Active Directory реттеу (ағылшын тіліндегі интерфейс)

Яндекс 360 сервистеріне Active Directory федерация сервисі арқылы бірыңғай кіруді (SSO) ұйымдастыру үшін серверді алдын ала реттеу керек.

1-қадам. Тексеруші тараппен сенім қатынасын жасаңыз

  1. AD FS серверіңізге кіріп, Server Manager опциясын ашыңыз.

  2. Басқару консолін ашыңыз: Tools → AD FS Management опциясын басыңыз.

  3. Әрекеттер тізімінен Add Relying Party Trust опциясын таңдаңыз.

  4. Claims aware параметрін таңдаңыз және Start түймесін басыңыз.

  5. Қатынасты автоматты түрде реттеу үшін, Select Data Source қадамында Import data about the relying party published online or on a local network параметрін таңдап, URL мекенжайын енгізіңіз: https://passport.yandex.ru/auth/sso/metadata.

    Next түймесін басыңыз.

    Қатынасты қолмен қалай орнатуға болады

    1. Select Data Source қадамында Enter data about the relying party manually параметрін таңдаңыз. Содан кейін Next түймесін басыңыз.

    2. Қатынасқа кез келген атау, мысалы, «Яндекс 360» орнатыңыз. Next түймесін басыңыз.

    3. Configure Certificate қадамын өткізіп жіберіңіз, ол үшін Next түймесін басыңыз.

    4. Enable support for the SAML 2.0 WebSSO protocol параметрін белгілеп Service URL мекенжайын көрсетіңіз: https://passport.yandex.ru/auth/sso/commit. Next түймесін басыңыз.

    5. https://yandex.ru/ идентификаторын қосыңыз (соңғы жағында міндетті түрде қиғаш сызықпен) — оны өріске қойып, Add түймесін басыңыз. Содан кейін Next түймесін басыңыз.

    6. Choose Access Control Policy қадамын өткізіп жіберіңіз.

  6. Деректерді тексеріңіз. Advanced қойындысында SHA-256 хештеу алгоритмінің таңдалғанына көз жеткізіңіз. Егер барлығы дұрыс болса, Next → Close тармағын басыңыз.

    Егер қатынасты автоматты түрде реттеу опциясын пайдалансаңыз, бірден 3-қадамға өтіңіз. Қатынасты қолмен жасаған жағдайда, 2-қадамды орындаңыз.

2-қадам. Тілдік домендерге арналған соңғы нүктелерді қосыңыз

Назар аударыңыз

Егер 5-тармақтың 1-қадамында қатынасты автоматты түрде реттеу опциясын таңдасаңыз, бұл қадамды өткізіп жіберіңіз.

Егер қызметкерлеріңіз Яндекс 360 сервистерін тек орыс тілінде ғана пайдаланбайтын болса, қосымша соңғы нүктелер ретінде тілдік домендердің URL мекенжайларын қосыңыз:

  1. Басқару консолінде Trust Relationships → Relying Party Trusts тармағын басыңыз.

  2. 1-қадамда жасалған қатынастың реттеулерін ашыңыз — ол үшін оны екі рет басыңыз.

  3. Endpoints қойындысына өтіңіз.

  4. Сізге қажет соңғы нүктелерді қосыңыз.

    Тілдік домен үшін соңғы нүктені қосу үшін, Add SAML опциясын басып, Binding мәнінде POST параметрін таңдап, URL мекенжайын көрсетіңіз:

    • https://passport.yandex.com/auth/sso/commit — ағылшын тілі үшін;

    • https://passport.yandex.kz/auth/sso/commit — қазақ тілі үшін;

    • https://passport.yandex.uz/auth/sso/commit — өзбек тілі үшін;

    • https://passport.yandex.com.tr/auth/sso/commit — түрік тілі үшін;

    Толық тізім

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

    Содан кейін ОК түймесін басыңыз.

3-қадам. Claims Mapping опциясын реттеңіз

Бекітулерді салыстыруды реттеу үшін төлсипатты көрсету қажет. Ол Яндекс ID жүйесінде пайдаланушыны анықтау үшін қолданылады. Төлсипатты таңдағаннан кейін, оны өзгерту мүмкін болмайды.

  • Егер пайдаланушының кіру атаулары өзгермесе, «UPN» төлсипатын көрсетіңіз.

  • Егер ұйымыңызда доменді немесе бизнес-процестерді өзгерту жоспарланған болса, бұл пайдаланушылардың UPN мәнінің өзгеруіне әкелуі мүмкін, басқа төлсипатты таңдау қажет болады: «objectSID», «objectGUID» немесе басқа.

Төлсипатты көрсету жолы:

  1. Trust Relationships блогында 1-қадамда жасалған қатынасты тінтуірдің оң жақ түймесімен басып, Edit Claim Issuance Policy опциясын таңдаңыз.

  2. Add Rule опциясын басыңыз.

  3. Claim rule template ретінде Transform an Incoming Claim параметрін таңдап, Next түймесін басыңыз.

  4. Ереженің кез келген атауын ойлап табыңыз, мысалы, «NameID» және оны Claim rule name өрісінде көрсетіңіз.

    Outgoing claim type өрісінде Name ID параметрін таңдаңыз. Finish опциясын басыңыз.

  5. Тағы бір ережені жасаңыз: Add Rule опциясын қайта басыңыз. Send LDAP Attributes as Claims үлгісін таңдап, Next түймесін басыңыз.

