Настройка Avanpost FAM
Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через систему единой аутентификации Avanpost FAM, нужно предварительно создать и настроить SAML-приложение.
Шаг 1. Создайте и настройте SAML-приложение
-
Авторизуйтесь в Avanpost.
-
Откройте веб-интерфейс Avanpost FAM.
-
Создайте SAML-приложение — перейдите в раздел Приложения и нажмите Добавить приложение.
-
Задайте Основные настройки приложения:
-
Наименование — укажите произвольное название приложения, например «Yandex360».
-
Тип — выберите SAML.
-
Проверьте, что опция Показывать приложение пользователям включена.
-
Нажмите Далее.
-
-
Задайте Настройки интеграции:
-
В поле Issuer введите
https://yandex.ru/
(обязательно со знаком слеш в конце). -
В поле ACS введите Service URL:
https://passport.yandex.ru/auth/sso/commit
. -
Поля Базовый URL и Logout оставьте пустыми.
-
Задайте NameID Format — выберите из списка Постоянный.
-
В поле Значение NameID выберите идентификатор, который вы будете использовать в качестве NameID при SAML SSO — Имя пользователя или Адрес электронной почты.
-
Нажмите Далее.
-
-
Задайте Настройки аутентификации:
-
Для нового процесса аутентификации задайте проверку по имени пользователя и паролю — включите метод Password в предлагаемом списке факторов.
-
Остальные методы оставьте выключенными.
-
Нажмите Далее.
-
-
Активируйте приложение:
-
Отметьте опцию Сделать приложение активным.
-
Нажмите Сохранить.
-
Шаг 2. Настройте сопоставление атрибутов пользователей
-
В разделе Приложения веб-интерфейса Avanpost FAM выберите созданное на Шаге 1 SAML-приложение.
-
В открывшемся окне перейдите на вкладку Attributes.
-
Нажимая значок , добавьте поочередно три атрибута:
-
User.EmailAddress
— адрес электронной почты; -
User.Surname
— фамилия; -
User.Firstname
— имя.
-
-
Настройте синхронизацию атрибутов Avanpost FAM и Яндекс 360 — откройте каждый атрибут и измените параметры источников значений.
Значения SAML Attribute Name, которые поддерживаются в Яндекс 360 для бизнеса, приведены в таблице.
SAML Attribute Name
Значение
User.EmailAddress
user.email
User.Firstname
user.family_name
User.Surname
user.given_name
В итоге сопоставление атрибутов будет выглядеть так:
Шаг 3. Соберите данные для передачи в Яндекс 360 для бизнеса
Основные параметры для настройки единого входа можно получить по ссылке вида
http://<avanpost hostmane/IP>/.well-known/samlidp.xml
где <avanpost hostmane/IP>
— имя хоста или IP-адрес, по которому доступен сервис.
Для SSO вам потребуются следующие данные:
-
URL страницы входа — адрес точки входа. Значение указано в поле
Location
. -
Издатель поставщика удостоверений — Entity ID домена. Значение указано в поле
entityID
. -
Проверочный сертификат — сертификат подписи токенов формата X.509. Значение указано в поле
X509Certificate
.
Решение проблем с настройкой
Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:
email.no_in_response
- Указывайте имена атрибутов в формате
User.Firstname
,User.Surname
,User.EmailAddress
. Если задать другой формат, напримерFirstname
, авторизоваться не получится.
request_your_admin
- Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.
samlresponse.invalid
- Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.
unsupportable_domain
- Проверьте, что домен из почтового атрибута
User.EmailAddress
в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.