Аутентификация по SSO

Последнее изменение: 13 апреля 2026

Первая аутентификация

Если пользователь был добавлен вручную, после приглашения в аккаунт он получит письмо на электронную почту со ссылкой для авторизации по SSO и ID федерации.

Если при создании федерации было включено автосоздание пользователей, ссылку для первой аутентификации предоставляет Владелец аккаунта или пользователь с ролью iam_admin.

Вход по ссылке из письма

1. В письме нажмите Войти по SSO.
2. Введите ID федерации.
3. Опционально: чтобы не вводить ID федерации при каждом входе, отметьте чекбокс Сохранить федерацию.
4. Нажмите Войти по SSO. Вы будете перенаправлены на страницу авторизации у поставщика удостоверений.
5. Авторизуйтесь на стороне поставщика удостоверений. После авторизации вы будете возвращены на страницу входа в панели управления.
6. Если у вас не указано ФИО, введите его.
7. Нажмите Войти по SSO.

Вход по прямой ссылке

1. Перейдите по ссылке, которую вам предоставил Владелец аккаунта или пользователь с ролью iam_admin.
2. Если у вас не указано ФИО, введите его.
3. Нажмите Войти по SSO.
4. Если у вас не указан email, введите его.
5. Если у вас не указано ФИО, введите его.
6. Нажмите Войти по SSO.

Аутентификация при каждом входе

1. В панели управления на странице входа нажмите Войти с помощью SSO.
2. Введите ID федерации или выберите сохраненную федерацию. ID федерации можно посмотреть в письме-приглашении или запросить у Владельца аккаунта или пользователя с ролью iam.admin.
3. Опционально: чтобы не вводить ID новой федерации при каждом входе, отметьте чекбокс Сохранить федерацию.
4. Нажмите Войти по SSO. Вы будете перенаправлены на страницу авторизации у поставщика удостоверений.
5. Авторизуйтесь у поставщика удостоверений.

Ошибки при аутентификации

Если федерация была настроена некорректно, при аутентификации пользователя могут возникать ошибки. Группы ошибок:

• SAML001 — SAML099 – ошибки конфигурации федерации на стороне Selectel;
• SAML100 — SAML199 – ошибки валидации на стороне поставщика удостоверений (SAML Response);
• SAML200 — SAML299 – остальные ошибки.

Ошибка	Причина	Решение
SAML001 – SAML099 — ошибки конфигурации на стороне Selectel
SAML001: saml_idp_is_not_configured	SAML-совместимый IdP не был сконфигурирован на стороне Selectel	Проверить настройку федерации на стороне Selectel
SAML002: saml_idp_certs_not_configured	У федерации в Selectel отсутствует сертификат	Для федерации добавить сертификат, выпущенный у поставщика удостоверений
SAML100 – SAML199 — ошибки валидации SAML Response
SAML100: saml_response_invalid_request_id	Некорректный идентификатор SAML запроса. Возможные причины: повторная попытка аутентификации в рамках одного запроса (SAML Response); истекло время, выделенное на аутентификацию пользователя — после перехода на страницу аутентификации пользователь ввел учетные данные через 10 или более минут	Повторно перейти на страницу аутентификации из панели управления Selectel и авторизоваться
SAML101: saml_response_invalid_destination	Параметр Destination в SAML Response проставляется некорректно	Выставить корректный URL для SAML Assertion Consumer Service на стороне поставщика удостоверений: в Keycloak — параметр Valid Redirect URIs, подробнее в инструкции Настроить федерацию на стороне Keycloak; в AD FS — параметр Relying party SAML 2.0 SSO service URL, подробнее в инструкции Настроить федерацию на стороне Active Directory Federation Services
SAML102: saml_response_invalid_in_response_to	SAML Response был создан для аутентификационного запроса с другим идентификатором	Повторно перейти на страницу аутентификации из панели управления Selectel и авторизоваться
SAML103: saml_response_invalid_issuer	При создании федерации в Selectel указано некорректное значение поля IdP Issuer	В настройках федерации в Selectel установить корректное значение в поле IdP Issuer
SAML104: saml_response_invalid_signature	Сигнатура у полученного SAML Response выставлена некорректно. Возможные причины: поставщик удостоверений вернул некорректный SAML Response. Проверить корректность SAML Response можно с помощью сторонних утилит (например, Onelogin); для федерации в Selectel добавлен некорректный сертификат	При некорректном SAML Response: проверить настройку федерации на стороне поставщика удостоверений; при некорректном сертификате: добавить корректный сертификат
SAML105: saml_response_subject_not_found	Секция Subject отсутствует в полученном SAML Response	Настроить федерацию на стороне поставщика удостоверений так, чтобы в SAML Response была включена секция Subject
SAML106: saml_response_name_id_not_found	NameID отсутствует в полученном SAML Response	Настроить федерацию на стороне поставщика удостоверений так, чтобы в SAML Response был включен параметр NameID: в AD FS – настроить Claims Mapping; Keycloak – настроек не требуется. Повторите аутентификацию позже.
SAML107: saml_response_user_not_found	Пользователь не существует в Selectel	Добавить пользователя со способом входа Федерация. Если пользователь добавлен, убедитесь, что значение поля ExternalID у созданного пользователя соответствует идентификатору пользователя на стороне поставщика удостоверений.
SAML108: saml_response_invalid_assertion_xml	Некорректный формат SAML Response. Проверить SAML Response можно с помощью сторонних утилит (например, Onelogin)	Повторная аутентификация; проверить настройку федерации на стороне поставщика удостоверений
SAML109: saml_response_invalid_assertion	Некорректный SAML Response	Проверить настройку федерации на стороне поставщика удостоверений. Проверить SAML Response можно с помощью сторонних утилит (например, Onelogin)
SAML200 – SAML299 — другие ошибки
SAML200: saml_internal_error	Требует уточнения	Создать тикет в службу поддержки
SAML201: saml_malformed_request	Некорректные параметры запроса от поставщика удостоверений к Selectel после аутентификации на стороне поставщика	Проверить настройку федерации на стороне поставщика удостоверений