Organization
-
Перейдите в сервис Yandex Cloud Organization.
-
На панели слева выберите Федерации.
-
В правом верхнем углу страницы нажмите кнопку Создать федерацию. В открывшемся окне:
-
Задайте имя федерации, например
demo-federation. Имя должно быть уникальным в каталоге. -
При необходимости добавьте описание.
-
В поле Время жизни cookie укажите время, в течение которого браузер не будет требовать у пользователя повторной аутентификации.
-
В поле IdP Issuer вставьте идентификатор Microsoft Entra, полученный в ходе настройки приложения Azure.
-
В поле Ссылка на страницу для входа в IdP вставьте URL-адрес входа, полученный в ходе настройки приложения Azure.
-
Включите опцию Автоматически создавать пользователей, чтобы автоматически добавлять пользователя в организацию после аутентификации. Если опция отключена, федеративных пользователей потребуется добавить вручную.
Автоматически федеративный пользователь создается только при первом входе пользователя в облако. Если вы исключили пользователя из федерации, вернуть его туда можно будет только вручную.
-
(Опционально) Чтобы все запросы аутентификации от Yandex Cloud содержали цифровую подпись, включите опцию Подписывать запросы аутентификации. Потребуется установить SAML-сертификат Yandex Cloud на стороне поставщика удостоверений.
В появившемся блоке Сертификаты SAML появится информация о действующем SAML-сертификате Yandex Cloud.
Нажмите Скачать и сохраните скачанный файл сертификата. Он потребуется для установки на ваш IdP-сервер.
Совет
Следите за сроком действия сертификатов и устанавливайте новые сертификаты до истечения срока действия используемых. Перевыпущенный SAML-сертификат Yandex Cloud необходимо заранее скачать и установить на стороне IdP-провайдера и в вашей федерации.
Скачать и установить сертификат Yandex Cloud вы можете и после создания федерации.
Сертификат потребуется в дальнейшем при настройке входа на основе SAML для приложения Azure.
-
Включите опцию Принудительная повторная аутентификация (ForceAuthn) в IdP, чтобы задать значение
trueдля параметра ForceAuthn в запросе аутентификации SAML. При включении этой опции поставщик удостоверений (Identity Provider, IdP) запрашивает у пользователя аутентификацию по истечении сессии в Yandex Cloud. -
Нажмите кнопку Создать федерацию.
-
Добавьте SAML-сертификат приложения Azure в федерацию
Чтобы при аутентификации сервис Cloud Organization мог проверить SAML-сертификат приложения, добавьте сертификат в федерацию:
-
Войдите в сервис Yandex Cloud Organization.
-
На панели слева выберите Федерации.
-
Нажмите на строку с федерацией, для которой нужно добавить сертификат —
demo-federation. -
Внизу страницы в блоке Сертификаты нажмите кнопку Добавить сертификат.
-
Введите название и описание сертификата.
-
В поле Способ выберите
Тексти вставьте содержимое полученного ранее сертификата. -
Нажмите кнопку Добавить.
Завершите настройку приложения Azure
-
Перейдите на вкладку браузера, в которой выполнялась настройка входа на основе SAML для приложения
yandex-cloud-saml. -
Укажите URL для перенаправления:
-
Найдите блок Базовая конфигурация SAML.
-
Нажмите кнопку Изменить в блоке.
-
Укажите один и тот же URL для перенаправления в полях Идентификатор (сущности) и URL-адрес ответа (URL-адрес службы обработчика утверждений).
URL для перенаправления имеет вид:
https://console.cloud.yandex.ru/federations/<идентификатор_федерации>Как получить идентификатор федерации
- Войдите в сервис Yandex Cloud Organization.
- На панели слева выберите Федерации.
- Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
-
Нажмите кнопку Сохранить на панели справа.
-
-
(Опционально) Если при создании федерации в Yandex Cloud Organization вы включили опцию Подписывать запросы аутентификации, то добавьте скачанный ранее SAML-сертификат Yandex Cloud в приложение:
-
Найдите блок Сертификаты SAML → Сертификаты для проверки (необязательно) и нажмите кнопку Изменить.