  6. Ереже атауын орнатыңыз, мысалы, «LDAPATTR». Қалған өрістерді төменде көрсетілгендей толтырыңыз.

    Содан кейін Finish түймесін басыңыз.

    Төлсипат атаулары формат пен регистрге сезімтал. Атауларды дәл суретте көрсетілгендей көрсетіңіз: User.Firstname, User.Surname, User.EmailAddress. Кері жағдайда авторизация кезінде қателер пайда болуы мүмкін, мысалы, email.no_in_response.

  1. Trust Relationships блогында 1-қадамда жасалған қатынасты тінтуірдің оң жақ түймесімен басып, Edit Claim Issuance Policy опциясын таңдаңыз.

  2. Add Rule опциясын басыңыз. Send LDAP Attributes as Claims үлгісін таңдап, Next түймесін басыңыз.

  3. Ереже атауын орнатыңыз, мысалы, «LDAPATTR». Қалған өрістерді төменде көрсетілгендей толтырыңыз. «Name ID» түріне қарама-қарсы төлсипатты көрсетіңіз: «objectGUID», «objectSID» немесе басқа.

    Содан кейін Finish түймесін басыңыз.

    Төлсипат атаулары формат пен регистрге сезімтал. Атауларды дәл суретте көрсетілгендей көрсетіңіз: User.Firstname, User.Surname, User.EmailAddress. Кері жағдайда авторизация кезінде қателер пайда болуы мүмкін, мысалы, email.no_in_response.

4-қадам. Яндекс 360 қызметіне жіберу қажет деректерді жинаңыз

Кіру бетінің URL мекенжайы

Кіру нүктесінің мекенжайы. Әдетте ол https://домен/adfs/ls

Басқару консолінде Endpoints опциясын ашып, /adfs/ls/ Proxy Enabled параметрі үшін Yes мәнінің орнатылғанына көз жеткізіңіз. Бұл параметр AD FS ішінде аутентификация бетін іске қосуға жауап береді, ол сырттан қолжетімді болуы керек — https://домен_ADFS/adfs/ls/idpinitiatedsignon.aspx түріндегі мекенжай.

Куәліктер жеткізушісінің баспагері

Доменнің Entity ID мәні. Әдетте ол http://домен/adfs/services/trust

Оны алу үшін басқару консолінде Action қойындысына өтіп, Edit Federation Service Properties опциясын таңдаңыз.

Қажетті мән Federation Service identifier өрісінде орналасқан.

Тексеру сертификаты

Base64 ішіндегі X.509 форматындағы токендер қолтаңбасының сертификаты. Алу үшін:

1. Басқару консолінде Certificates опциясын ашыңыз.

2. Token-signing сертификатыңызды екі рет басыңыз.

3. Details қойындысына өтіп, Copy to File опциясын басыңыз.

4. Base-64 encoded X.509 (.CER) сертификат түрін таңдап, Next түймесін басыңыз.

5. Файлды қатты дискіге сақтаңыз.

Егер сізде екі белсенді токен қолтаңба сертификаты болса және қазір қандай сертификат қолданылатынына сенімді болмасаңыз, екінші сертификат үшін ұқсас әрекеттерді қайталаңыз.

5-қадам. SCIM қызметкерлерді синхрондау опциясын реттеңіз

Әдепкі бойынша, жаңа қызметкерлер Яндекс 360 қызметінде бірінші авторизациядан кейін ғана пайда болады, ал бұрынғы қызметкерлерді қолмен жою керек. Егер AD FS ішінен Бизнеске арналған Яндекс 360 қызметіне қызметкерлер тізімін автоматты түрде синхрондағыңыз келсе, SCIM синхрондауын қосыңыз.

Реттеуге қатысты мәселелер

Егер төлсипаттардың қате мәндері орнатылса, SSO арқылы кіру кезінде, сіз «Авторизация сәтсіз аяқталды» хабарын және қате кодын көресіз:

email.no_in_response

Төлсипаттардың атауларын User.Firstname, User.Surname, User.EmailAddress форматында көрсетіңіз. Басқа форматты, мысалы, Firstname орнатсаңыз, авторизациядан өту мүмкін болмайды.

request_your_admin

Ұйымыңыздың пайдаланушылар каталогінің, мысалы, Active Directory немесе Keycloak әкімшісі аккаунт үшін Яндекс 360 қызметін пайдалану мүмкіндігін шектегенде, қате пайда болады. Толық ақпарат алу үшін ұйымыңыздың техникалық қолдау көрсету мамандарына хабарласыңыз.

samlresponse.invalid

Қате кіру бетінің URL мекенжайы, куәлік жеткізушісінің баспагері немесе тексеру сертификаты дұрыс көрсетілмеген кезде орын алады. Ол сондай-ақ тексеру сертификаты біткенге дейін 14 күн ішінде немесе осы мерзімнен кейін пайда болуы мүмкін. Бизнеске арналған Яндекс 360 қызметіндегі SSO реттеулерінің дұрыстығын тексеріңіз.

unsupportable_domain

SAML response ішіндегі User.EmailAddress пошта төлсипатының домені негізгі доменмен немесе Яндекс 360 ұйымының алиас доменімен бірдей екенін тексеріңіз.
Қолдау қызметіне жазу

Microsoft компаниясы ұсынатын, әртүрлі жүйелерді және қолданбаларды пайдалану үшін бірыңғай кіруді ұйымдастыруға мүмкіндік беретін технология. Active Directory федерациясының қызметтеріне шолу

Алдыңғы
Active Directory реттеу
Келесі
Azure Active Directory реттеу