Настроить федерацию удостоверений

Если в вашей компании есть система управления пользователями и доступом (например, Active Directory или Google Workspace), вы можете использовать ее для авторизации сотрудников в Yandex Cloud Organization. Тогда не нужно будет создавать новый аккаунт в Яндексе для каждого сотрудника компании, сотрудники смогут получить доступ к сервисам Yandex.Cloud с помощью своих корпоративных аккаунтов.

Федерация удостоверений — это технология, которая позволяет реализовать систему единого входа (Single Sign-On, SSO) и использовать корпоративные аккаунты для авторизации в Organization. В этом случае ваша корпоративная система управления учетными записями пользователей выступает в роли поставщика удостоверений (IdP — identity provider).

В Organization можно создать федерацию удостоверений с любым сервисом управления учетными данными (поставщиком удостоверений), который поддерживает протокол SAML.

Информация о логинах и паролях пользователей хранится у поставщика удостоверений. При входе в Organization система направляет пользователя для аутентификации на сервер поставщика удостоверений (IdP). В случае успешной аутентификации пользователь получает доступ к сервисам Yandex.Cloud.

Создать федерацию

1. Войдите в аккаунт администратора организации.

2. Перейдите в сервис Yandex Cloud Organization.

3. На левой панели выберите раздел Федерации .

4. Нажмите кнопку Создать федерацию.

5. Введите название и описание федерации.

6. В поле Время жизни cookie укажите время, в течении которого браузер не должен требовать у пользователя повторной аутентификации.

7. В поле IdP Issuer укажите идентификатор IdP-сервера, на котором будет происходить аутентификация пользователя. Этот же идентификатор IdP-сервер должен указывать в ответе сервису Organization во время аутентификации пользователя.

   Примечание

   Формат идентификатора зависит от типа IdP-сервера, который вы используете (например, Active Directory или Google Workspace).

8. В поле SSO метод выберите POST.

9. В поле Ссылка на страницу для входа в IdP укажите адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

10. Добавьте для созданной федерации сертификат поставщика удостоверений.

11. Включите опцию Автоматически создавать пользователей, чтобы аутентифицированный пользователь автоматически добавлялся в организацию.

    Если вы не включите эту опцию, федеративных пользователей потребуется добавить вручную.

Подробные инструкции о том, как настроить федерацию удостоверений для разных поставщиков удостоверений, можно найти в документации сервиса Yandex Identity and Access Management:

• Active Directory.
• Google Workspace.
• Другие SAML-совместимые поставщики удостоверений.

Добавить сертификат

Когда поставщик удостоверений (IdP) сообщает Yandex Cloud Organization, что пользователь прошел аутентификацию, он подписывает сообщение своим сертификатом. Чтобы сервис Organization мог проверить этот сертификат, добавьте его в созданную федерацию.

1. Получите сертификат вашего поставщика удостоверений.

   Примечание

   Чтобы узнать, как получить сертификат, обратитесь к документации или в службу поддержки сервиса, который вы используете в качестве поставщика удостоверений.

2. Перейдите в сервис Yandex Cloud Organization.

3. На левой панели выберите раздел Настройки .

4. Нажмите имя федерации, для которой нужно добавить сертификат.

5. Внизу страницы нажмите на кнопку Добавить сертификат.

6. Введите название и описание сертификата.

7. Выберите способ добавления сертификата:

   • Чтобы добавить сертификат в виде файла, нажмите Выбрать файл и укажите путь к нему.
   • Чтобы вставить скопированное содержимое сертификата, выберите способ Текст и вставьте содержимое.

8. Нажмите кнопку Добавить.