Azure Active Directory реттеу (ағылшын тіліндегі интерфейс)

Яндекс 360 сервистерінде Azure Active Directory арқылы бірыңғай кіруді (SSO) ұйымдастыру үшін SAML қолданбасын алдын ала жасап, реттеу керек.

1-қадам. SAML қолданбасын жасаңыз және реттеңіз

  1. Azure Active Directory басқару орталығына кіріңіз.

  2. Azure Active Directory бөлімінде сол жақ панельде Enterprise applications қойындысына өтіңіз..

  3. SAML қолданбасын жасаңыз:

    1. New application түймесін басыңыз.

    2. Browse Azure AD Gallery қойындысында Create your own application түймесін басыңыз.

    3. Ашылған терезенің оң жағында қолданба атауын, мысалы, yandexsso енгізіңіз.

    4. Қолданба нұсқасын таңдаңыз: Integrate any other application you don't find in the gallery (Non-gallery).

    5. Create түймесін басыңыз.

    Enterprise applications қойындысында All applications тізімінде жасалған қолданба қосылады.

  4. Тізімнен қолданбаңызды таңдаңыз.

    Егер сіз бірыңғай кіру опциясын (SSO) пайдалана алатын пайдаланушыларды арнайы тағайындағыңыз келмесе, Properties қойындысында Assign Required параметрі үшін No мәнін таңдаңыз. Реттеулерді сақтау үшін қойынды үстіндегі Save түймесін басыңыз.

    Бірыңғай кіру опциясын (SSO) пайдалану мақсатында жеке пайдаланушыларды тағайындау үшін Properties қойындысында Assign Required параметрі үшін Yes мәнін таңдаңыз. Содан кейін Пайдаланушылар мен топтар қойындысына өтіп, Пайдаланушыны немесе топты қосу опциясын басып, қажетті пайдаланушыларды көрсетіңіз.

  5. Single sign-on қойындысына өтіп, SAML бірыңғай кіру әдісін таңдаңыз.

  6. Set up Single Sign-On with SAML терезесінде Basic SAML Configuration бөлімінде Edit түймесін басы, параметрлерді орнатыңыз:

    1. Identifier (Entity ID): https://yandex.ru/ (соңғы жағында міндетті түрде қиғаш сызықпен).

    2. Reply URL (Assertion Consumer Service URL): https://passport.yandex.ru/auth/sso/commit.

    3. Sign on URL (міндетті емес параметр): https://passport.yandex.ru/auth/sso/commit.

    4. Егер қызметкерлеріңіз сервистерді тек орыс тілінде ғана пайдаланбайтын болса, Reply URL (Assertion Consumer Service URL) және Sign on URL өрістерінде басқа тілдік домендердің URL мекенжайларын қосымша қосыңыз. Мысалы:

      https://passport.yandex.com/auth/sso/commit — ағылшын тілі үшін;

      https://passport.yandex.kz/auth/sso/commit — қазақ тілі үшін;

      https://passport.yandex.uz/auth/sso/commit — өзбек тілі үшін;

      https://passport.yandex.com.tr/auth/sso/commit — түрік тілі үшін;

      Толық тізім

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.az/auth/sso/commit

      https://passport.yandex.by/auth/sso/commit

      https://passport.yandex.co.il/auth/sso/commit

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.com.am/auth/sso/commit

      https://passport.yandex.com.ge/auth/sso/commit

      https://passport.yandex.com.tr/auth/sso/commit

      https://passport.yandex.ee/auth/sso/commit

      https://passport.yandex.eu/auth/sso/commit

      https://passport.yandex.fi/auth/sso/commit

      https://passport.yandex.fr/auth/sso/commit

      https://passport.yandex.kg/auth/sso/commit

      https://passport.yandex.kz/auth/sso/commit

      https://passport.yandex.lt/auth/sso/commit

      https://passport.yandex.lv/auth/sso/commit

      https://passport.yandex.md/auth/sso/commit

      https://passport.yandex.pl/auth/sso/commit

      https://passport.yandex.ru/auth/sso/commit

      https://passport.yandex.tj/auth/sso/commit

      https://passport.yandex.tm/auth/sso/commit

      https://passport.yandex.ua/auth/sso/commit

      https://passport.yandex.uz/auth/sso/commit

    5. Save түймесін басыңыз.

2-қадам. Пайдаланушылардың төлсипаттарын салыстыруды реттеңіз

  1. Azure Active Directory және Яндекс 360 қызметтеріндегі пайдаланушылардың төлсипаттарын синхрондау үшін Enterprise applications → All applications → <сіздің қолданбаңыз> → SAML-based Sign-on тармағына өтіңіз.