-
Включите опцию Требовать сертификаты для проверки.
-
Нажмите кнопку Отправить сертификат.
-
Загрузите нужный сертификат в формате PEM.
Если вы не скачивали SAML-сертификат при создании федерации, вы можете скачать его на странице сведений о федерации в Yandex Cloud Organization, нажав кнопку Скачать сертификат в поле Подписывать запросы аутентификации.
-
Нажмите кнопку Сохранить на панели справа.
-
-
Нажмите кнопку Сохранить.
Настройте сопоставление групп на стороне приложения Azure
Создайте пользователя
-
В разделе Службы Azure выберите Microsoft Entra ID.
-
На панели слева выберите раздел Пользователи → Все пользователи.
-
Нажмите кнопку Новый пользователь. Выберите пункт Создание нового пользователя из выпадающего меню.
-
Перейдите на вкладку Основные сведения.
-
В поле Имя субъекта-пользователя укажите логин пользователя (например
az_demo_user) в комбинации с доменом (напримерexample.com). -
В поле Псевдоним почты укажите адрес электронной почты. По умолчанию псевдоним совпадает с именем пользователя.
Вы можете указать другой псевдоним:
- Отключите опцию Сформировать на основе имени субъекта-пользователя.
- Укажите нужный псевдоним.
Например можно использовать псевдоним
ivan_ivanovдля пользователяaz_demo_user@example.com. -
В поле Отображаемое имя укажите имя пользователя, которое будет отображаться в интерфейсе, например
Ivan Ivanov. -
В поле Пароль укажите пароль пользователя, который будет использоваться при первом входе. По умолчанию пароль генерируется автоматически.
Вы можете указать пароль вручную:
- Отключите опцию Автоматическое создание пароля.
- Укажите нужный пароль.
-
Убедитесь, что опция Учетная запись включена на вкладке Основные сведения включена.
-
Нажмите кнопку Проверить и создать.
Создайте группу и добавьте в нее пользователя
-
В разделе Службы Azure выберите Microsoft Entra ID.
-
Создайте группу:
- На панели слева выберите раздел Группы → Все группы.
- Нажмите кнопку Создать группу.
- Из выпадающего списка Тип группы выберите пункт
Группа безопасности. - В поле Имя группы укажите имя группы, например
az_demo_group. - В поле Члены нажмите ссылку Нет выбранных участников.
- В открывшемся окне отметьте пользователя
az_demo_user@example.comи нажмите кнопку Выбрать. - Нажмите кнопку Создать.
-
Получите идентификатор созданной группы:
-
На панели слева выберите раздел Группы → Все группы.
-
Найдите в списке группу
az_demo_groupи скопируйте ее идентификатор из столбца ИД объекта.Идентификатор имеет вид
XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.
-
Настройте доступы для группы
Настройте приложение так, чтобы созданная группа имела к нему доступ:
- Перейдите на портал Azure.
- В разделе Службы Azure выберите Корпоративные приложения.
- На панели слева выберите раздел Корпоративные приложения → Все приложения.
- Выберите созданное ранее приложение
yandex-cloud-saml. - На панели слева выберите Пользователи и группы.
- Нажмите Добавить пользователя или группу.
- В поле Группы нажмите Не выбрано.
- В открывшемся окне отметьте группу
az_demo_groupи нажмите кнопку Выбрать. - Нажмите кнопку Назначить.
- Нажмите кнопку Сохранить.
Настройте сопоставление групп
-
В разделе Службы Azure выберите Корпоративные приложения.
-
На панели слева выберите раздел Корпоративные приложения → Все приложения.
-
Выберите созданное ранее приложение
yandex-cloud-saml. -
На панели слева выберите раздел Единый вход.
-
Найдите блок Атрибуты и утверждения и нажмите кнопку Изменить. Далее будут настроены нужные утверждения (claims).
-
Нажмите кнопку Добавить утверждение о группе.
