Avanpost FAM реттеу

Яндекс 360 сервистеріне Avanpost FAM бірегей аутентификация жүйесі арқылы бірыңғай кіруді (SSO) ұйымдастыру үшін SAML қолданбасын алдын ала жасап, реттеу керек.

1-қадам. SAML қолданбасын жасаңыз және реттеңіз

  1. Avanpost жүйесінде авторизациядан өтіңіз.

  2. Avanpost FAM веб-интерфейсін ашыңыз.

  3. SAML қолданбасын жасаңыз: Қолданбалар бөліміне өтіп, Қолданба қосу опциясын басыңыз.

  4. Қолданбаның Негізгі реттеулерін орнатыңыз.

    1. Атауы — қолданбаның ерікті атауын, мысалы, «Yandex360» көрсетіңіз.

    2. Түрі — SAML түрін таңдаңыз.

    3. Қолданбаны пайдаланушыларға көрсету опциясының қосылғанын тексеріңіз.

    4. Әрі қарай батырмасын басыңыз.

  5. Интеграция реттеулерін орнатыңыз:

    1. Issuer өрісіне https://yandex.ru/ (соңғы жағында міндетті түрде қиғаш сызықпен) параметрін енгізіңіз.

    2. ACS өрісіне Service URL: https://passport.yandex.ru/auth/sso/commit параметрін енгізіңіз.

    3. Негізгі URL және Logout өрістерін бос қалдырыңыз.

    4. NameID Format параметрін орнатыңыз — тізімнен Тұрақты опциясын таңдаңыз.

    5. NameID мәні өрісінде SAML SSO кезіндегі NameID ретінде пайдаланатын идентификаторды таңдаңыз: Пайдаланушының аты немесе Электрондық пошта мекенжайы.

    6. Әрі қарай батырмасын басыңыз.

  6. Аутентификация реттеулерін орнатыңыз:

    1. Жаңа аутентификация процесі үшін пайдаланушы аты мен құпия сөзі бойынша тексеруді орнатыңыз: ұсынылған факторлар тізімінде Password әдісін қосыңыз.

    2. Басқа әдістерді өшірулі күйде қалдырыңыз.

    3. Әрі қарай батырмасын басыңыз.

  7. Қолданбаны іске қосыңыз:

    1. Қолданбаны белсенді ету опциясын белгілеңіз.

    2. Сақтау түймесін басыңыз.

2-қадам. Пайдаланушылардың төлсипаттарын салыстыруды реттеңіз

  1. Avanpost FAM веб-интерфейсінің Қолданбалар бөлімінде 1-қадамда жасалған SAML қолданбасын таңдаңыз.

  2. Ашылған терезеде Attributes қойындысына өтіңіз.

  3. белгішесін басып, үш төлсипатты бір-бірден қосыңыз:

    • User.EmailAddress — электрондық пошта мекенжайы;

    • User.Surname — тегі;

    • User.Firstname — аты.

  4. Avanpost FAM және Яндекс 360 төлсипаттарын синхрондауды реттеңіз: әрбір төлсипатты ашып, мәндер көздерінің параметрлерін өзгертіңіз.

    Бизнеске арналған Яндекс 360 қолдау көрсететін SAML Attribute Name мәндері кестеде келтірілген.

    SAML Attribute Name

    Мәні

    User.EmailAddress

    user.email

    User.Firstname

    user.family_name

    User.Surname

    user.given_name

    Нәтижесінде төлсипаттарды салыстыру келесідей көрсетіледі:

3-қадам. Бизнеске арналған Яндекс 360 қызметіне жіберілетін деректерді жинаңыз

Бірыңғай кіруді реттеуге қажетті негізгі параметрлерді келесі сілтеме арқылы алуға болады

http://<avanpost hostmane/IP>/.well-known/samlidp.xml

бұл жерде <avanpost hostmane/IP> — хост атауы немесе сервис қолжетімді IP мекенжайы.

SSO үшін келесі деректер қажет болады:

  • Кіру бетінің URL мекенжайы — кіру нүктесінің мекенжайы. Мән Location өрісінде көрсетілген.

  • Куәліктер жеткізушісінің баспагері — доменнің Entity ID мәні. Мән entityID өрісінде көрсетілген.

  • Тексеру сертификаты — X.509 форматындағы токендер қолтаңбасының сертификаты. Мән X509Certificate өрісінде көрсетілген.

Реттеуге қатысты мәселелерді шешу

Егер куәліктер жеткізушісін реттеу процесі кезінде қате мәндер орнатылса, SSO арқылы кіруге тырысқанда, сіз «Авторизация орындалмады» хабарын және қате кодын көресіз:

email.no_in_response

Төлсипаттардың атауларын User.Firstname, User.Surname, User.EmailAddress форматында көрсетіңіз. Басқа форматты, мысалы, Firstname орнатсаңыз, авторизациядан өту мүмкін болмайды.

request_your_admin

Ұйымыңыздың пайдаланушылар каталогінің әкімшісі аккаунт үшін Яндекс 360 қызметін пайдалану мүмкіндігін шектесе, қате пайда болады. Толық ақпарат алу үшін ұйымыңыздың техникалық қолдау көрсету мамандарына хабарласыңыз.

samlresponse.invalid

Қате кіру бетінің URL мекенжайы, куәлік жеткізушісінің баспагері немесе тексеру сертификаты дұрыс көрсетілмеген кезде орын алады. Ол сондай-ақ тексеру сертификаты біткенге дейін 14 күн ішінде немесе осы мерзімнен кейін пайда болуы мүмкін. Бизнеске арналған Яндекс 360 қызметіндегі SSO реттеулерінің дұрыстығын тексеріңіз.

unsupportable_domain

SAML response ішіндегі User.EmailAddress пошта төлсипатының домені негізгі доменмен немесе Яндекс 360 ұйымының алиас доменімен бірдей екенін тексеріңіз. Егер олар сәйкес келмесе, қате туралы хабар көрсетіледі.
Қолдау қызметіне жазу
Алдыңғы
Keycloak 19 және одан кейінгі нұсқасын реттеу
Келесі
Multifactor реттеу