  2. Attributes & Claims бөлімінде Unique User Identifier (Name ID) опциясын таңдаңыз.

  3. Яндекс 360 қызметінде аты мен тегі дұрыс көрсетілуі үшін, Required claim реттеулер тобындағы Source attribute өрісінде user.mail параметрін енгізіп, Save түймесін басыңыз.

  4. Additional claims реттеулер тобында бұрыннан бар бекітулерді өзгертіңіз немесе оларды жойып, қайта жасаңыз:

    Claim name

    Value

    User.EmailAddress

    user.mail

    User.Firstname

    user.givenname

    User.Surname

    user.surname

    SAML мұрауының мысалы:

    <Attribute Name="User.EmailAddress">
   <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
   <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
   <AttributeValue>Firstname</AttributeValue>
</Attribute>

3-қадам. Сертификатты сақтаңыз

  1. Enterprise applications → All applications → <сіздің қолданбаңыз> → SAML-based Sign-on тармағына өтіңіз.

  2. SAML Signing Certificate бөлімінде Certificate (Base64) параметрінің жанында Download түймесін басыңыз. Файлды қатты дискіге сақтаңыз.
    .cer кеңейтімі бар сақталған файлды кез келген мәтіндік редакторда ашуға болады.

4-қадам. Яндекс 360 қызметіне жіберу қажет деректерді жинаңыз

Яндекс 360 қызметінде одан әрі реттеу үшін сізге 3-қадамда алынған сертификат және конфигурация параметрлерінің мәндері қажет:

  • Login URL

  • Azure AD Identifier

Параметр мәндерін сақтау үшін:

  1. Enterprise applications → All applications → <сіздің қолданбаңыз> → SAML-based Sign-on тармағында Set up <қолданба атауы> бөліміне өтіңіз.

  2. Login URL және Azure AD Identifier өрістерінің мәндерін кез келген ыңғайлы жерге көшіріп алыңыз.

Осыдан кейін Бизнеске арналған Яндекс 360 реттеуіне өтіңіз.

Реттеуге қатысты мәселелерді шешу

Егер куәліктер жеткізушісін реттеу процесі кезінде қате мәндер орнатылса, SSO арқылы кіруге тырысқанда, сіз «Авторизация орындалмады» хабарын және қате кодын көресіз:

email.no_in_response

Төлсипаттардың атауларын User.Firstname, User.Surname, User.EmailAddress форматында көрсетіңіз. Басқа форматты, мысалы, Firstname орнатсаңыз, авторизациядан өту мүмкін болмайды.

request_your_admin

Ұйымыңыздың пайдаланушылар каталогінің әкімшісі аккаунт үшін Яндекс 360 қызметін пайдалану мүмкіндігін шектесе, қате пайда болады. Толық ақпарат алу үшін ұйымыңыздың техникалық қолдау көрсету мамандарына хабарласыңыз.

samlresponse.invalid

Қате кіру бетінің URL мекенжайы, куәлік жеткізушісінің баспагері немесе тексеру сертификаты дұрыс көрсетілмеген кезде орын алады. Ол сондай-ақ тексеру сертификаты біткенге дейін 14 күн ішінде немесе осы мерзімнен кейін пайда болуы мүмкін. Бизнеске арналған Яндекс 360 қызметіндегі SSO реттеулерінің дұрыстығын тексеріңіз.

unsupportable_domain

SAML response ішіндегі User.EmailAddress пошта төлсипатының домені негізгі доменмен немесе Яндекс 360 ұйымының алиас доменімен бірдей екенін тексеріңіз. Егер олар сәйкес келмесе, қате туралы хабар көрсетіледі.
Қолдау қызметіне жазу
Алдыңғы
Azure Active Directory реттеу
Келесі
Keycloak 18-нұсқасын реттеу