SAML-совместимые федерации удостоверений
Yandex Cloud поддерживает идентификацию федераций удостоверений с помощью SAML 2.0. Это популярный язык разметки для реализации системы единого входа (Single Sign-On, SSO) — технологии, с помощью которой пользователи могут получать доступ ко множеству приложений без необходимости каждый раз вводить свой логин и пароль. Например, когда вы заходите на сайт и видите кнопку Войти с помощью Яндекс, Google или Facebook — все это реализация системы единого входа.
Такой подход получил название федерация удостоверений — когда вся информация о логинах и паролях пользователей хранится у доверенного поставщика удостоверений (Identity Provider, IdP). А поставщик услуг (Service Provider, SP), например Yandex Cloud, отправляет пользователя проходить аутентификацию на сервере поставщика удостоверений (IdP).
Если в вашей компании есть система управления пользователями и доступом (например, Active Directory или Google Workspace), вы можете использовать ее для авторизации сотрудников в Yandex Cloud Organization. Тогда не нужно будет создавать новый аккаунт в Яндексе для каждого сотрудника компании, сотрудники смогут получить доступ к сервисам Yandex Cloud с помощью своих корпоративных аккаунтов.
Настройка федераций в Yandex Cloud Organization
С помощью федераций удостоверений вы можете настроить систему единого входа (Single Sign-On, SSO) и использовать корпоративные аккаунты для авторизации в Organization. В этом случае ваша корпоративная система управления учетными записями пользователей выступает в роли поставщика удостоверений (IdP — identity provider).
В Organization можно создать федерацию удостоверений с любым сервисом управления учетными данными (поставщиком удостоверений), который поддерживает протокол SAML.
Информация о логинах и паролях пользователей хранится у поставщика удостоверений. При входе в Organization система направляет пользователя для аутентификации на сервер поставщика удостоверений (IdP). В случае успешной аутентификации пользователь получает доступ к сервисам Yandex Cloud.
Так как процесс аутентификации происходит на стороне сервера IdP, то можно настроить более надежную проверку данных пользователя, например двухфакторную аутентификацию или использование USB-токенов.
Вы можете настроить федерацию удостоверений для разных поставщиков удостоверений:
- Active Directory.
- Google Workspace.
- Azure Active Directory.
- Keycloak.
- Другие SAML-совместимые поставщики удостоверений.
Как происходит аутентификация в федерации
Чтобы войти в консоль управления, федеративный пользователь должен пройти по ссылке, в которой содержится идентификатор федерации:
https://console.cloud.yandex.ru/federations/<ID федерации>
Процесс аутентификации показан на диаграмме:
-
Пользователь открывает в браузере ссылку для входа в консоль.
-
Если это первая аутентификация пользователя, то консоль отправляет его на сервер IdP для прохождения аутентификации.
Если пользователь уже проходил аутентификацию, то информация об этом сохранена в cookie его браузера. Если время жизни cookie не истекло, то консоль управления сразу аутентифицирует пользователя и отправляет на главную страницу. Время жизни cookie указывается при создании федерации.
Если время жизни cookie истекло, то консоль отправляет пользователя на сервер IdP для повторной аутентификации.
-
Сервер IdP показывает пользователю страницу аутентификации. Например, просит ввести логин и пароль.
-
Пользователь вводит на сервере IdP данные, необходимые для аутентификации.
-
В случае успешной аутентификации сервер IdP отправляет браузер пользователя назад на страницу для входа в консоль управления.
-
Консоль управления спрашивает IAM, добавлен ли такой пользователь в облако. Если да, то консоль управления аутентифицирует пользователя и отправляет на главную страницу.