Қалай қосуға болады

Егер сізде куәліктер жеткізушісі қосылған және реттелген болса, оны Яндекс 360 қызметіне қосуға болады. Ол үшін куәліктер федерациясын реттеу, содан кейін Бизнеске арналған Яндекс 360 қызметінің өзін реттеу қажет.

Ұйымға қойылатын талаптар

Бірыңғай кіру (SSO) Кеңейтілген және Оңтайлы тарифтерінде қолжетімді. Негізгі тарифке өткен кезде SSO өшіріледі.

Бірыңғай кіру (SSO) опциясын реттеуге өтпес бұрын, ұйымыңызда төмендегілер орындалғанын тексеріңіз.

SSO қолжетімді тариф қосылған.
Домен қосылған.
Ұйым доменінде жасалған қызметкерлер аккаунттары жоқ. Қызметкерлердің домендік аккаунттары — login@example.com түріндегі мекенжайлары бар аккаунттар, ондағы @example.com — ұйымыңыздың атауы (домен). Мұндай аккаунттар ұйым әкімшісінің тарапынан Пайдаланушылар → Қызметкерлер бөлімінде қолмен қосылады.

1-қадам. Куәліктер федерациясын реттеңіз

Сіздегі куәліктер федерациясы Яндекс 360 қызметімен өзара әрекеттесе алуы үшін, оны реттеу қажет.

Мұны әртүрлі куәліктер жеткізушілері үшін қалай жасау керектігі туралы келесі бөлімдерден оқыңыз:

Куәліктер жеткізушісі сіз пайдаланып жатқан каталог қызметімен үйлесімді екеніне көз жеткізіңіз. Сәйкестіктер кестеде берілген.

Каталог қызметі	Куәліктер жеткізушісі
Microsoft Active Directory	Microsoft AD FS Keycloak Avanpost FAM Multifactor
Samba DC	Keycloak Avanpost FAM Multifactor
Red ADM	Keycloak Avanpost FAM Multifactor
ALD Pro	Keycloak Avanpost FAM Multifactor
FreeIPA	Keycloak Avanpost FAM Multifactor

Егер сізде басқа куәліктер жеткізушісі болса, оның құжаттамасымен танысыңыз. Сонымен қатар біздің нұсқауларды пайдалануға болады. Реттеу кезінде міндетті түрде келесі параметрлерді көрсетіңіз:

Service URL: https://passport.yandex.ru/auth/sso/commit.
Идентификатор: https://yandex.ru/ (соңғы жағында міндетті түрде қиғаш сызықпен).
Егер қызметкерлеріңіз сервистерді орыс тілінде ғана пайдаланбайтын болса, қосымша POST байламы бар соңғы нүктелер (Endpoints) ретінде басқа тілдік домендердің URL мекенжайларын қосыңыз. Мысалы:
- https://passport.yandex.com/auth/sso/commit — ағылшын тілі үшін;
- https://passport.yandex.kz/auth/sso/commit — қазақ тілі үшін;
- https://passport.yandex.uz/auth/sso/commit — өзбек тілі үшін;
- https://passport.yandex.com.tr/auth/sso/commit — түрік тілі үшін;
Толық тізім
- https://passport.yandex.com/auth/sso/commit
- https://passport.yandex.az/auth/sso/commit
- https://passport.yandex.by/auth/sso/commit
- https://passport.yandex.co.il/auth/sso/commit
- https://passport.yandex.com/auth/sso/commit
- https://passport.yandex.com.am/auth/sso/commit
- https://passport.yandex.com.ge/auth/sso/commit
- https://passport.yandex.com.tr/auth/sso/commit
- https://passport.yandex.ee/auth/sso/commit
- https://passport.yandex.eu/auth/sso/commit
- https://passport.yandex.fi/auth/sso/commit
- https://passport.yandex.fr/auth/sso/commit
- https://passport.yandex.kg/auth/sso/commit
- https://passport.yandex.kz/auth/sso/commit
- https://passport.yandex.lt/auth/sso/commit
- https://passport.yandex.lv/auth/sso/commit
- https://passport.yandex.md/auth/sso/commit
- https://passport.yandex.pl/auth/sso/commit
- https://passport.yandex.ru/auth/sso/commit
- https://passport.yandex.tj/auth/sso/commit
- https://passport.yandex.tm/auth/sso/commit
- https://passport.yandex.uz/auth/sso/commit

Сондай-ақ кіру бетінің URL мекенжайын, куәліктер жеткізушісінің идентификаторын және X.509 тексеру сертификатын алыңыз. Олар сізге келесі қадамда қажет болады.

2-қадам. Бизнеске арналған Яндекс 360 қызметін реттеңіз

Бизнеске арналған Яндекс 360 қызметін ашыңыз.
Жалпы реттеулер → Бірыңғай кіру (SSO) бөліміне өтіңіз.
Реттеу опциясын басыңыз.
Міндетті параметрлері бар өрістерді толтырыңыз:
- Кіру бетінің URL мекенжайы — SAML 2.0 соңғы нүктесінің URL мекенжайы.
- Куәліктер жеткізушісінің баспагері — IdP субъектісінің идентификаторы.
- Тексеру сертификаты — куәліктер жеткізушісінен алынған сертификат.
  
