Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Создать OIDC-приложение в Yandex Identity Hub для интеграции с MWS

Статья создана
Улучшена
Обновлена 4 марта 2026 г.

МТС Web Services (MWS) — это экосистема сервисов и платформенных решений для построения IT-инфраструктуры и управления ею. MWS поддерживает OpenID Connect (OIDC) аутентификацию для обеспечения безопасного единого входа пользователей организации.

Чтобы пользователи вашей организации могли аутентифицироваться в MWS с помощью технологии единого входа по стандарту OpenID Connect, создайте OIDC-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне MWS.

Управлять OIDC-приложениями может пользователь, которому назначена роль organization-manager.oauthApplications.admin или выше.

Чтобы дать доступ пользователям вашей организации в MWS:

  1. Создайте аккаунт в MWS.
  2. Создайте приложение.
  3. Настройте интеграцию.
  4. Убедитесь в корректной работе приложения.

Создайте аккаунт в MWS

Если у вас нет аккаунта в MWS, создайте его:

  1. На странице входа в консоль MWS нажмите кнопку Войти через МТС ID.
  2. Создайте аккаунт МТС ID:
    • Введите номер телефона. Номер будет привязан к аккаунту, и его нельзя будет заменить.
    • Введите код подтверждения из СМС.
  3. Создайте аккаунт MWS:
    • Введите email, который будет привязан к вашему аккаунту MWS.
    • Нажмите кнопку Далее.
    • Подтвердите регистрацию, перейдя в письме по ссылке Подтвердить почту.
    • Примите условия пользовательского соглашения и нажмите кнопку Войти в консоль.
  4. В меню слева перейдите в Организация, затем в Об организации.
  5. Сохраните ID вашей организации MWS (например, organization-test), который потребуется для настройки интеграции.

Создайте приложение

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:
    1. Выберите метод единого входа OIDC (OpenID Connect).
    2. В поле Имя задайте имя создаваемого приложения: mws-oidc-app.
    3. В поле Каталог выберите каталог, в котором будет создан OAuth-клиент для приложения.
    4. (Опционально) В поле Описание задайте описание приложения.
    5. (Опционально) Добавьте метки:
      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.
    6. Нажмите Создать приложение.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания OIDC-приложения:

    yc organization-manager idp application oauth application create --help

  2. Создайте OAuth-клиент:

    yc iam oauth-client create \
  --name mws-oauth-client \
  --scopes openid,email,profile

    Где:

    • --name — имя OAuth-клиента.
    • --scopes — набор атрибутов пользователей, которые будут доступны MWS. Указаны атрибуты:
      • openid — идентификатор пользователя. Обязательный атрибут.
      • email — адрес электронной почты пользователя.
      • profile — дополнительная информация о пользователе, такая как имя, фамилия, аватар.

    Результат:

    id: ajeqqip130i1********
name: mws-oauth-client
folder_id: b1g500m2195v********
status: ACTIVE

    Сохраните значение поля id, оно понадобится для создания и настройки приложения.

  3. Создайте секрет для OAuth-клиента:

    yc iam oauth-client-secret create \
  --oauth-client-id <идентификатор_OAuth-клиента>

    Результат:

    oauth_client_secret:
  id: ajeq9jfrmc5t********
  oauth_client_id: ajeqqip130i1********
  masked_secret: yccs__939233b8ac****
  created_at: "2025-10-21T10:14:17.861652377Z"
secret_value: yccs__939233b8ac********

    Сохраните значение поля secret_value, оно понадобится для настройки MWS.

  4. Создайте OIDC-приложение:

    yc organization-manager idp application oauth application create \
  --organization-id <идентификатор_организации> \
  --name mws-oidc-app \
  --description "OIDC-приложение для интеграции с MWS" \
  --client-id <идентификатор_OAuth-клиента> \
  --authorized-scopes openid,email,profile \
  --group-distribution-type none

    Где:

    • --organization-idидентификатор организации, в которой нужно создать OIDC-приложение. Обязательный параметр.
    • --name — имя OIDC-приложения. Обязательный параметр.
    • --description — описание OIDC-приложения. Необязательный параметр.
    • --client-id — идентификатор OAuth-клиента, полученный на втором шаге. Обязательный параметр.
    • --authorized-scopes — укажите те же атрибуты, которые были указаны при создании OAuth-клиента.
    • --group-distribution-type — укажите none, так как группы пользователей не передаются в MWS.

