Azure Active Directory реттеу

Егер сіз Azure Active Directory басқару орталығының ағылшын тіліндегі интерфейсін пайдалансаңыз, осы нұсқаулықты қолданыңыз.

Яндекс 360 сервистерінде Azure Active Directory арқылы бірыңғай кіруді (SSO) ұйымдастыру үшін SAML қолданбасын алдын ала жасап, реттеу керек.

1-қадам. SAML қолданбасын жасаңыз және реттеңіз

  1. Azure Active Directory басқару орталығына кіріңіз.

  2. Azure Active Directory бөлімінде сол жақ панельде Корпоративтік қолданбалар қойындысына өтіңіз.

  3. SAML қолданбасын жасаңыз:

    1. Жаңа қолданба түймесін басыңыз.

    2. Azure AD топтамасын шолу қойындысында Жеке қолданбаңызды жасаңыз түймесін басыңыз.

    3. Ашылған терезенің оң жағында қолданба атауын, мысалы, yandexsso енгізіңіз.

    4. Қолданба нұсқасын таңдаңыз: Топтамада жоқ (топтамадан тыс) кез келген басқа қолданбалармен интеграция.

    5. Жасау түймесін басыңыз.

    Корпоративтік қолданбалар қойындысында Барлық қолданбалар тізімінде жасалған қолданба қосылады.

  4. Тізімнен қолданбаңызды таңдаңыз.

    Егер сіз бірыңғай кіру опциясын (SSO) пайдалана алатын пайдаланушыларды арнайы тағайындағыңыз келмесе, Сипаттар қойындысында Міндетті түрде тағайындау қажет параметрі үшін Жоқ мәнін таңдаңыз. Реттеулерді сақтау үшін қойынды үстіндегі Сақтау түймесін басыңыз.

    Бірыңғай кіру опциясын (SSO) пайдалану мақсатында жеке пайдаланушыларды тағайындау үшін Сипаттар қойындысында Міндетті түрде тағайындау қажет параметрі үшін Иә мәнін таңдаңыз. Содан кейін Пайдаланушылар мен топтар қойындысына өтіп, Пайдаланушыны немесе топты қосу опциясын басып, қажетті пайдаланушыларды көрсетіңіз.

  5. Бірыңғай кіру қойындысына өтіп, SAML бірыңғай кіру әдісін таңдаңыз.

  6. Бірыңғай кіру опциясын SAML көмегімен реттеу терезесінде SAML негізгі конфигурациясы бөлімінде Өзгерту түймесін басып, параметрлерді орнатыңыз:

    1. Идентификатор (нысанның): https://yandex.ru/ (соңғы жағында міндетті түрде қиғаш сызықпен).

    2. Жауаптың URL мекенжайы (бекітулерді өңдеу қызметінің URL мекенжайы): https://passport.yandex.ru/auth/sso/commit.

    3. Кіру URL мекенжайы (міндетті емес параметр): https://passport.yandex.ru/auth/sso/commit.

    4. Егер қызметкерлеріңіз сервистерді тек орыс тілінде ғана пайдаланбайтын болса, Жауаптың URL мекенжайы (бекітулерді өңдеу сервисінің URL мекенжайы) және Кіру URL мекенжайы өрістерінде басқа тілдік домендердің URL мекенжайларын қосымша қосыңыз. Мысалы:

      https://passport.yandex.com/auth/sso/commit — ағылшын тілі үшін;

      https://passport.yandex.kz/auth/sso/commit — қазақ тілі үшін;

      https://passport.yandex.uz/auth/sso/commit — өзбек тілі үшін;

      https://passport.yandex.com.tr/auth/sso/commit — түрік тілі үшін;

      Толық тізім

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.az/auth/sso/commit

      https://passport.yandex.by/auth/sso/commit

      https://passport.yandex.co.il/auth/sso/commit

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.com.am/auth/sso/commit

      https://passport.yandex.com.ge/auth/sso/commit

      https://passport.yandex.com.tr/auth/sso/commit

      https://passport.yandex.ee/auth/sso/commit

      https://passport.yandex.eu/auth/sso/commit

      https://passport.yandex.fi/auth/sso/commit

      https://passport.yandex.fr/auth/sso/commit

      https://passport.yandex.kg/auth/sso/commit

      https://passport.yandex.kz/auth/sso/commit

      https://passport.yandex.lt/auth/sso/commit

      https://passport.yandex.lv/auth/sso/commit

      https://passport.yandex.md/auth/sso/commit

      https://passport.yandex.pl/auth/sso/commit

      https://passport.yandex.ru/auth/sso/commit

      https://passport.yandex.tj/auth/sso/commit

      https://passport.yandex.tm/auth/sso/commit

      https://passport.yandex.ua/auth/sso/commit

      https://passport.yandex.uz/auth/sso/commit

    5. Сақтау түймесін басыңыз.

