Вход в Консоль и добавление администратора

Поддерживается в:

Десктопная версия

Мобильная версия

On-prem версия

Облачная версия

On-prem версия

Режим организации и вход через SAML SSO позволяют работать в Консоли нескольким сотрудникам: системным администраторам, техническим специалистам, менеджерам и т. д. Для разграничения прав доступа предусмотрена ролевая модель. Назначение ролей позволяет ограничить доступ к различным разделам Консоли: например, специалистам по информационной безопасности предоставляется только право на чтение, а технической поддержке — на изменение. Настройте совместное использование Консоли по инструкции.

При входе в режиме организации, если вы являетесь владельцем нескольких компаний, доступен обмен способами аутентификации между ними.

Пока не настроен вход через SSO, для первого входа в Консоли можно аутентифицироваться по логину и паролю суперпользователя.

В On-prem версии Консоли управления могут работать несколько сотрудников: системные администраторы, технические специалисты, менеджеры и т. д. Для разграничения прав доступа предусмотрена ролевая модель. Назначение ролей позволяет ограничить доступ к различным разделам Консоли: например, специалистам по информационной безопасности предоставляется только право на чтение, а технической поддержке — на изменение. Настройте совместное использование Консоли по инструкции.

После настройки SSO аутентифицируйтесь с корпоративными учетными данными:

На странице входа в Консоль управления нажмите Войти по SSO.
Введите ваши корпоративные учетные данные.

После успешной аутентификации откроется On-prem версия Консоли управления.

Облачная версия

On-prem версия

Настройте совместное использование Консоли.

Это можно сделать двумя способами. После настройки войти в Консоль можно любым из них.

В режиме организации

Выполните следующие шаги:

Шаг 1. Создайте Организацию в ID

Примечание

Для создания Организации в ID не нужны специальные разрешения. Но если аккаунт входит в подписку Яндекс 360 и был создан автоматически через SCIM, создать Организацию в ID не получится.

Используйте личный аккаунт для создания Организации в ID. В эту Организацию в ID вы можете добавить доменные аккаунты Яндекс 360, в том числе созданные через SCIM.

Войдите в личный аккаунт.
Откройте страницу регистрации и нажмите кнопку Добавить.
Найдите организацию. Для поиска можно использовать следующие данные:
- ИНН, ОГРН и КПП;
- название (полное и краткое);
- ФИО индивидуального предпринимателя или руководителя;
- адрес (с точностью до улицы).
Выберите вариант из списка и нажмите кнопку Добавить.
Укажите телефон и почту из Яндекс ID.
Ознакомьтесь с Условиями использования и нажмите кнопку Готово. Откроется кабинет организации, вы будете назначены ее владельцем.

Вы можете:

изменить реквизиты организации на вкладке Данные;
добавить, удалить пользователей и изменить их роли на вкладке Сотрудники;
передать роль владельца организацией.

Шаг 2. Добавьте сотрудника в Организацию в ID

На вкладке Сотрудники нажмите Пригласить.
В появившемся окне выберите роль, права пользователя и лимит приглашений и нажмите Продолжить. По одной ссылке можно пригласить сразу несколько сотрудников.
Отправьте приглашение одним из способов:
- Введите телефон и почту из Яндекс ID сотрудника и нажмите кнопку Отправить.
- Нажмите Пригласить по ссылке и отправьте приглашение вручную.
Подождите, пока пользователь примет приглашение — перейдет по ссылке и нажмет Присоединиться как.

Важно

Новый сотрудник получит роль участника в Организации в ID и сможет войти в Консоль в режиме организации. Но без назначенной роли в Консоли управления у него не будет прав на просмотр и изменение данных.

Шаг 3. Войдите в Консоль в режиме организации

В правом верхнем углу нажмите портрет своего профиля.
Нажмите Выбрать организацию и название компании.
Войдите в Консоль управления.

Если в интерфейсе Консоли вы видите название компании, вы вошли в режиме организации. Если названия нет — используется личная учетная запись.

Выйти из режима организации

В правом верхнем углу Консоли нажмите портрет своего профиля → Яндекс ID аккаунт.
На странице Яндекс ID в правом верхнем углу нажмите портрет своего профиля.
Нажмите название компании и выберите в списке Выйти из режима организации.