    Результат:

    id: ek0o663g4rs2********
name: mws-oidc-app
organization_id: bpf2c65rqcl8********
group_claims_settings:
  group_distribution_type: NONE
client_grant:
  client_id: ajeqqip130i1********
  authorized_scopes:
    - openid
    - email
    - profile
status: ACTIVE
created_at: "2025-10-21T10:51:28.790866Z"
updated_at: "2025-10-21T12:37:19.274522Z"

Настройте интеграцию

Чтобы настроить интеграцию MWS с созданным OIDC-приложением в Identity Hub, выполните настройки на стороне MWS и на стороне Identity Hub.

Получите учетные данные приложения

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.
  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) разверните секцию Дополнительные атрибуты и скопируйте значение параметра ClientID, которое необходимо задать на стороне MWS.

  4. В блоке Секреты приложения нажмите кнопку Добавить секрет и в открывшемся окне:

    1. (Опционально) Добавьте произвольное описание создаваемого секрета.
    2. Нажмите Создать.

    В окне отобразится сгенерированный секрет приложения. Сохраните полученное значение.

    Важно

    После обновления или закрытия страницы с информацией о приложении посмотреть секрет будет невозможно.

    Если вы закрыли или обновили страницу, не сохранив сгенерированный секрет, используйте кнопку Добавить секрет, чтобы создать новый.

    Чтобы удалить секрет, в списке секретов на странице OIDC-приложения в строке с нужным секретом нажмите значок и выберите Удалить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Получите информацию о созданном OIDC-приложении:

    yc organization-manager idp application oauth application get <идентификатор_приложения>

    Где <идентификатор_приложения> — это ID OIDC-приложения, полученный при создании.

    В результате вы получите информацию о приложении, включая:

    id: ek0o663g4rs2********
name: mws-oidc-app
organization_id: bpf2c65rqcl8********
client_grant:
  client_id: ajeqqip130i1********
  authorized_scopes:
    - openid
    - email
    - profile

    Сохраните значение client_id — это Client ID для настройки MWS.

  2. Используйте секрет OAuth-клиента, который был сохранен при создании приложения на предыдущем шаге. Если вы не сохранили секрет, создайте новый:

    yc iam oauth-client-secret create \
  --oauth-client-id <идентификатор_OAuth-клиента>

    Сохраните значение secret_value из результата команды — это Client Secret для настройки MWS.

Настройте приложение на стороне MWS

Чтобы настроить аутентификацию по стандарту OIDC на стороне MWS, вам потребуется создать и настроить федерацию, а затем настроить OIDC-клиент на стороне MWS.

Настройте федерацию

  1. Войдите в консоль вашей организации.
  2. В левой панели выберите раздел Федерации.
  3. Нажмите кнопку Создать.
  4. Настройте федерацию:

    1. Задайте имя федерации. Сохраните ID федерации (например, federation-test), который потребуется для настройки интеграции.

    2. (Опционально) Выберите роли, которые будут назначены пользователям, авторизованным через федерацию.

      Примечание

      Подробнее о настройке ролей федеративных пользователей вы можете прочитать в документации MWS.

    3. Укажите время сессии, по истечении которой пользователю необходимо будет повторно авторизоваться.

    4. (Опционально) Введите описание федерации.

  5. Нажмите кнопку Создать.

Настройте OIDC-клиент

  1. После создания федерации нажмите кнопку Добавить IdP.
  2. (Опционально) Введите описание провайдера.
  3. Нажмите кнопку Далее.
  4. В поле Issuer введите https://auth.yandex.cloud, затем нажмите кнопку Загрузить. Конфигурация заполнится автоматически.
  5. В поле Client ID введите значение, скопированное ранее из поля ClientID.
  6. В поле Client Secret введите сгенерированный ранее секрет приложения.
  7. В блоке Способ получения данных выберите значение Token Endpoint и UserInfo Endpoint и нажмите Далее.
  8. Напротив атрибута mws.subject в поле IdP введите preferred_username и нажмите Далее.
  9. Проверьте конфигурацию и нажмите Создать.
  10. После завершения настройки снова выберите добавленный IdP в разделе Федерации, после чего сохраните ID провайдера (например, -testprov), который потребуется для настройки интеграции.