2-қадам. Пайдаланушылардың төлсипаттарын салыстыруды реттеңіз

  1. Azure Active Directory және Яндекс 360 қызметтеріндегі пайдаланушылардың төлсипаттарын синхрондау үшін Корпоративтік қолданбалар → Барлық қолданбалар → <сіздің қолданбаңыз> → Бірыңғай кіру тармағына өтіңіз.

  2. Төлсипаттар және бекітулер бөлімінде Пайдаланушының бірегей идентификаторы опциясын таңдаңыз.

  3. Яндекс 360 қызметінде аты мен тегі дұрыс көрсетілуі үшін, Міндетті бекітулер реттеулер тобындағы Дереккөз өрісінде Төлсипат опциясын таңдаңыз, ал Дереккөз төлсипаты өрісінде user.mail параметрін енгізіп, Сақтау түймесін басыңыз. Атаулар кеңістігі барлық жерде бос қалдырылғанына көз жеткізіңіз.

  4. Қосымша бекітулер реттеулер тобында бұрыннан бар бекітулерді өзгертіңіз немесе оларды жойып, қайта жасаңыз:

    Бекіту аты

    Мәні

    User.EmailAddress

    user.mail

    User.Firstname

    user.givenname

    User.Surname

    user.surname

    Атаулар кеңістігі бос қалдырылғанына көз жеткізіңіз.

    SAML мұрауының мысалы:

    <Attribute Name="User.EmailAddress">
   <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
   <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
   <AttributeValue>Firstname</AttributeValue>
</Attribute>

3-қадам. Сертификатты сақтаңыз

  1. Корпоративтік қолданбалар → Барлық қолданбалар → <сіздің қолданбаңыз> → Бірыңғай кіру тармағына өтіңіз.

  2. SAML сертификаттары бөлімінде Сертификат (Base64) параметрінің жанында Жүктеп алу түймесін басыңыз. Файлды қатты дискіге сақтаңыз.

    .cer кеңейтімі бар сақталған файлды кез келген мәтіндік редакторда ашуға болады.

4-қадам. Яндекс 360 қызметіне жіберу қажет деректерді жинаңыз

Яндекс 360 қызметінде одан әрі реттеу үшін сізге 3-қадамда алынған сертификат және конфигурация параметрлерінің мәндері қажет:

  • Кіру URL мекенжайы

  • Azure AD идентификаторы

Параметр мәндерін сақтау үшін:

  1. Корпоративтік қолданбалар → Барлық қолданбалар → <сіздің қолданбаңыз> → Бірыңғай кіру қойындысында Реттеу <қолданба атауы> бөліміне өтіңіз.

  2. Кіру URL мекенжайы және Azure AD идентификаторы өрістерінің мәндерін кез келген ыңғайлы жерге көшіріп алыңыз.

Осыдан кейін Бизнеске арналған Яндекс 360 реттеуіне өтіңіз.

Реттеуге қатысты мәселелерді шешу

Егер куәліктер жеткізушісін реттеу процесі кезінде қате мәндер орнатылса, SSO арқылы кіруге тырысқанда, сіз «Авторизация орындалмады» хабарын және қате кодын көресіз:

email.no_in_response

Төлсипаттардың атауларын User.Firstname, User.Surname, User.EmailAddress форматында көрсетіңіз. Басқа форматты, мысалы, Firstname орнатсаңыз, авторизациядан өту мүмкін болмайды.

request_your_admin

Ұйымыңыздың пайдаланушылар каталогінің әкімшісі аккаунт үшін Яндекс 360 қызметін пайдалану мүмкіндігін шектесе, қате пайда болады. Толық ақпарат алу үшін ұйымыңыздың техникалық қолдау көрсету мамандарына хабарласыңыз.

samlresponse.invalid

Қате кіру бетінің URL мекенжайы, куәлік жеткізушісінің баспагері немесе тексеру сертификаты дұрыс көрсетілмеген кезде орын алады. Ол сондай-ақ тексеру сертификаты біткенге дейін 14 күн ішінде немесе осы мерзімнен кейін пайда болуы мүмкін. Бизнеске арналған Яндекс 360 қызметіндегі SSO реттеулерінің дұрыстығын тексеріңіз.

unsupportable_domain

SAML response ішіндегі User.EmailAddress пошта төлсипатының домені негізгі доменмен немесе Яндекс 360 ұйымының алиас доменімен бірдей екенін тексеріңіз. Егер олар сәйкес келмесе, қате туралы хабар көрсетіледі.
Қолдау қызметіне жазу
Алдыңғы
Active Directory реттеу (EN)
Келесі
Azure Active Directory реттеу (EN)