Сопоставление групп пользователей

Последнее изменение: 06 мая 2026

Если вы используете федерации и у вас есть группы пользователей на стороне поставщика удостоверений, вы можете настроить сопоставление групп, чтобы интегрировать их в группы пользователей Selectel.

Принцип работы

Пользователи из сопоставленной группы поставщика удостоверений будут добавляться в группу Selectel автоматически при первой аутентификации. Пользователям будут назначаться разрешения, которые вы укажете для группы пользователей Selectel при настройке сопоставления групп.

Если разрешения или данные пользователя изменились на стороне поставщика удостоверений, при повторной аутентификации изменения будут применены в Selectel.

С одной группой пользователей Selectel можно сопоставить одну группу поставщика удостоверений. Сопоставлять группу Selectel с несколькими поставщиками удостоверений или наоборот нельзя.

Настроить сопоставление групп

1. Создайте группы пользователей.
2. Добавьте сопоставление групп.
3. Настройте сопоставления на стороне поставщика удостоверений.
4. Добавьте пользователей в группу на стороне поставщика удостоверений.

1. Создать группы пользователей

1. Убедитесь, что у вас есть группа пользователей на стороне поставщика удостоверений.

2. Если у вас уже есть группа пользователей на стороне Selectel и вы хотите использовать ее для сопоставления, новую группу можно не создавать. Если группы нет или вы хотите использовать новую:

   2.1. Добавьте группу пользователей.

   2.2. Назначьте разрешения группе пользователей.

2. Добавить сопоставление групп

1. В панели управления в верхнем меню нажмите Аккаунт.

2. Перейдите в раздел Федерации.

3. Откройте страницу федерации → вкладка Сопоставление групп.

4. Нажмите Сопоставить группы.

5. В блоке Сопоставленные группы:

   5.1. Выберите группу Selectel, которую вы создали на этапе 1 или раньше.

   5.2. Введите имя группы поставщика удостоверений.

6. Опционально: чтобы добавить еще одно сопоставление групп, нажмите Добавить сопоставление и выполните шаг 5.

7. Нажмите Сохранить настройки.

3. Настроить сопоставления на стороне поставщика удостоверений

Keycloak

1. В панели управления Keycloak войдите в аккаунт администратора (Administration Console).

2. Перейдите в раздел Client scopes → вкладка Setup.

3. Выберите Сlient scope, который указан в формате <client_id>-dedicated. Здесь <client_id> — URL, который вы указали при настройке SAML-приложения в поле Client ID.

4. Настройте сопоставление групп пользователей:

   4.1. На вкладке Mappers нажмите Add mapper → By configuration → Group list.

   4.2. В поле Name введите имя для сопоставления.

   4.3. В поле Group attribute names введите groups.

   4.4. Включите тумблер Single Group Attribute.

   4.5. Выключите тумблер Full group path.

   4.6. Нажмите Save.

5. Настройте сопоставление email-адресов пользователей:

   5.1. На вкладке Mappers нажмите Add mapper → From predefined mappers → x500 email.

   5.2. Откройте страницу сопоставления x500 email.

   5.3. В поле SAML Attribute Name введите email.

   5.4. Нажмите Save.

6. Настройте сопоставление имен пользователей:

   6.1. На вкладке Mappers нажмите Add mapper → From predefined mappers → x500 givenName.

   6.2. Откройте страницу сопоставления x500 givenName.

   6.3. В поле SAML Attribute Name введите firstName.

   6.4. Нажмите Save.

7. Настройте сопоставление фамилий пользователей:

   7.1. На вкладке Mappers нажмите Add mapper → From predefined mappers → x500 lastName.

   7.2. Откройте страницу сопоставления x500 lastName.

   7.3. В поле SAML Attribute Name введите lastName.

   7.4. Нажмите Save.

AD FS

1. На сервере AD FS откройте Server Manager.

2. В меню Tools выберите AD FS Management.

3. В блоке Actions выберите Relying Party Trust.

4. Правой кнопкой мыши нажмите на Relying Party Trust, который вы добавили при настройке отношений доверия при создании федерации, и выберите Edit Claim Issuance Policy.

5. Нажмите Add Rule.

6. На этапе Choose rule type:

   6.1. В поле Claim rule template выберите Send LDAP Attributes as Claims.

   6.2. Опционально: введите описание.

   6.3. Нажмите Next.

7. На этапе Configure Claim Rule:

   7.1. В поле Claim rule name введите имя для сопоставления.

   7.2. В поле Attribute Store выберите Active Directory.

   7.3. В блоке Mapping of LDAP attributes to outgoing claim types:

   • в столбце слева выберите Token-Groups - Unqualified Names;
   • в столбце справа введите groups.

   7.4. Нажмите Finish.

4. Добавьте пользователей в группу на стороне поставщика удостоверений

Keycloak

1. В панели управления Keycloak перейдите в раздел Users.
2. Откройте страницу пользователя → вкладка Groups.
3. Нажмите Join Group.
4. Отметьте группу, в которую нужно добавить пользователя.

AD FS

1. На сервере AD FS откройте Active Directory Users and Computers.
2. Выберите пользователя, которого хотите добавить в группу.
3. Справа в разделе Actions выберите Properties.
4. Откройте вкладку Member Of.
5. Нажмите Add.
6. Выберите группу, в которую добавить пользователя.
7. Нажмите OK.

Отключить сопоставление групп

После отключения сопоставления групп пользователи больше не смогут проходить аутентификацию в панели управления по SSO.

Вы можете снова включить сопоставление групп в любой момент.

1. В панели управления в верхнем меню нажмите Аккаунт.
2. Перейдите в раздел Федерации.
3. Откройте страницу федерации → вкладка Сопоставление групп.
4. В блоке Настройки включены выключите тумблер.

Удалить сопоставление групп

После удаления сопоставления групп пользователи из группы поставщика удостоверений больше не смогут проходить аутентификацию в панели управления по SSO.

Если пользователи добавлены в другую группу Selectel, для которой настроено сопоставление, у них останется доступ в рамках этого сопоставления.

1. В панели управления в верхнем меню нажмите Аккаунт.
2. Перейдите в раздел Федерации.
3. Откройте страницу федерации → вкладка Сопоставление групп.
4. В блоке Сопоставленные группы в строке сопоставления нажмите .
5. Нажмите Сохранить настройки.