Создать федерацию удостоверений
- Если у вас нет сертификата, выпущенного у вашего поставщика удостоверений, выпустите его.
- Создайте федерацию.
- Добавьте федеративных пользователей.
- Настройте федерацию на стороне поставщика удостоверений.
1. Выпустить сертификат
Выпустите сертификат у вашего поставщика удостоверений, подробнее в инструкции Сертификаты.
В ы можете создать федерацию без сертификата и добавить его позже, но без сертификата федерация работать не будет.
2. Создать федерацию удостоверений
Создать федерацию в панели управления может Владелец аккаунта или Администратор пользователей.
-
В панели управления в верхнем меню нажмите Аккаунт.
-
Перейдите в раздел Федерации.
-
Нажмите Добавить федерацию.
-
Введите имя федерации.
-
Опционально: введите описание федерации.
-
В поле IdP Issuer введите идентификатор поставщика удостоверений:
- для провайдера AD FS —
http://<idp_url>/adfs/services/trust
. Указать идентификатор с протоколом HTTPS нельзя; - для провайдера Keycloak —
https://<idp_url>/realms/master
.
Укажите
<idp_url>
— ваш URL у поставщика удостоверений. - для провайдера AD FS —
-
Укажите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO:
- для провайдера AD FS —
https://<idp_url>/adfs/ls
; - для провайдера Keycloak —
https://<idp_url>/realms/master/protocol/saml
.
- для провайдера AD FS —
-
Измените время жизни сессии, в течение которой будет авторизован пользователь без необходимости повторной аутентификации, или оставьте значение по умолчанию (24 часа). Вы можете указать значение от 1 до 720 часов.
Время жизни сессии также можно установить на стороне провайдера Keycloak в параметре SSO Session Max или Assertion Lifespan. Если время жизни сессии установлено и в настройках федерации, и в Keycloak, будет применяться наименьшее значение. -
Опционально: чтобы запросы аутентификации подписывались, отметьте чекбокс Подписывать запросы аутентификации.
-
Опционально: чтобы пользователям нужно было проходить аутентификацию через SSO при каждом входе, отметьте чекбокс Принудительная аутентификация в IdP. Если чекбокс не отмечен, аутентификацию не нужно будет проходить, пока активны cookies.
-
Нажмите Создать федерацию. Вы будете перенаправлены на страницу добавления сертификата.
-
Введите имя сертификата.
-
Вставьте сертификат, который вы выпустили на стороне провайдера. Он должен начинаться с
-----BEGIN CERTIFICATE-----
и заканчиваться-----END CERTIFICATE-----
-
Нажмите Добавить сертификат → Завершить добавление федерации.
3. Добавить федеративного пользователя
-
В панели управления в верхнем меню нажмите Аккаунт.
-
Перейдите в раздел Пользователи.
-
Нажмите Добавить пользователя.
-
В блоке Данные пользователя:
4.1. В поле Аутентификация выберите Федерация (Имя федерации).
4.2. В поле External ID введите идентификатор пользователя на стороне вашего поставщика. Формат идентификатора зависит от поставщика — UPN, email или другой. После создания пользователя изменить External ID нельзя, необходимо создавать нового пользователя.
4.3. В поле Почта введите адрес электронной почты.
-
В блоке Доступ к аккаунту:
5.1. Выберите роль пользователя. Для добавления пользователей с ролью Администратор аккаунта или Администратор проекта на балансе аккаунта должно быть минимум 100 ₽.
5.2. Если вы выбрали роль Администратор проекта или Наблюдатель проекта, отметьте нужные проекты.
5.3. Опционально: чтобы назначить пользователю еще одну роль, нажмите Добавить роль и выберите нужную.
5.4. Опционально: выберите группу для пользователя.
-
Нажмите Добавить пользователя. Пользователь будет добавлен в список на странице Пользователи. Чтобы посмотреть в списке только пользователей определенной федерации, выберите ее в поле с типами аутентификации.
-
Пользователю на электронную почту будет отправлена ссылка для аутентификации.
4. Настроить федерацию на стороне поставщика удостоверений
Выполните настройки на стороне вашего поставщика удостоверений: