Перейти к основному содержимому
Создать федерацию удостоверений
Последнее изменение:

Создать федерацию удостоверений

  1. Если у вас нет сертификата, выпущенного у вашего поставщика удостоверений, выпустите его.
  2. Создайте федерацию.
  3. Добавьте федеративных пользователей.
  4. Настройте федерацию на стороне поставщика удостоверений.

1. Выпустить сертификат

Выпустите сертификат у вашего поставщика удостоверений, подробнее в инструкции Сертификаты.

Вы можете создать федерацию без сертификата и добавить его позже, но без сертификата федерация работать не будет.

2. Создать федерацию удостоверений

Создать федерацию в панели управления может Владелец аккаунта или Администратор пользователей.

  1. В панели управления в верхнем меню нажмите Аккаунт.

  2. Перейдите в раздел Федерации.

  3. Нажмите Добавить федерацию.

  4. Введите имя федерации.

  5. Опционально: введите описание федерации.

  6. В поле IdP Issuer введите идентификатор поставщика удостоверений:

    • для провайдера AD FS — http://<idp_url>/adfs/services/trust. Указать идентификатор с протоколом HTTPS нельзя;
    • для провайдера Keycloak — https://<idp_url>/realms/master.

    Укажите <idp_url> — ваш URL у поставщика удостоверений.

  7. Укажите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO:

    • для провайдера AD FS — https://<idp_url>/adfs/ls;
    • для провайдера Keycloak — https://<idp_url>/realms/master/protocol/saml.
  8. Измените время жизни сессии, в течение которой будет авторизован пользователь без необходимости повторной аутентификации, или оставьте значение по умолчанию (24 часа). Вы можете указать значение от 1 до 720 часов.
    Время жизни сессии также можно установить на стороне провайдера Keycloak в параметре SSO Session Max или Assertion Lifespan. Если время жизни сессии установлено и в настройках федерации, и в Keycloak, будет применяться наименьшее значение.

  9. Опционально: чтобы запросы аутентификации подписывались, отметьте чекбокс Подписывать запросы аутентификации.

  10. Опционально: чтобы пользователям нужно было проходить аутентификацию через SSO при каждом входе, отметьте чекбокс Принудительная аутентификация в IdP. Если чекбокс не отмечен, аутентификацию не нужно будет проходить, пока активны cookies.

  11. Нажмите Создать федерацию. Вы будете перенаправлены на страницу добавления сертификата.

  12. Введите имя сертификата.

  13. Вставьте сертификат, который вы выпустили на стороне провайдера. Он должен начинаться с -----BEGIN CERTIFICATE----- и заканчиваться -----END CERTIFICATE-----

  14. Нажмите Добавить сертификатЗавершить добавление федерации.

3. Добавить федеративного пользователя

  1. В панели управления в верхнем меню нажмите Аккаунт.

  2. Перейдите в раздел Пользователи.

  3. Нажмите Добавить пользователя.

  4. В блоке Данные пользователя:

    4.1. В поле Аутентификация выберите Федерация (Имя федерации).

    4.2. В поле External ID введите идентификатор пользователя на стороне вашего поставщика. Формат идентификатора зависит от поставщика — UPN, email или другой. После создания пользователя изменить External ID нельзя, необходимо создавать нового пользователя.

    4.3. В поле Почта введите адрес электронной почты.

  5. В блоке Доступ к аккаунту:

    5.1. Выберите роль пользователя. Для добавления пользователей с ролью Администратор аккаунта или Администратор проекта на балансе аккаунта должно быть минимум 100 ₽.

    5.2. Если вы выбрали роль Администратор проекта или Наблюдатель проекта, отметьте нужные проекты.

    5.3. Опционально: чтобы назначить пользователю еще одну роль, нажмите Добавить роль и выберите нужную.

    5.4. Опционально: выберите группу для пользователя.

  6. Нажмите Добавить пользователя. Пользователь будет добавлен в список на странице Пользователи. Чтобы посмотреть в списке только пользователей определенной федерации, выберите ее в поле с типами аутентификации.

  7. Пользователю на электронную почту будет отправлена ссылка для аутентификации.

4. Настроить федерацию на стороне поставщика удостоверений

Выполните настройки на стороне вашего поставщика удостоверений: