Настройка Active Directory

Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через службу федерации Active Directory, нужно предварительно настроить сервер.

  1. Шаг 1. Создайте отношение доверия с проверяющей стороной
  2. Шаг 2. Добавьте конечные точки для языковых доменов
  3. Шаг 3. Настройте Claims Mapping
  4. Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360
  5. Шаг 5. Настройте синхронизацию сотрудников SCIM
  6. Проблемы с настройкой

Шаг 1. Создайте отношение доверия с проверяющей стороной

  1. Войдите на ваш сервер AD FS и откройте Server Manager.
  2. Откройте консоль управления: нажмите Tools → AD FS Management.
  3. В списке действий выберите Add Relying Party Trust.
  4. Выберите Claims aware и нажмите Start.
  5. Для автоматической настройки отношения на шаге Select Data Source выберите Import data about the relying party published online or on a local network и введите URL: https://passport.yandex.ru/auth/sso/metadata.

    Нажмите Next.

    Как настроить отношение вручную
    1. На шаге Select Data Source выберите Enter data about the relying party manually. Затем нажмите Next.
    2. Задайте любое название отношения, например «Яндекс 360». Нажмите Next.
    3. Пропустите шаг Configure Certificate — для этого нажмите Next.
    4. Отметьте Enable support for the SAML 2.0 WebSSO protocol и укажите Service URL: https://passport.yandex.ru/auth/sso/commit. Нажмите Next.
    5. Добавьте идентификатор https://yandex.ru/ (обязательно со слешем в конце) — вставьте его в поле и нажмите Add. Затем нажмите Next.
    6. Пропустите шаг Choose Access Control Policy.
  6. Проверьте данные. Убедитесь, что на вкладке Advanced выбран алгоритм хеширования SHA-256. Если все в порядке, нажмите Next → Close.

    Если вы воспользовались автоматической настройкой отношения, переходите сразу к шагу 3. При ручном создании отношения выполните шаг 2.

Шаг 2. Добавьте конечные точки для языковых доменов

Внимание. Пропустите этот шаг, если вы выбрали автоматическую настройку отношения в пункте 5 шага 1.

Если ваши сотрудники пользуются сервисами Яндекс 360 не только на русском домене, дополнительно добавьте URL языковых доменов в качестве конечных точек:

  1. В консоли управления нажмите Trust Relationships → Relying Party Trusts.
  2. Откройте настройки отношения, созданного на шаге 1, — для этого нажмите на него два раза.
  3. Перейдите на вкладку Endpoints.
  4. Добавьте нужные вам конечные точки.

    Чтобы добавить конечную точку для языкового домена, нажмите Add SAML, в значении Binding выберите POST и укажите URL:

    • https://passport.yandex.com/auth/sso/commit — для английского;
    • https://passport.yandex.kz/auth/sso/commit — для казахского;
    • https://passport.yandex.uz/auth/sso/commit — для узбекского;
    • https://passport.yandex.com.tr/auth/sso/commit — для турецкого.
    Полный список
    • https://passport.yandex.com/auth/sso/commit
    • https://passport.yandex.az/auth/sso/commit
    • https://passport.yandex.by/auth/sso/commit
    • https://passport.yandex.co.il/auth/sso/commit
    • https://passport.yandex.com/auth/sso/commit
    • https://passport.yandex.com.am/auth/sso/commit
    • https://passport.yandex.com.ge/auth/sso/commit
    • https://passport.yandex.com.tr/auth/sso/commit
    • https://passport.yandex.ee/auth/sso/commit
    • https://passport.yandex.eu/auth/sso/commit
    • https://passport.yandex.fi/auth/sso/commit
    • https://passport.yandex.fr/auth/sso/commit
    • https://passport.yandex.kg/auth/sso/commit
    • https://passport.yandex.kz/auth/sso/commit
    • https://passport.yandex.lt/auth/sso/commit
    • https://passport.yandex.lv/auth/sso/commit
    • https://passport.yandex.md/auth/sso/commit
    • https://passport.yandex.pl/auth/sso/commit
    • https://passport.yandex.ru/auth/sso/commit
    • https://passport.yandex.tj/auth/sso/commit
    • https://passport.yandex.tm/auth/sso/commit
    • https://passport.yandex.uz/auth/sso/commit
    Затем нажмите OK.

Шаг 3. Настройте Claims Mapping

  1. В блоке Trust Relationships правой кнопкой мыши нажмите на отношение, созданное на шаге 1 и выберите Edit Claim Issuance Policy.
  2. Нажмите Add Rule.
  3. В качестве Claim rule template выберите Transform an Incoming Claim и нажмите Next.
  4. Придумайте любое название правила, например «NameID», и в значении Outgoing claim type укажите Name ID . Нажмите Finish.
    Примечание. В дальнейшем значение атрибута NameID в поле Outgoing claim type нельзя изменить — он используется для идентификации пользователя в Яндекс ID. По умолчанию присваивается значение UPN.

    Если в вашей компании предполагается изменение UPN по бизнес-процессам, в качестве NameID можно указать другой из неизменяемых атрибутов пользователей в Active Directory, например objectSID или objectGUID.

    Атрибут, который вы зададите в качестве основного идентификатора, не должен меняться. При входе в Яндекс 360 пользователь с другим атрибутом будет считаться новым пользователем.

  5. Создайте еще одно правило — снова нажмите Add Rule. Выберите шаблон Send LDAP Attributes as Claims и нажмите Next.
  6. Задайте правилу название, например «LDAPATTR», и заполните карту следующим образом:
    Затем нажмите Finish.

    Названия атрибутов чувствительны к формату и регистру. Укажите названия именно так, как показано на картинке: User.Firstname, User.Surname, User.EmailAddress. Иначе при авторизации могут возникнуть ошибки, например email.no_in_response.

Шаг 4. Соберите данные, которые нужно будет передать Яндекс 360

URL страницы входа

Адрес точки входа. Как правило это https://домен/adfs/ls.

В консоли управления откройте Endpoints и убедитесь, что для параметра Proxy Enabled у /adfs/ls/ установлено значение Yes. Этот параметр отвечает за активацию страницы аутентификации в AD FS, которая должна быть доступна извне, — адрес вида https://домен_ADFS/adfs/ls/idpinitiatedsignon.aspx.
Издатель поставщика удостоверений
Entity ID домена. Как правило, это http://домен/adfs/services/trust.

Чтобы получить его, в консоли управления перейдите на вкладку Action и выберите Edit Federation Service Properties.

Нужное значение находится в поле Federation Service identifier.

Проверочный сертификат
Сертификат подписи токенов формата X.509 в Base64. Чтобы получить:
  1. В консоли управления откройте Certificates.
  2. Нажмите два раза на ваш сертификат Token-signing.
  3. Перейдите на вкладку Details и нажмите Copy to File.
  4. Выберите тип сертификата Base-64 encoded X.509 (.CER) и нажмите Next.
  5. Сохраните файл на жесткий диск.

Если у вас два активных сертификата подписи токенов и вы не уверены, какой сертификат используется сейчас, повторите аналогичные действия для второго сертификата.

Шаг 5. Настройте синхронизацию сотрудников SCIM

По умолчанию новые сотрудники появляются в Яндекс 360 только после первой авторизации, а бывших сотрудников нужно удалять вручную. Если вы хотите автоматически синхронизировать список сотрудников из AD FS с Яндекс 360 для бизнеса, подключите синхронизацию SCIM.

Проблемы с настройкой

Если заданы неверные значения атрибутов, при входе через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации, например Active Directory или Keycloak, ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.