Настройка Yandex Identity Hub

Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через систему единой аутентификации Yandex Identity Hub, нужно предварительно создать и настроить SAML-приложение.

Шаг 1. Создайте и настройте SAML-приложение

  1. Авторизуйтесь в Yandex Identity Hub.

  2. Откройте кабинет организации.

  3. На панели слева выберите Приложения.

  4. В правом верхнем углу нажмите Создать приложение.

  5. Задайте основные настройки приложения:

    1. Выберите метод единого входа (SSO) — SAML и укажите произвольное название приложения в поле Имя, например «yandex360».

    2. Нажмите Создать приложение

  6. Задайте настройки интеграции:

    1. Нажмите Редактировать в правом верхнем углу.

    2. В поле SP EntityID введите https://yandex.ru/, а в поле ACS URL введите Service URL: https://passport.yandex.ru/auth/sso/commit.

    3. Нажмите Сохранить

Шаг 2. Настройте сопоставление атрибутов пользователей

  1. На странице настройки SAML-приложения перейдите во вкладку Атрибуты.

  2. В столбце Атрибут отредактируйте поля — для этого нажмите на нужную строку, введите новый атрибут и нажмите кнопку Обновить:

    1. Вместо атрибута emailaddress укажите User.EmailAddress.

    2. Вместо атрибута givenname укажите User.Firstname.

    3. Вместо атрибута surname укажите User.Surname.

Атрибут fullname не понадобится — его можно удалить.

В итоге сопоставление атрибутов будет выглядеть так:

Шаг 3. Добавьте в SAML-приложение пользователей

Чтобы пользователи могли аутентифицироваться через SAML-приложение:

  1. На странице настройки SAML-приложения перейдите во вкладку Пользователи и группы.

  2. Добавьте пользователя или группу пользователей:

    1. Нажмите кнопку Добавить пользователей и выберите пользователей в открывшемся окне.

    2. Нажмите кнопку Добавить.

Чтобы удалить из SAML-приложения пользователей, нажмите значок , выберите Удалить и подтвердите удаление.

Шаг 4. Соберите данные для передачи в Яндекс 360 для бизнеса

На странице настройки SAML-приложения перейдите во вкладку Обзор.

Для настройки SSO в Яндекс 360 вам потребуются следующие данные:

  • издатель поставщика удостоверений в поле Issuer/IdP EntityID;

  • URL-адрес точки входа в поле Login URL;

  • сертификат подписи токенов формата X.509 — его нужно скачать.

После этого переходите к настройке Яндекс 360 для бизнеса.

Решение проблем с настройкой

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL-адрес точки входа, издатель поставщика удостоверений или сертификат подписи токенов. Также она может возникнуть в течение 14 дней до истечения сертификата подписи токенов или после его истечения. Проверьте корректность настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360.
Написать в службу поддержки
Предыдущая
Как подключить
Следующая
Настройка Active Directory