Как подключить

Если у вас подключен и настроен поставщик удостоверений, вы можете подключить его к Яндекс 360. Для этого нужно настроить вашу федерацию удостоверений, а затем — сам Яндекс 360 для бизнеса.

Требования к организации

Прежде чем перейти к настройке единого входа (SSO), убедитесь, что в вашей организации:

  • Подключен тариф «Оптимальный» или «Расширенный». Если вы решите перейти на базовый тариф, единый вход (SSO) отключится.

  • Подключен домен (и притом только один).

  • Нет аккаунтов сотрудников, созданных на домене организации. Доменные аккаунты сотрудников — аккаунты с адресами вида login@example.com, где @example.com — имя вашей организации (домен). Такие аккаунты добавляются администратором организации вручную в разделе Пользователи → Сотрудники.

Если в Яндекс 360 для бизнеса вы используете несколько организаций и решили подключить единый вход (SSO), то он включится одновременно для всех организаций.

Выключение единого входа (SSO) работает аналогично. Если в одной из организаций вы перейдете на базовый тариф, единый вход отключится в этой организации и в других.

Шаг 1. Настройте федерацию удостоверений

Чтобы ваша федерация удостоверений смогла взаимодействовать с Яндекс 360, ее нужно настроить.

О том, как это сделать для разных поставщиков удостоверений, читайте в разделах:

Если у вас другой поставщик удостоверений, ознакомьтесь с его документацией. Вы также можете отталкиваться от наших инструкций. При настройке обязательно укажите следующие параметры:

  • Service URL: https://passport.yandex.ru/auth/sso/commit.

  • Идентификатор: https://yandex.ru/ (обязательно со слешем в конце).

  • Если ваши сотрудники пользуются сервисами не только на русском языке, дополнительно добавьте URL других языковых доменов в качестве конечных точек (Endpoints) с привязкой POST. Например:

    • https://passport.yandex.com/auth/sso/commit — для английского;

    • https://passport.yandex.kz/auth/sso/commit — для казахского;

    • https://passport.yandex.uz/auth/sso/commit — для узбекского;

    • https://passport.yandex.com.tr/auth/sso/commit — для турецкого.

    Полный список

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

Также получите URL-адрес страницы входа, ID вашего поставщика удостоверений и проверочный сертификат X.509. Они пригодятся вам на следующем шаге.

Шаг 2. Настройте Яндекс 360 для бизнеса

  1. Откройте Яндекс 360 для бизнеса.

  2. Перейдите в раздел Общие настройки → Единый вход (SSO).

  3. Нажмите Настроить.

  4. Заполните поля с обязательными параметрами:

    • URL страницы входа — URL-адрес конечной точки SAML 2.0.

    • Издатель поставщика удостоверений — ID субъекта IdP.

    • Проверочный сертификат — сертификат от поставщика удостоверений.

      Если текущий сертификат скоро истекает, вы можете добавить второй ему на замену — для этого нажмите Добавить второй сертификат для обновления.

  5. Для AD FS: чтобы обновлять список сотрудников в Яндекс 360 автоматически, настройте синхронизацию и укажите ID вашего приложения в блоке Синхронизация SCIM.

  6. Сохраните изменения.

  7. Нажмите Включить.

Шаг 3. Проверьте аутентификацию

  1. Откройте браузер в режиме гостя или инкогнито.

  2. Перейдите на страницу passport.yandex.ru/auth, введите логин учетной записи из поставщика удостоверений и нажмите Войти. Если всё настроено верно, вы будете перенаправлены на страницу входа, которую указали на шаге 2.

Отладка и устранение проблем

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360.

SAML-tracer для устранения неполадок

SAML-tracer — это расширение браузера, которое отслеживает SAML-события, помогает найти и исправить ошибки при настройке единого входа (SSO). Отчет о проверке можно экспортировать в файл JSON.

Установка и запуск

Установите расширение по ссылке:

  • SAML-tracer для Яндекс Браузер, Google Chrome и Microsoft Edge.
  • SAML-tracer для Mozilla Firefox.

Чтобы запустить SAML-tracer, нажмите значок на панели расширений браузера или комбинацию Alt + Shift + s на клавиатуре.

Отслеживание SAML-событий

  1. Откройте браузер в режиме гостя или инкогнито и запустите SAML-tracer. Если значок отсутствует или окно SAML-tracer не открылось, в настройках расширения включите Разрешить использование в режиме инкогнито.
  2. Перейдите на страницу passport.yandex.ru/auth, введите логин учетной записи из поставщика удостоверений и нажмите Войти. В окне SAML-tracer появятся записи GET и POST, SAML-события будут выделены оранжевым цветом и меткой.
  3. Чтобы проверить атрибуты и их значения, выберите запись с SAML-событием и перейдите на вкладку SAML на панели предварительного просмотра.

Экспорт отчета в файл

  1. Выберите запись с SAML-событием.
  2. Нажмите Export на панели инструментов SAML-tracer.
  3. Чтобы скрыть конфиденциальную информацию, выберите Mask values.
  4. Нажмите Export. Файл в формате JSON скачается на ваш компьютер.

Ограничения при включенном едином входе (SSO)

После того, как вы включите единый вход (SSO), для организации станут недоступны импорт сотрудников и перемещение отделов.

Если вы также подключили утилиту ADSCIM, будет отключено управление почтовыми алиасами через интерфейс Яндекс 360 для бизнеса.

Написать в службу поддержки
Предыдущая
Единый вход (SSO)
Следующая
Настройка Active Directory