Настройте Redirect URI

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.
  3. Справа сверху нажмите Редактировать и в открывшемся окне:

    1. В поле Redirect URI укажите эндпоинт аутентификации для вашей федерации MWS в формате:

      https://auth.mws.ru/api/iam/v1/organizations/<идентификатор_организации>/userFederations/<идентификатор_созданной_федерации>/providers/<идентификатор_провайдера>/login-callback

      Например:

      https://auth.mws.ru/api/iam/v1/organizations/organization-test/userFederations/federation-test/providers/-testprov/login-callback

    2. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Обновите OAuth-клиент, указав Redirect URI:

yc iam oauth-client update \
  --id <идентификатор_OAuth-клиента> \
  --redirect-uris "https://auth.mws.ru/api/iam/v1/organizations/<идентификатор_организации>/userFederations/<идентификатор_созданной_федерации>/providers/<идентификатор_провайдера>/login-callback"

Где:

  • <идентификатор_OAuth-клиента> — идентификатор OAuth-клиента, полученный при его создании.

  • --redirect-uris — эндпоинт аутентификации для вашей федерации MWS. Например:

    https://auth.mws.ru/api/iam/v1/organizations/organization-test/userFederations/federation-test/providers/-testprov/login-callback

Результат:

id: ajeiu3otac08********
name: mws-oidc-app
redirect_uris:
  - https://auth.mws.ru/api/iam/v1/organizations/organization-test/userFederations/federation-test/providers/-testprov/login-callback
scopes:
  - openid
  - email
  - profile
folder_id: b1gkd6dks6i1********
status: ACTIVE

Добавьте пользователя

Чтобы пользователи вашей организации могли аутентифицироваться в MWS с помощью OIDC-приложения Identity Hub, необходимо явно добавить в OIDC-приложение нужных пользователей и/или группы пользователей.

Примечание

Управлять пользователями и группами, добавленными в OIDC-приложение, может пользователь, которому назначена роль organization-manager.oidcApplications.userAdmin или выше.

Добавьте пользователя в приложение:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное приложение.
  3. Перейдите на вкладку Пользователи и группы.
  4. Нажмите Добавить пользователей.
  5. В открывшемся окне выберите нужного пользователя или группу пользователей.
  6. Нажмите Добавить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Получите идентификатор пользователя или группы пользователей.

  2. Чтобы добавить в приложение пользователя или группу пользователей:

    1. Посмотрите описание команды CLI для добавления пользователей в приложение:

      yc organization-manager idp application oauth application add-assignments --help

    2. Выполните команду:

      yc organization-manager idp application oauth application add-assignments \
  --id <идентификатор_приложения> \
  --subject-id <идентификатор_пользователя_или_группы>

      Где:

      • --id — идентификатор OIDC-приложения.
      • --subject-id — идентификатор нужного пользователя или группы пользователей.

      Результат:

      assignment_deltas:
  - action: ADD
    assignment:
      subject_id: ajetvnq2mil8********

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе OIDC-приложения и интеграции с MWS, выполните аутентификацию в MWS от имени одного из добавленных в приложение пользователей.

Для этого:

  1. В браузере перейдите в консоль вашей организации.
  2. В левой панели выберите раздел Федерации.
  3. Выберите добавленный ранее IdP.
  4. На странице провайдера скопируйте из секции Основное значение Sign In URL. Это ссылка для входа в консоль MWS в качестве пользователя федерации.
  5. Выйдите из профиля MWS.
  6. Введите в адресную строку браузера скопированную ссылку и перейдите по ней.
  7. На странице аутентификации Yandex Cloud укажите email и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.
  8. Прочитайте и примите условия использования, затем нажмите Далее.
  9. Убедитесь, что вы аутентифицировались в MWS.
Предыдущая
OpenVPN Access Server
Следующая
SAML