Настройка Avanpost FAM

Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через систему единой аутентификации Avanpost FAM, нужно предварительно создать и настроить SAML-приложение.

Шаг 1. Создайте и настройте SAML-приложение

  1. Авторизуйтесь в Avanpost.

  2. Откройте веб-интерфейс Avanpost FAM.

  3. Создайте SAML-приложение — перейдите в раздел Приложения и нажмите Добавить приложение.

  4. Задайте Основные настройки приложения:

    1. Наименование — укажите произвольное название приложения, например «Yandex360».

    2. Тип — выберите SAML.

    3. Проверьте, что опция Показывать приложение пользователям включена.

    4. Нажмите Далее.

  5. Задайте Настройки интеграции:

    1. В поле Issuer введите https://yandex.ru/ (обязательно со знаком слеш в конце).

    2. В поле ACS введите Service URL: https://passport.yandex.ru/auth/sso/commit.

    3. Поля Базовый URL и Logout оставьте пустыми.

    4. Задайте NameID Format — выберите из списка Постоянный.

    5. В поле Значение NameID выберите идентификатор, который вы будете использовать в качестве NameID при SAML SSO — Имя пользователя или Адрес электронной почты.

    6. Нажмите Далее.

  6. Задайте Настройки аутентификации:

    1. Для нового процесса аутентификации задайте проверку по имени пользователя и паролю — включите метод Password в предлагаемом списке факторов.

    2. Остальные методы оставьте выключенными.

    3. Нажмите Далее.

  7. Активируйте приложение:

    1. Отметьте опцию Сделать приложение активным.

    2. Нажмите Сохранить.

Шаг 2. Настройте сопоставление атрибутов пользователей

  1. В разделе Приложения веб-интерфейса Avanpost FAM выберите созданное на Шаге 1 SAML-приложение.

  2. В открывшемся окне перейдите на вкладку Attributes.

  3. Нажимая значок , добавьте поочередно три атрибута:

    • User.EmailAddress — адрес электронной почты;

    • User.Surname — фамилия;

    • User.Firstname — имя.

  4. Настройте синхронизацию атрибутов Avanpost FAM и Яндекс 360 — откройте каждый атрибут и измените параметры источников значений.

    Значения SAML Attribute Name, которые поддерживаются в Яндекс 360 для бизнеса, приведены в таблице.

    SAML Attribute Name

    Значение

    User.EmailAddress

    user.email

    User.Firstname

    user.family_name

    User.Surname

    user.given_name

    В итоге сопоставление атрибутов будет выглядеть так:

Шаг 3. Соберите данные для передачи в Яндекс 360 для бизнеса

Основные параметры для настройки единого входа можно получить по ссылке вида

http://<avanpost hostmane/IP>/.well-known/samlidp.xml

где <avanpost hostmane/IP> — имя хоста или IP-адрес, по которому доступен сервис.

Для SSO вам потребуются следующие данные:

  • URL страницы входа — адрес точки входа. Значение указано в  поле Location.

  • Издатель поставщика удостоверений — Entity ID домена. Значение указано в поле entityID.

  • Проверочный сертификат — сертификат подписи токенов формата X.509. Значение указано в поле X509Certificate.

Решение проблем с настройкой

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.
Написать в службу поддержки