Active Directory реттеу

Егер сіз Active Directory ағылшын тіліндегі интерфейсін пайдалансаңыз, осы нұсқаулықты қолданыңыз.

Яндекс 360 сервистеріне Active Directory федерация сервисі арқылы бірыңғай кіруді (SSO) ұйымдастыру үшін серверді алдын ала реттеу керек.

1-қадам. Тексеруші тараппен сенім қатынасын жасаңыз

  1. AD FS серверіңізге кіріп, Серверлер диспетчері опциясын ашыңыз.

  2. Басқару консолін ашыңыз: Құралдар → AD FS серверін басқару опциясын басыңыз.

  3. Әрекеттер тізімінен Тексеруші тараптың сенім қатынастарын қосу опциясын таңдаңыз.

  4. Қолдау көрсететін бекітулер параметрін таңдаңыз және Бастау түймесін басыңыз.

  5. Қатынасты автоматты түрде реттеу үшін Дереккөзді таңдау қадамында Интернетте немесе жергілікті желіде жарияланған тексеруші тарап деректерін импорттау опциясын таңдап, URL мекенжайын енгізіңіз: https://passport.yandex.ru/auth/sso/metadata.

    Әрі қарай батырмасын басыңыз.

    Қатынасты қолмен қалай орнатуға болады

    1. Дереккөзді таңдау қадамында Тексеруші тараптың деректерін қолмен енгізу опциясын таңдаңыз. Содан кейін Әрі қарай түймесін басыңыз.

    2. Қатынасқа кез келген атау, мысалы, «Яндекс 360» орнатыңыз. Әрі қарай батырмасын басыңыз.

    3. Сертификатты реттеу қадамын өткізіп жіберіңіз, ол үшін Әрі қарай түймесін басыңыз.

    4. SAML 2.0 WebSSO протоколына қолдау көрсетуді қосу опциясын белгілеп, URL мекенжайын көрсетіңіз: https://passport.yandex.ru/auth/sso/commit. Әрі қарай батырмасын басыңыз.

    5. https://yandex.ru/ идентификаторын қосыңыз (соңғы жағында міндетті түрде қиғаш сызықпен) — оны өріске қойып, Қосу түймесін басыңыз. Содан кейін Әрі қарай түймесін басыңыз.

    6. Рұқсатты басқару саясатын таңдау қадамын өткізіп жіберіңіз.

  6. Деректерді тексеріңіз. Қосымша қойындысында SHA-256 хештеу алгоритмінің таңдалғанына көз жеткізіңіз. Егер барлығы дұрыс болса, Әрі қарай → Жабу тармағын басыңыз.

    Егер қатынасты автоматты түрде реттеу опциясын пайдалансаңыз, бірден 3-қадамға өтіңіз. Қатынасты қолмен жасаған жағдайда, 2-қадамды орындаңыз.

2-қадам. Тілдік домендерге арналған соңғы нүктелерді қосыңыз

Назар аударыңыз

Егер 5-тармақтың 1-қадамында қатынасты автоматты түрде реттеу опциясын таңдасаңыз, бұл қадамды өткізіп жіберіңіз.

Егер қызметкерлеріңіз Яндекс 360 сервистерін тек орыс тілінде ғана пайдаланбайтын болса, қосымша соңғы нүктелер ретінде тілдік домендердің URL мекенжайларын қосыңыз:

  1. Басқару консолінде Тексеруші тараптың сенім қатынастары опциясын басыңыз.

  2. 1-қадамда жасалған қатынастың реттеулерін ашыңыз — ол үшін оны екі рет басыңыз.

  3. Соңғы нүктелер қойындысына өтіңіз.

  4. Сізге қажет соңғы нүктелерді қосыңыз.

