Настройка Azure Active Directory (английский интерфейс)

Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через Azure Active Directory, нужно предварительно создать и настроить SAML-приложение.

  1. Шаг 1. Создайте и настройте SAML-приложение
  2. Шаг 2. Настройте сопоставление атрибутов пользователей
  3. Шаг 3. Сохраните сертификат
  4. Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360
  5. Проблемы с настройкой

Шаг 1. Создайте и настройте SAML-приложение

  1. Войдите в центр администрирования Azure Active Directory.
  2. В разделе Azure Active Directory на панели слева перейдите на вкладку Enterprise applications.
  3. Создайте SAML-приложение:
    1. Нажмите кнопку New application.
    2. На вкладке Browse Azure AD Gallery нажмите кнопку Create your own application.
    3. В правой части открывшегося окна введите название приложения, например yandexsso.
    4. Выберите вариант приложения: Integrate any other application you don't find in the gallery (Non-gallery).
    5. Нажмите кнопку Create.

    На вкладке Enterprise applications в списке All applications добавится созданное приложение.

  4. Выберите ваше приложение в списке.

    Если вы не хотите специально назначать пользователей, которые могут пользоваться единым входом (SSO), на вкладке Properties для параметра Assign Required выберите значение No. Чтобы сохранить настройки, наверху вкладки нажмите кнопку Save.

    Чтобы назначить отдельных пользователей для использования единого входа (SSO), на вкладке Properties для параметра Assign Required выберите значение Yes. Затем перейдите на вкладку Пользователи и группы, нажмите Добавить пользователя или группу и укажите нужных пользователей.

  5. Перейдите на вкладку Single sign-on и выберите способ единого входа SAML.
  6. В окне Set up Single Sign-On with SAML в разделе Basic SAML Configuration нажмите кнопку Edit и установите параметры:
    1. Identifier (Entity ID): https://yandex.ru/ (обязательно со слешем в конце).
    2. Reply URL (Assertion Consumer Service URL): https://passport.yandex.ru/auth/sso/commit.
    3. Sign on URL (необязательный параметр): https://passport.yandex.ru/auth/sso/commit.
    4. Если ваши сотрудники пользуются сервисами не только на русском языке, в полях Reply URL (Assertion Consumer Service URL) и Sign on URL дополнительно добавьте URL других языковых доменов. Например:
      • https://passport.yandex.com/auth/sso/commit — для английского;
      • https://passport.yandex.kz/auth/sso/commit — для казахского;
      • https://passport.yandex.uz/auth/sso/commit — для узбекского;
      • https://passport.yandex.com.tr/auth/sso/commit — для турецкого.
      Полный список
      • https://passport.yandex.com/auth/sso/commit
      • https://passport.yandex.az/auth/sso/commit
      • https://passport.yandex.by/auth/sso/commit
      • https://passport.yandex.co.il/auth/sso/commit
      • https://passport.yandex.com/auth/sso/commit
      • https://passport.yandex.com.am/auth/sso/commit
      • https://passport.yandex.com.ge/auth/sso/commit
      • https://passport.yandex.com.tr/auth/sso/commit
      • https://passport.yandex.ee/auth/sso/commit
      • https://passport.yandex.eu/auth/sso/commit
      • https://passport.yandex.fi/auth/sso/commit
      • https://passport.yandex.fr/auth/sso/commit
      • https://passport.yandex.kg/auth/sso/commit
      • https://passport.yandex.kz/auth/sso/commit
      • https://passport.yandex.lt/auth/sso/commit
      • https://passport.yandex.lv/auth/sso/commit
      • https://passport.yandex.md/auth/sso/commit
      • https://passport.yandex.pl/auth/sso/commit
      • https://passport.yandex.ru/auth/sso/commit
      • https://passport.yandex.tj/auth/sso/commit
      • https://passport.yandex.tm/auth/sso/commit
      • https://passport.yandex.ua/auth/sso/commit
      • https://passport.yandex.uz/auth/sso/commit
    5. Нажмите Save.

Шаг 2. Настройте сопоставление атрибутов пользователей

  1. Перейдите в Enterprise applications → All applications → <ваше приложение> → SAML-based Sign-on, чтобы синхронизировать атрибуты пользователей в Azure Active Directory и Яндекс 360.
  2. В разделе Attributes & Claims выберите Unique User Identifier (Name ID).
  3. Чтобы имя и фамилия пользователя корректно отображались в Яндекс 360, в поле Source attribute группы настроек Required claim введите user.mail, а затем нажмите Save.
  4. В группе настроек Additional claims измените существующие утверждения или удалите и создайте их заново:
    Claim name Value
     User.EmailAddress user.mail
     User.Firstname user.givenname
     User.Surname user.surname
    Claim name Value
     User.EmailAddress user.mail
     User.Firstname user.givenname
     User.Surname user.surname

    Пример SAML-запроса:

    <Attribute Name="User.EmailAddress">
    <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
    <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
    <AttributeValue>Firstname</AttributeValue>
</Attribute>

Шаг 3. Сохраните сертификат

  1. Перейдите в Enterprise applications → All applications → <ваше приложение> → SAML-based Sign-on.
  2. В разделе SAML Signing Certificate рядом с параметром Certificate (Base64) нажмите Download. Сохраните файл на жесткий диск.

    Сохраненный файл с расширением .cer можно открыть в любом текстовом редакторе.

Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360

Для дальнейшей настройки в Яндекс 360 вам понадобится сертификат, полученный на шаге 3, и значения параметров конфигурации:

  • Login URL
  • Azure AD Identifier

Чтобы сохранить значения параметров:

  1. Enterprise applications → All applications → <ваше приложение> → SAML-based Sign-on перейдите в раздел Set up <название приложения>.
  2. Скопируйте значения полей Login URL и Azure AD Identifier в любое удобное место.

После этого переходите к настройке Яндекс 360 для бизнеса.

Проблемы с настройкой

Если заданы неверные значения атрибутов, при входе через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации, например Active Directory или Keycloak, ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.