  Егер ағымдағы сертификат жақын арада аяқталса, оны ауыстыру үшін екіншісін қосуға болады, ол үшін Жаңарту үшін екінші сертификатты қосу түймесін басыңыз.
LDAP каталогтеріндегі есептік жазбаларды синхрондау үшін: Яндекс 360 ішіндегі қызметкерлер тізімін автоматты түрде жаңарту үшін синхрондауды реттеңіз және SCIM синхрондау блогында қолданбаңыздың идентификаторын көрсетіңіз.
Өзгерістерді сақтаңыз.
Қосу батырмасын басыңыз.

3-қадам. Аутентификацияны тексеріңіз

Браузерді қонақ немесе инкогнито режимінде ашыңыз.
passport.yandex.kz/auth бетіне өтіп, куәліктер жеткізушісінен есептік жазба логинін енгізіңіз және Кіру түймесін басыңыз. Егер бәрі дұрыс реттелсе, сіз 2-қадамда көрсеткен кіру бетіне бағытталасыз.

Мәселелерді түзету және жою

Егер куәліктер жеткізушісін реттеу процесі кезінде қате мәндер орнатылса, SSO арқылы кіруге тырысқанда, сіз «Авторизация орындалмады» хабарын және қате кодын көресіз:

email.no_in_response

: Төлсипаттардың атауларын User.Firstname, User.Surname, User.EmailAddress форматында көрсетіңіз. Басқа форматты, мысалы, Firstname орнатсаңыз, авторизациядан өту мүмкін болмайды.

request_your_admin

: Ұйымыңыздың пайдаланушылар каталогінің әкімшісі аккаунт үшін Яндекс 360 қызметін пайдалану мүмкіндігін шектесе, қате пайда болады. Толық ақпарат алу үшін ұйымыңыздың техникалық қолдау көрсету мамандарына хабарласыңыз.

samlresponse.invalid

: Қате кіру бетінің URL мекенжайы, куәлік жеткізушісінің баспагері немесе тексеру сертификаты дұрыс көрсетілмеген кезде орын алады. Ол сондай-ақ тексеру сертификаты біткенге дейін 14 күн ішінде немесе осы мерзімнен кейін пайда болуы мүмкін. Бизнеске арналған Яндекс 360 қызметіндегі SSO реттеулерінің дұрыстығын тексеріңіз.

unsupportable_domain

: SAML response ішіндегі User.EmailAddress пошта төлсипатының домені негізгі доменмен немесе Яндекс 360 ұйымының алиас доменімен бірдей екенін тексеріңіз.

Қателерді жоюға арналған SAML-tracer

SAML-tracer — SAML оқиғаларын бақылайтын браузер кеңейтімі, бірыңғай кіру (SSO) опциясын реттеу кезінде қателерді табуға және түзетуге көмектеседі. Тексеру туралы есепті JSON файлына экспорттауға болады.

Орнату және іске қосу

Кеңейтімді сілтеме арқылы орнатыңыз:

SAML-tracer — Яндекс Браузер, Google Chrome және Microsoft Edge үшін;
SAML-tracer — Mozilla Firefox үшін.

SAML-tracer құралын іске қосу үшін браузер кеңейтімдерінің панеліндегі белгішесін немесе пернетақтадағы Alt + Shift + s пернелер тіркесімін басыңыз.

SAML оқиғаларын бақылау

Браузерді қонақ немесе инкогнито режимінде ашып, SAML-tracer құралын іске қосыңыз. Егер белгішесі болмаса немесе SAML-tracer терезесі ашылмаса, кеңейтімдер реттеулерінде Инкогнито режимінде пайдалануға рұқсат беру опциясын қосыңыз.
passport.yandex.kz/auth бетіне өтіп, куәліктер жеткізушісінен есептік жазба логинін енгізіңіз және Кіру түймесін басыңыз. SAML-tracer терезесінде GET және POST жазбалары пайда болып, SAML оқиғалары қызғылт түспен және белгімен бөлектеледі.
Төлсипаттарды және олардың мәндерін тексеру үшін SAML оқиғасы бар жазбаны таңдап, алдын ала көру панеліндегі SAML қойындысына өтіңіз.

Есепті файлға экспорттау

SAML оқиғасы бар жазбаны таңдаңыз.
SAML-tracer құралдар панелінде Export опциясын басыңыз.
Құпия ақпаратты жасыру үшін Mask values опциясын таңдаңыз.
Export опциясын басыңыз. JSON форматындағы файл компьютеріңізге жүктеп алынады.

Бірыңғай кіру опциясы (SSO) қосулы кездегі шектеулер

Сіз бірыңғай кіру (SSO) опциясын қосқаннан кейін, ұйым үшін қызметкерлерді импорттау және бөлімдерді ауыстыру қолжетімсіз болады.

Егер сонымен қатар ADSCIM утилитасын қосқан болсаңыз, Бизнеске арналған Яндекс 360 интерфейсі арқылы пошта алиастарын басқару өшіріледі.

Егер Бизнеске арналған Яндекс 360 қызметінде бірнеше ұйымды пайдалансаңыз және бірыңғай кіру (SSO) опциясын қосқыңыз келсе, онда ол барлық ұйымдар үшін бір уақытта қосылады.

Бірыңғай кіру (SSO) опциясын өшіру де дәл солай орындалады. Егер бір ұйымда Негізгі тарифке өтсеңіз, бірыңғай кіру опциясы осы ұйымда және басқа ұйымдарда өшіріледі.

Қолдау қызметіне жазу

Мақала пайдалы болды ма?

Алдыңғы

Бірыңғай кіру (SSO)

Келесі

Active Directory реттеу