    Тілдік домен үшін соңғы нүктені қосу үшін SAML протоколын қосу опциясын басып, Байланыстыру мәнінде POST параметрін таңдап, URL мекенжайын көрсетіңіз:

    • https://passport.yandex.com/auth/sso/commit — ағылшын тілі үшін;

    • https://passport.yandex.kz/auth/sso/commit — қазақ тілі үшін;

    • https://passport.yandex.uz/auth/sso/commit — өзбек тілі үшін;

    • https://passport.yandex.com.tr/auth/sso/commit — түрік тілі үшін;

    Толық тізім

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

    Содан кейін ОК түймесін басыңыз.

3-қадам. Пайдаланушылардың бекітулерін салыстыруды реттеңіз

Бекітулерді салыстыруды реттеу үшін төлсипатты көрсету қажет. Ол Яндекс ID жүйесінде пайдаланушыны анықтау үшін қолданылады. Төлсипатты таңдағаннан кейін, оны өзгерту мүмкін болмайды.

  • Егер пайдаланушының кіру атаулары өзгермесе, «UPN» төлсипатын көрсетіңіз.

  • Егер ұйымыңызда доменді немесе бизнес-процестерді өзгерту жоспарланған болса, бұл пайдаланушылардың UPN мәнінің өзгеруіне әкелуі мүмкін, басқа төлсипатты таңдау қажет болады: «objectSID», «objectGUID» немесе басқа.

Төлсипатты көрсету жолы:

  1. Тексеруші тараптың сенім қатынастары блогында 1-қадамда жасалған қатынасты тінтуірдің оң жақ түймесімен басып, Сұрауларды жіберу саясатын өзгерту опциясын таңдаңыз.

  2. Ережені қосу түймесін басыңыз.

  3. Бекіту ережесінің үлгісі өрісінде Кіріс бекітуді түрлендіру опциясын таңдап, Әрі қарай түймесін басыңыз.

  4. Ереженің кез келген атауын ойлап табыңыз, мысалы, «NameID» және оны Бекіту ережесінің атауы өрісінде көрсетіңіз.

    Шығыс бекітудің түрі өрісінде Name ID параметрін таңдаңыз. Дайын батырмасын басыңыз.

  5. Тағы бір ережені жасаңыз: Ережені қосу опциясын қайта басыңыз. LDAP төлсипаттарын бекітулер ретінде жіберу үлгісін таңдап, Әрі қарай түймесін басыңыз.

  6. Ереже атауын орнатыңыз, мысалы, «LDAPATTR». Қалған өрістерді төменде көрсетілгендей толтырыңыз.

    Содан кейін Дайын түймесін басыңыз.

    Төлсипат атаулары формат пен регистрге сезімтал. Атауларды дәл суретте көрсетілгендей көрсетіңіз: User.Firstname, User.Surname, User.EmailAddress. Кері жағдайда авторизация кезінде қателер пайда болуы мүмкін, мысалы, email.no_in_response.

  1. Тексеруші тараптың сенім қатынастары блогында 1-қадамда жасалған қатынасты тінтуірдің оң жақ түймесімен басып, Сұрауларды жіберу саясатын өзгерту опциясын таңдаңыз.

  2. Ережені қосу түймесін басыңыз. LDAP төлсипаттарын бекітулер ретінде жіберу үлгісін таңдап, Әрі қарай түймесін басыңыз.

  3. Ереже атауын орнатыңыз, мысалы, «LDAPATTR». Қалған өрістерді төменде көрсетілгендей толтырыңыз. «Name ID» түріне қарама-қарсы төлсипатты көрсетіңіз: «objectGUID», «objectSID» немесе басқа.

    Содан кейін Дайын түймесін басыңыз.

    Төлсипат атаулары формат пен регистрге сезімтал. Атауларды дәл суретте көрсетілгендей көрсетіңіз: User.Firstname, User.Surname, User.EmailAddress. Кері жағдайда авторизация кезінде қателер пайда болуы мүмкін, мысалы, email.no_in_response.

