Настроить федерацию удостоверений
Если в вашей компании есть система управления пользователями и доступом (например, Active Directory или Google Workspace), вы можете использовать ее для авторизации сотрудников в Yandex Cloud Organization. Тогда не нужно будет создавать новый аккаунт в Яндексе для каждого сотрудника компании, сотрудники смогут получить доступ к сервисам Yandex.Cloud с помощью своих корпоративных аккаунтов.
Важно
Сервис Yandex Cloud Organization находится на стадии Preview, управление сервисами организации недоступно.
Федерация удостоверений — это технология, которая позволяет реализовать систему единого входа (Single Sign-On, SSO) и использовать корпоративные аккаунты для авторизации в Organization. В этом случае ваша корпоративная система управления учетными записями пользователей выступает в роли поставщика удостоверений (IdP — identity provider).
В Organization можно создать федерацию удостоверений с любым сервисом управления учетными данными (поставщиком удостоверений), который поддерживает протокол SAML.
Информация о логинах и паролях пользователей хранится у поставщика удостоверений. При входе в Organization система направляет пользователя для аутентификации на сервер поставщика удостоверений (IdP). В случае успешной аутентификации пользователь получает доступ к сервисам Yandex.Cloud.
Создать федерацию
-
Войдите в аккаунт администратора организации.
-
Перейдите в сервис Yandex Cloud Organization.
-
На левой панели выберите раздел Федерации
.
-
Нажмите кнопку Создать федерацию.
-
Введите название и описание федерации.
-
В поле Время жизни cookie укажите время, в течении которого браузер не должен требовать у пользователя повторной аутентификации.
-
В поле IdP Issuer укажите идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя. Этот же идентификатор IdP-сервер должен указывать в ответе сервису Organization во время аутентификации пользователя.
Примечание
Формат идентификатора зависит от типа IdP-сервера, который вы используете (например, Active Directory или Google Workspace).
-
В поле SSO метод выберите POST.
-
В поле Ссылка на страницу для входа в IdP укажите адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.
-
Добавьте для созданной федерации сертификат поставщика удостоверений.
-
Включите опцию Автоматически создавать пользователей, чтобы аутентифицированный пользователь автоматически добавлялся в организацию.
Если вы не включите эту опцию, федеративных пользователей потребуется добавить вручную.
Подробные инструкции о том, как настроить федерацию удостоверений для разных поставщиков удостоверений, можно найти в документации сервиса Yandex Identity and Access Management:
Добавить сертификат
Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Organization мог проверить этот сертификат, добавьте его в созданную федерацию.
-
Получите сертификат вашего поставщика удостоверений.
Примечание
Чтобы узнать, как получить сертификат, обратитесь к документации или в службу поддержки сервиса, который вы используете в качестве поставщика удостоверений.
-
Перейдите в сервис Yandex Cloud Organization.
-
На левой панели выберите раздел Настройки
.
-
Нажмите имя федерации, для которой нужно добавить сертификат.
-
Внизу страницы нажмите на кнопку Добавить сертификат.
-
Введите название и описание сертификата.
-
Выберите способ добавления сертификата:
- Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
- Чтобы вставить скопированное содержимое сертификата, выберите способ Текст и вставьте содержимое.
-
Нажмите кнопку Добавить.
Совет
Сертификаты имеют ограниченные сроки действия. Перед окончанием срока действия текущего сертификата рекомендуем добавить новый сертификат.