Через SAML SSO

Выполните следующие шаги:

Шаг 1. Настройте SAML SSO

Консоль управления поддерживает механизм аутентификации через SSO по протоколу SAML 2.0. После настройки используйте собственный Identity Provider (IdP) как единую точку входа для аутентификации.

Cоздайте SAML-приложение в Identity Provider (IdP). Этапы подключения описаны в технической документации вашего IdP.

Обязательно укажите следующие параметры:
1. Для атрибута NameID выберите значение email. Это нужно, чтобы пользователи могли аутентифицироваться по адресу электронной почты.
2. В настройках режима SAML-ответа установите значение Response.
3. Настройте разрешенный редирект с IdP в Консоль в формате https://your-console-domain/corp/*.
4. Чтобы у пользователя отображались имя, фамилия и аватар (при наличии), настройте конфигурацию так, чтобы в ответе от Identity Provider приходили следующие атрибуты:
  - firstName — имя пользователя;
  - lastName — фамилия пользователя;
  - email — адрес электронной почты;
  - picture — ссылка на аватар пользователя (опционально).
Войдите в Консоль управления с личным Яндекс ID или в режиме организации.
Создайте подключение в Консоли управления.
1. Откройте Настройки → SSO.
2. Нажмите Создать подключение.
3. В открывшемся окне укажите параметры:
  - Домен — почтовый домен вашей организации. Домен указывается без знака @, например mycompany.ru.
  - SP Entity ID — уникальный идентификатор сервиса Консоли управления. Предоставляется вашим IdP.
  - Single sign-on service URL — точка входа для аутентификации по протоколу SAML. Предоставляется вашим IdP.
  - Signing certificate — сертификат Identity Provider, который Консоль управления будет использовать для валидации подписи. Сертификат нужно скачать в IdP и добавить в поле Консоли.
  После ввода данных нажмите Сохранить.
4. В левом верхнем углу нажмите Скачать сертификат.
5. Откройте IdP и загрузите сертификат.
Дождитесь подтверждения домена в Консоли управления: чтобы проверить статус, откройте Настройки → SSO.

Внимание

Вход в Консоль через SSO доступен только для подтвержденных доменов.
Если домен не подтвержден в течение 3 дней, обратитесь в службу поддержки.

После настройки SSO аутентифицируйтесь с корпоративными учетными данными:

На странице входа в Консоль управления нажмите Войти по SSO.
Введите ваши корпоративные учетные данные.

После успешной аутентификации откроется Консоль управления.

Шаг 2. Добавьте администраторов и назначьте роли

Чтобы добавить новых администраторов:

Войдите в Identity Provider.
Добавьте нового администратора. Укажите значения:
- логин;
- адрес электронной почты;
- имя пользователя;
- фамилию пользователя;
- стартовый пароль, который меняется при первой аутентификации.
Войдите в Консоль управления.
Перейдите в раздел Настройки → Администраторы. В правом верхнем углу нажмите кнопку Добавить.
Укажите адрес электронной почты сотрудника, которому будет разрешен доступ в Консоль управления. После этого можно создать и назначить роли для сотрудника.

Удалить администратора

Войдите в Identity Provider.
В списке администраторов выберите фамилию сотрудника и удалите его.
Войдите в Консоль управления.
Перейдите в раздел Настройки → Администраторы.
В списке администраторов выберите фамилию сотрудника.
Справа нажмите → Удалить.

Если удалить учетную запись администратора только в Консоли управления (не в IdP), пользователь сможет авторизоваться, но все его роли в Консоли будут удалены.

Заполните данные компании.

В разделе Моя компания заполните данные:
- название;
- ИНН;
- количество ПК;
- почта;
- телефон.
Нажмите Сохранить.

Создайте роль для сотрудника.

Назначьте ему соответствующую роль.

Чтобы настроить совместное использование On-prem Консоли и распределить права доступа, выполните следующие шаги:

Настройте SAML SSO и добавьте администраторов.

Выполните следующие шаги

Шаг 1. Настройте SAML SSO

Cоздайте SAML-приложение в Identity Provider (IdP). Этапы подключения описаны в технической документации вашего IdP.

