Создать федерацию удостоверений
- Если у вас нет сертификата, выпущенного у вашего поставщика удостоверений, выпустите его.
- Создайте федерацию.
- Добавьте федеративных пользователей.
- Настройте федерацию на стороне поставщика удостоверений.
1. Выпустить сертификат
Выпустите сертификат у вашего поставщика удостоверений, подробнее в инструкции Серти фикаты.
Вы можете создать федерацию без сертификата и добавить его позже, но без сертификата федерация работать не будет.
2. Создать федерацию удостоверений
Создать федерацию в панели управления может Владелец аккаунта или Администратор пользователей.
-
В панели управления перейдите в раздел Управление доступом → Федерации.
-
Нажмите Добавить федерацию.
-
Введите имя федерации.
-
Опционально: введите описание федерации.
-
В поле IdP Issuer введите идентификатор поставщика удостоверений:
- AD FS:
http://<idp_url>/adfs/services/trust
. Указать идентификатор с протоколом HTTPS нельзя; - Keycloak:
https://<idp_url>/realms/master
Укажите
<idp_url>
— ваш URL у поставщика удостоверений. - AD FS:
-
Укажите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO:
- AD FS:
https://<idp_url>/adfs/ls
- Keycloak:
https://<idp_url>/realms/master/protocol/saml
- AD FS:
-
Измените время жизни сессии, в течение которой будет авторизован пользователь без необходимости повторной аутентификации, или оставьте значение по умолчанию (24 часа). Вы можете указать значение от 1 до 720 часов.
Время жизни сессии также можно установить на стороне провайдера Keycloak в параметре SSO Session Max или Assertion Lifespan. Если время жизни сессии установлено и в настройках федерации, и в Keycloak, будет применяться наименьшее значение. -
Опционально: чтобы запросы аутентификации подписывались, отметьте чекбокс Подписывать запросы аутентификации.
-
Опционально: чтобы пользователям нужно было проходить аутентификацию через SSO при каждом входе, отметьте чекбокс Принудительная аутентификация в IdP. Если чекбокс не отмечен, аутентификацию не нужно будет проходить, пока активны cookies.
-
Нажмите Создать федерацию. Вы будете перенаправлены на страницу добавления сертификата.
-
Введите имя сертификата.
-
Вставьте сер тификат, который вы выпустили на стороне провайдера. Он должен начинаться с
-----BEGIN CERTIFICATE-----
и заканчиваться-----END CERTIFICATE-----
-
Нажмите Добавить сертификат → Завершить добавление федерации.
3. Добавить федеративного пользователя
- В панели управления перейдите в раздел Управление доступом → Управление пользователями.
- Нажмите Добавить пользователя.
- На вкладке Пользователь панели управления выберите тип аутентификации Федерация (Имя федерации).
- В поле External ID введите идентификатор пользователя на стороне вашего поставщика. Формат идентификатора зависит от поставщика — UPN, email или другой. После создания пользователя изменить External ID нельзя, необходимо создавать нового пользователя.
- В поле Почта пользователя введите адрес электронной почты.
- Выберите роль пользователя. Для добавления пользователей с ролью Администратор аккаунта или Администратор проекта на балансе аккаунта должно быть минимум 100 ₽.
- Если вы выбрали роль Администратор проекта или Наблюдатель проекта, отметьте нужные проекты.
- Опционально: чтобы назначить пользователю еще одну роль, нажмите Добавить роль и выберите нужную.
- Опционально: выберите группу для пользователя.
- Опционально: отметьте категории уведомлений, которые будут приходить пользователю.
- Нажмите Добавить пользователя. Пользователь будет добавлен в список на вкладке Пользователи панели управления. Чтобы посмотреть в списке только пользователей определенной федерации, выберите ее в поле с типами аутентификации.
- Пользователю на электронную почту будет отправлена ссылка для аутентификации.
4. Наст роить федерацию на стороне поставщика удостоверений
Выполните настройки на стороне вашего поставщика удостоверений: