Создать федерацию удостоверений

Последнее изменение: 27 апреля 2024

Создать федерацию удостоверений

1. Если у вас нет сертификата, выпущенного у вашего поставщика удостоверений, выпустите его.
2. Создайте федерацию.
3. Добавьте федеративных пользователей.
4. Настройте федерацию на стороне поставщика удостоверений.

1. Выпустить сертификат⁠

Выпустите сертификат у вашего поставщика удостоверений, подробнее в инструкции Сертификаты.

Вы можете создать федерацию без сертификата и добавить его позже, но без сертификата федерация работать не будет.

2. Создать федерацию удостоверений⁠

Создать федерацию в панели управления может Владелец аккаунта или Администратор пользователей.

1. В панели управления перейдите в раздел Управление доступом → Федерации.

2. Нажмите Добавить федерацию.

3. Введите имя федерации.

4. Опционально: введите описание федерации.

5. В поле IdP Issuer введите идентификатор поставщика удостоверений:

   • AD FS: http://<idp_url>/adfs/services/trust. Указать идентификатор с протоколом HTTPS нельзя;
   • Keycloak: https://<idp_url>/realms/master

   Укажите <idp_url> — ваш URL у поставщика удостоверений.

6. Укажите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO:

   • AD FS: https://<idp_url>/adfs/ls
   • Keycloak: https://<idp_url>/realms/master/protocol/saml

7. Опционально: чтобы запросы аутентификации подписывались, отметьте чекбокс Подписывать запросы аутентификации.

8. Опционально: чтобы пользователям нужно было проходить аутентификацию через SSO при каждом входе, отметьте чекбокс Принудительная аутентификация в IdP. Если чекбокс не отмечен, аутентификацию не нужно будет проходить, пока активны cookies.

9. Нажмите Создать федерацию. Вы будете перенаправлены на страницу добавления сертификата.

10. Введите имя сертификата.

11. Вставьте сертификат, который вы выпустили на стороне провайдера. Он должен начинаться с -----BEGIN CERTIFICATE----- и заканчиваться -----END CERTIFICATE-----

12. Нажмите Добавить сертификат → Завершить добавление федерации.

3. Добавить федеративного пользователя⁠

1. В панели управления перейдите в раздел Управление доступом → Управление пользователями.
2. Нажмите Добавить пользователя.
3. На вкладке Пользователь панели управления выберите тип аутентификации Федерация (Имя федерации).
4. В поле External ID введите идентификатор пользователя на стороне вашего поставщика. Формат идентификатора зависит от поставщика — UPN, email или другой. После создания пользователя изменить External ID нельзя, необходимо создавать нового пользователя.
5. В поле Почта пользователя введите адрес электронной почты.
6. Выберите роль пользователя. Для добавления пользователя с ролью Администратор аккаунта или Администратор проекта на балансе аккаунта должно быть минимум 100 ₽.
7. Если вы выбрали роль Администратор проекта или Наблюдатель проекта, отметьте нужные проекты.
8. Опционально: чтобы назначить пользователю еще одну роль, нажмите Добавить роль и выберите нужную. Учитывайте допустимые комбинации ролей.
9. Опционально: отметьте категории уведомлений, которые будут приходить пользователю.
10. Нажмите Добавить пользователя. Пользователь будет добавлен в список на вкладке Пользователи панели управления. Чтобы посмотреть в списке только пользователей определенной федерации, выберите ее в поле с типами аутентификации.
11. Пользователю на электронную почту будет отправлена ссылка для аутентификации.

4. Настроить федерацию на стороне поставщика удостоверений⁠

Выполните настройки на стороне вашего поставщика удостоверений:

• Keycloak
• Active Directory Federation Services (AD FS)