-
В блоке Какие группы, связанные с пользователем, следует возвратить в утверждении? выберите опцию
Группы безопасности. -
Из выпадающего списка Атрибут источника выберите пункт
Идентификатор группы. -
Раскройте блок Дополнительные параметры и измените параметры:
- Включите опцию Изменение имени утверждения группы.
- В поле Имя (необязательно) введите
member.
-
Нажмите кнопку Сохранить на панели справа.
-
Нажмите кнопку Сохранить.
Настройте сопоставление групп на стороне федерации
-
Войдите в сервис Yandex Cloud Organization.
-
Создайте группу пользователей
yc-demo-groupв Cloud Organization и выдайте ей права на просмотр ресурсов в облаке или отдельном каталоге (рольviewer). -
На панели слева выберите Федерации.
-
Выберите созданную ранее федерацию
demo-federationи перейдите на вкладку IdP-группы. -
Включите опцию Маппинг групп в IdP.
-
Нажмите кнопку Добавить группу.
-
В поле Имя группы введите идентификатор группы
az_demo_group, полученный ранее в Entra ID.Важно
При настройке сопоставления групп на стороне Azure был выбран идентификатор группы в качестве атрибута источника.
Поэтому необходимо ввести именно идентификатор группы, а не ее имя.
-
В поле IAM-группа выберите из списка имя группы в Yandex Cloud Organization —
yc-demo-group. -
Нажмите кнопку Сохранить.
-
Опишите в конфигурационном файле Terraform параметры создаваемых ресурсов:
# Создание группы пользователей resource "yandex_organizationmanager_group" "my-group" { name = "yc-demo-group" organization_id = "demo-federation" } # Назначение роли viewer на каталог resource "yandex_resourcemanager_folder_iam_member" "viewers" { folder_id = "<идентификатор_каталога>" role = "viewer" member = "group:${yandex_organizationmanager_group.my-group.id}" } # Включение сопоставления групп федеративных пользователей resource "yandex_organizationmanager_group_mapping" "my_group_map" { federation_id = "demo-federation" enabled = true } # Настройка сопоставления групп федеративных пользователей resource "yandex_organizationmanager_group_mapping_item" "group_mapping_item" { federation_id = "demo-federation" internal_group_id = yandex_organizationmanager_group.my-group.id external_group_id = "<идентификатор_ группы_az_demo_group>" depends_on = [yandex_organizationmanager_group_mapping.group_mapping] }Где:
-
folder_id— каталог, на который назначается роль. -
external_group_id— идентификатор группыaz_demo_group, полученный ранее в Entra ID.Важно
При настройке сопоставления групп на стороне Azure был выбран идентификатор группы в качестве атрибута источника.
Поэтому необходимо ввести именно идентификатор группы, а не ее имя.
Подробнее см. в описаниях ресурсов yandex_organizationmanager_group_mapping и yandex_organizationmanager_group_mapping_item в документации провайдера Terraform.
-
-
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validateЕсли конфигурация является корректной, появится сообщение:
Success! The configuration is valid. -
Выполните команду:
terraform planВ терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply -
Подтвердите изменения: введите в терминале слово
yesи нажмите Enter.
-
Проверьте работу аутентификации
-
Откройте браузер в гостевом режиме или режиме инкогнито.
-
Перейдите по URL для входа в консоль:
https://console.cloud.yandex.ru/federations/<идентификатор_федерации>Как получить идентификатор федерации
- Войдите в сервис Yandex Cloud Organization.
- На панели слева выберите Федерации.
- Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.
Если все настроено правильно, браузер перенаправит вас на страницу аутентификации в Entra ID.
-
Введите реквизиты пользователя
az_demo_user@example.com, созданного ранее в Entra ID, и нажмите кнопку Sign in.После успешной аутентификации IdP-сервер перенаправит вас по URL
https://console.cloud.yandex.ru/federations/<идентификатор_федерации>, который вы указали в настройках SAML для приложения Azure, а после — на главную страницу консоли управления. -
Убедитесь, что пользователь, от имени которого был выполнен вход, входит в группу
yc-demo-groupи у него есть права на просмотр ресурсов в соответствии с ролью, назначенной для группы.