Обязательно укажите следующие параметры:
1. Для атрибута NameID выберите значение email. Это нужно, чтобы пользователи могли аутентифицироваться по адресу электронной почты.
2. В настройках режима SAML-ответа установите значение Response.
3. Настройте разрешенный редирект с IdP в Консоль в формате https://your-console-domain/corp/*.
4. Чтобы у пользователя отображались имя, фамилия и аватар (при наличии), настройте конфигурацию так, чтобы в ответе от Identity Provider приходили следующие атрибуты:
  - firstName — имя пользователя;
  - lastName — фамилия пользователя;
  - email — адрес электронной почты;
  - picture — ссылка на аватар пользователя (опционально).
Войдите в Консоль управления.
Создайте подключение в Консоли управления.
1. Откройте Настройки → SSO.
2. Нажмите Создать подключение.
3. В открывшемся окне укажите параметры:
  - Домен — почтовый домен вашей организации. Домен указывается без знака @, например mycompany.ru.
  - SP Entity ID — уникальный идентификатор сервиса Консоли управления. Предоставляется вашим IdP.
  - Single sign-on service URL — точка входа для аутентификации по протоколу SAML. Предоставляется вашим IdP.
  - Signing certificate — сертификат Identity Provider, который Консоль управления будет использовать для валидации подписи. Сертификат нужно скачать в IdP и добавить в поле Консоли.
  После ввода данных нажмите Сохранить.
4. В левом верхнем углу нажмите Скачать сертификат.
5. Откройте IdP и загрузите сертификат.

После настройки SSO аутентифицируйтесь с корпоративными учетными данными:

На странице входа в Консоль управления нажмите Войти по SSO.
Введите ваши корпоративные учетные данные.

После успешной аутентификации откроется Консоль управления.

Шаг 2. Добавьте администраторов и назначьте роли

Чтобы добавить новых администраторов:

Войдите в Identity Provider.
Добавьте нового администратора. Укажите значения:
- логин;
- адрес электронной почты;
- имя пользователя;
- фамилию пользователя;
- стартовый пароль, который меняется при первой аутентификации.
Войдите в Консоль управления.
Перейдите в раздел Настройки → Администраторы. В правом верхнем углу нажмите кнопку Добавить.
Укажите адрес электронной почты сотрудника, которому будет разрешен доступ в Консоль управления. После этого можно создать и назначить роли для сотрудника.

Удалить администратора

Войдите в Identity Provider.
В списке администраторов выберите фамилию сотрудника и удалите его.
Войдите в Консоль управления.
Перейдите в раздел Настройки → Администраторы.
В списке администраторов выберите фамилию сотрудника.
Справа нажмите → Удалить.

Создайте роль для сотрудника.

Назначьте ему соответствующую роль.

Управление лицензиями, купленными на личный Яндекс ID

Если вы купили лицензии на личный Яндекс ID, то они не будут отображаться в Консоли после входа в режиме организации. Чтобы отобразить эти лицензии и управлять ими, поменяйте способ аутентификации.

Примечание

Смена способа аутентификации возможна только в облачной версии Консоли для владельцев компаний в режиме организации.

На один личный Яндекс ID могут быть зарегистрированы несколько компаний. К компании привязаны:

лицензии;
сборки Браузера;
роли;
список администраторов;
Браузеры, подключенные к управлению;
настройки и т. д.

При этом управление одной из компаний доступно, если вход выполнен с личным Яндекс ID, а другой — только в режиме организации.

Например, вы создали компанию в Консоли, авторизовавшись в личном Яндекс ID. Со временем возникла необходимость использования Консоли несколькими сотрудниками. В этом случае можно обменять способ аутентификации между компаниями:

Войдите в Консоль управления в режиме организации.
В разделе Моя компания выберите вкладку Все компании.
Для обмена аутентификациями нажмите .

В результате сотрудники из Организации в ID получат доступ к новой компании в Консоли, но без назначенных ролей не смогут выполнить действия. Вход в другую компанию будет возможен только с личным Яндекс ID.

Примечание

При обмене способами аутентификации каждая компания сохраняет свои лицензии, сборки, настройки и т. д. Меняется только способ входа.