4-қадам. Яндекс 360 қызметіне жіберу қажет деректерді жинаңыз

Кіру бетінің URL мекенжайы

Кіру нүктесінің мекенжайы. Әдетте ол https://домен/adfs/ls

Басқару консолінде Соңғы нүктелер опциясын ашып, /adfs/ls/ Қосылған проксимен параметрі үшін Иә мәнінің орнатылғанына көз жеткізіңіз. Бұл параметр AD FS ішінде аутентификация бетін іске қосуға жауап береді, ол сырттан қолжетімді болуы керек — https://домен_ADFS/adfs/ls/idpinitiatedsignon.aspx түріндегі мекенжай.

Куәліктер жеткізушісінің баспагері

Доменнің Entity ID мәні. Әдетте ол http://домен/adfs/services/trust

Оны алу үшін басқару консолінде Әрекет қойындысына өтіп, Федерация қызметінің сипаттарын өзгерту опциясын таңдаңыз.

Қажетті мән Федерация қызметінің идентификаторы өрісінде орналасқан.

Тексеру сертификаты

Base64 ішіндегі X.509 форматындағы токендер қолтаңбасының сертификаты. Алу үшін:

1. Басқару консолінде Сертификаттар опциясын ашыңыз.

2. Маркер қолтаңбасы үшін сертификатыңызды екі рет басыңыз.

3. Құрамы қойындысына өтіп, Файлға көшіріп алу түймесін басыңыз.

4. Base-64 кодтауындағы X.509 (.CER) файлдары сертификат түрін таңдап, Әрі қарай түймесін басыңыз.

5. Файлды қатты дискіге сақтаңыз.

Егер сізде екі белсенді токен қолтаңба сертификаты болса және қазір қандай сертификат қолданылатынына сенімді болмасаңыз, екінші сертификат үшін ұқсас әрекеттерді қайталаңыз.

5-қадам. SCIM қызметкерлерді синхрондау опциясын реттеңіз

Әдепкі бойынша, жаңа қызметкерлер Яндекс 360 қызметінде бірінші авторизациядан кейін ғана пайда болады, ал бұрынғы қызметкерлерді қолмен жою керек. Егер AD FS ішінен Бизнеске арналған Яндекс 360 қызметіне қызметкерлер тізімін автоматты түрде синхрондағыңыз келсе, SCIM синхрондауын қосыңыз.

Реттеуге қатысты мәселелерді шешу

Егер куәліктер жеткізушісін реттеу процесі кезінде қате мәндер орнатылса, SSO арқылы кіруге тырысқанда, сіз «Авторизация орындалмады» хабарын және қате кодын көресіз:

email.no_in_response

Төлсипаттардың атауларын User.Firstname, User.Surname, User.EmailAddress форматында көрсетіңіз. Басқа форматты, мысалы, Firstname орнатсаңыз, авторизациядан өту мүмкін болмайды.

request_your_admin

Ұйымыңыздың пайдаланушылар каталогінің әкімшісі аккаунт үшін Яндекс 360 қызметін пайдалану мүмкіндігін шектесе, қате пайда болады. Толық ақпарат алу үшін ұйымыңыздың техникалық қолдау көрсету мамандарына хабарласыңыз.

samlresponse.invalid

Қате кіру бетінің URL мекенжайы, куәлік жеткізушісінің баспагері немесе тексеру сертификаты дұрыс көрсетілмеген кезде орын алады. Ол сондай-ақ тексеру сертификаты біткенге дейін 14 күн ішінде немесе осы мерзімнен кейін пайда болуы мүмкін. Бизнеске арналған Яндекс 360 қызметіндегі SSO реттеулерінің дұрыстығын тексеріңіз.

unsupportable_domain

SAML response ішіндегі User.EmailAddress пошта төлсипатының домені негізгі доменмен немесе Яндекс 360 ұйымының алиас доменімен бірдей екенін тексеріңіз.
Қолдау қызметіне жазу

Microsoft компаниясы ұсынатын, әртүрлі жүйелерді және қолданбаларды пайдалану үшін бірыңғай кіруді ұйымдастыруға мүмкіндік беретін технология. Active Directory федерациясының қызметтеріне шолу

Алдыңғы
Қалай қосуға болады
Келесі
Active Directory реттеу (EN)