Перейти к основному содержимому

Создать федерацию удостоверений

Последнее изменение:
  1. Если у вас нет сертификата, выпущенного у вашего поставщика удостоверений, выпустите его.
  2. Создайте федерацию.
  3. Настройте федерацию на стороне поставщика удостоверений.

1. Выпустить сертификат

Выпустите сертификат у вашего поставщика удостоверений, подробнее в инструкции Сертификаты.

Вы можете создать федерацию без сертификата и добавить его позже, но без сертификата федерация работать не будет.

2. Создать федерацию удостоверений

Создать федерацию в панели управления может Владелец аккаунта или пользователь с ролью iam.admin.

  1. В панели управления в верхнем меню нажмите Аккаунт.

  2. Перейдите в раздел Федерации.

  3. Нажмите Добавить федерацию.

  4. Введите имя федерации.

  5. Опционально: введите описание федерации.

  6. В поле IdP Issuer введите идентификатор поставщика удостоверений:

    • для провайдера AD FS — http://<idp_url>/adfs/services/trust. Указать идентификатор с протоколом HTTPS нельзя;
    • для провайдера Keycloak — https://<idp_url>/realms/master.

    Укажите <idp_url> — ваш URL у поставщика удостоверений.

  7. Укажите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO:

    • для провайдера AD FS — https://<idp_url>/adfs/ls;
    • для провайдера Keycloak — https://<idp_url>/realms/master/protocol/saml.

  8. Измените время жизни сессии, в течение которой будет авторизован пользователь без необходимости повторной аутентификации, или оставьте значение по умолчанию (24 часа). Вы можете указать значение от 1 до 720 часов.
    Время жизни сессии также можно установить на стороне провайдера Keycloak в параметре SSO Session Max или Assertion Lifespan. Если время жизни сессии установлено и в настройках федерации, и в Keycloak, будет применяться наименьшее значение.

  9. Опционально: в блоке Дополнительно:

    9.1. Чтобы пользователи создавались автоматически при первом входе в панель управления по SSO, отметьте чекбокс Автосоздание пользователей. Пользователи будут создаваться с разрешениями, которые вы указали при настройке сопоставления групп пользователей. Если не настроить сопоставление, пользователи будут создаваться без разрешений и не будут иметь доступа в панель управления.

    Если чекбокс Автосоздание пользователей не отмечен, пользователей потребуется добавлять вручную.

    9.2. Чтобы запросы аутентификации подписывались, отметьте чекбокс Подписывать запросы аутентификации.

    9.3. Опционально: чтобы пользователям нужно было проходить аутентификацию через SSO при каждом входе, отметьте чекбокс Принудительная аутентификация в IdP. Если чекбокс не отмечен, аутентификацию не нужно будет проходить, пока активны cookies.

  10. Нажмите Создать федерацию. Вы будете перенаправлены на страницу добавления сертификата.

  11. Введите имя сертификата.

  12. Вставьте сертификат, который вы выпустили на стороне провайдера. Он должен начинаться с -----BEGIN CERTIFICATE----- и заканчиваться -----END CERTIFICATE-----.

  13. Нажмите Добавить сертификатЗавершить добавление федерации.

3. Настроить федерацию на стороне поставщика удостоверений

Выполните настройки на стороне вашего поставщика удостоверений: