Multifactor реттеу

Яндекс 360 сервистеріне Multifactor арқылы бірыңғай кіруді (SSO) ұйымдастыру үшін өзіне-өзі сервис көрсету Multifactor порталын алдын ала реттеп, SAML қолданбасын жасау керек.

Пайдаланушылар YandexADSCIM утилитасының көмегімен алдын ала жасалуы тиіс, сонымен бірге NameID ретінде тек домен көрсетілген UPN пайдаланыла алады.

1-қадам. SAML қолданбасын жасаңыз және реттеңіз

1. Multifactor әкімшісінің аккаунтына кіріңіз.

2. SAML қолданбасын жасаңыз:

   1. Сол жақтағы панельде Ресурстар опциясын таңдап, Ресурс қосу → SAML қолданбасы тармағын басыңыз.

   2. Name өрісінде қолданбаның ерікті атауын, мысалы, yandex360 көрсетіңіз.

   3. Address өрісін бос қалдырыңыз.

   4. Identity Provider өрісінде Active Directory опциясын таңдаңыз.

   5. portal мекенжайы өрісіне алдын ала реттелген өзіне-өзі қолдау көрсету Multifactor порталының мекенжайын (сыртқы немесе ішкі) енгізіңіз.

   6. Жаңа пайдаланушыларды реттеу опциясын қосыңыз.

   7. Сақтау түймесін басыңыз, SAML қолданбасын реттеу беті ашылады.

   

3. SAML қолданбасының параметрлерін реттеңіз:

   1. sp_metadata.xml атауы бар XML файлын жасап, оған келесі кодты қосыңыз:

      <?xml version="1.0"?>
      <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" 
                            entityID="https://yandex.ru/">
          <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
              <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
              <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
                            Location="https://passport.yandex.ru/auth/sso/commit" index="1" />
          </md:SPSSODescriptor>
      </md:EntityDescriptor>
      

   2. Параметрлерді көрсетіп, файлды сақтаңыз:

      • entityID — https://yandex.ru/ (соңғы жағында міндетті түрде қиғаш сызықпен).
      • Location — https://passport.yandex.ru/auth/sso/commit.

   3. SAML қолданбасын реттеу бетінде Service Provider блогында Upload Metadata опциясын басып, жасалған sp_metadata.xml файлын жүктеп салыңыз.

   

2-қадам. Яндекс 360 қызметіне жіберу қажет деректерді жинаңыз

1. SAML қолданбасын реттеу бетінде Multifactor Metadata блогында Open Link опциясын басыңыз.

2. XML файлы ашылады, SSO үшін келесі деректер қажет болады:

   • Кіру бетінің URL мекенжайы — кіру нүктесінің мекенжайы. Мән Location өрісінде SingleSignOnService параметрі бар жолда көрсетілген.

   • Куәліктер жеткізушісінің баспагері — доменнің Entity ID мәні. Мән entityID өрісінде көрсетілген.

   • Тексеру сертификаты — X.509 форматындағы токендер қолтаңбасының сертификаты. Мән X509Certificate өрісінде көрсетілген.

   

Осыдан кейін Бизнеске арналған Яндекс 360 реттеуіне өтіңіз.

Реттеуге қатысты мәселелерді шешу

Егер куәліктер жеткізушісін реттеу процесі кезінде қате мәндер орнатылса, SSO арқылы кіруге тырысқанда, сіз «Авторизация орындалмады» хабарын және қате кодын көресіз:

email.no_in_response

Төлсипаттардың атауларын User.Firstname, User.Surname, User.EmailAddress форматында көрсетіңіз. Басқа форматты, мысалы, Firstname орнатсаңыз, авторизациядан өту мүмкін болмайды.

request_your_admin

Ұйымыңыздың пайдаланушылар каталогінің әкімшісі аккаунт үшін Яндекс 360 қызметін пайдалану мүмкіндігін шектесе, қате пайда болады. Толық ақпарат алу үшін ұйымыңыздың техникалық қолдау көрсету мамандарына хабарласыңыз.

samlresponse.invalid

Қате кіру бетінің URL мекенжайы, куәлік жеткізушісінің баспагері немесе тексеру сертификаты дұрыс көрсетілмеген кезде орын алады. Ол сондай-ақ тексеру сертификаты біткенге дейін 14 күн ішінде немесе осы мерзімнен кейін пайда болуы мүмкін. Бизнеске арналған Яндекс 360 қызметіндегі SSO реттеулерінің дұрыстығын тексеріңіз.

unsupportable_domain

SAML response ішіндегі User.EmailAddress пошта төлсипатының домені негізгі доменмен немесе Яндекс 360 ұйымының алиас доменімен бірдей екенін тексеріңіз. Егер олар сәйкес келмесе, қате туралы хабар көрсетіледі.