Аутентификация

Последнее изменение: 29 июля 2024

Аутентификация

Первая аутентификация⁠

После приглашения в аккаунт федеративный пользователь получит на электронную почту письмо со ссылкой для авторизации по SSO и ID федерации.

1. В письме нажмите Войти по SSO.
2. Введите ID федерации.
3. Опционально: чтобы не вводить ID федерации при каждом входе, отметьте чекбокс Сохранить федерацию.
4. Нажмите Войти.
5. Вы будете перенаправлены на страницу авторизации у поставщика удостоверений. После авторизации вы будете возвращены на страницу входа в панели управления.
6. Введите ФИО.
7. Нажмите Войти.

Аутентификация при каждом входе⁠

1. В панели управления на странице входа нажмите Войти с помощью SSO.
2. Введите ID федерации или выберите сохраненную федерацию. ID федерации можно посмотреть в письме-приглашении или запросить у Администратора пользователей.
3. Опционально: чтобы не вводить ID новой федерации при каждом входе, отметьте чекбокс Сохранить федерацию.
4. Нажмите Войти. Вы будете перенаправлены на страницу авторизации у поставщика удостоверений.
5. Авторизуйтесь у поставщика удостоверений.

Ошибки при аутентификации⁠

Если федерация была настроена некорректно, при аутентификации федеративного пользователя могут возникать ошибки. Группы ошибок:

• SAML001 — SAML099 — ошибки конфигурации федерации на стороне Selectel;
• SAML100 — SAML199 — ошибки валидации на стороне поставщика удостоверений (SAML Response);
• SAML200 — SAML299 — остальные ошибки.

Ошибка	Причина	Решение
SAML001 — SAML099 — ошибки конфигурации на стороне Selectel
SAML001: saml_idp_is_not_configured	SAML-совместимый IdP не был сконфигурирован на стороне Selectel	Проверить настройку федерации на стороне Selectel
SAML002: saml_idp_certs_not_configured	У федерации в Selectel отсутствует сертификат	Для федерации добавить сертификат, выпущенный у поставщика удостоверений
SAML100 — SAML199 — ошибки валидации SAML Response
SAML100: saml_response_invalid_request_id	Некорректный идентификатор SAML запроса. Возможные причины: повторная попытка аутентификации в рамках одного запроса (SAML Response); истекло время, выделенное на аутентификацию пользователя — после перехода на страницу аутентификации пользователь ввел учетные данные через 10 или более минут	Повторно перейти на страницу аутентификации из панели управления Selectel и авторизоваться
SAML101: saml_response_invalid_destination	Параметр Destination в SAML Response проставляется некорректно	Выставить корректный URL для SAML Assertion Consumer Service на стороне поставщика удостоверений: в Keycloak — параметр Valid Redirect URIs, подробнее в инструкции Настроить федерацию на стороне Keycloak; в AD FS — параметр Relying party SAML 2.0 SSO service URL, подробнее в инструкции Настроить федерацию на стороне Active Directory Federation Services
SAML102: saml_response_invalid_in_response_to	SAML Response был создан для аутентификационного запроса с другим идентификатором	Повторно перейти на страницу аутентификации из панели управления Selectel и авторизоваться
SAML103: saml_response_invalid_issuer	При создании федерации в Selectel указано некорректное значение поля IdP Issuer	В настройках федерации в Selectel установить корректное значение в поле IdP Issuer
SAML104: saml_response_invalid_signature	Сигнатура у полученного SAML Response выставлена некорректно. Возможные причины: поставщик удостоверений вернул некорректный SAML Response. Проверить корректность SAML Response можно с помощью сторонних утилит (например, Onelogin); для федерации в Selectel добавлен некорректный сертификат	При некорректном SAML Response: проверить настройку федерации на стороне поставщика удостоверений; при некорректном сертификате: добавить корректный сертификат
SAML105: saml_response_subject_not_found	Секция Subject отсутствует в полученном SAML Response	Настроить федерацию на стороне поставщика удостоверений так, чтобы в SAML Response была включена секция Subject
SAML106: saml_response_name_id_not_found	NameID отсутствует в полученном SAML Response	Настроить федерацию на стороне поставщика удостоверений так, чтобы в SAML Response был включен параметр NameID: в AD FS — настроить Claims Mapping; Keycloak — настроек не требуется. Повторите аутентификацию позже.
SAML107: saml_response_user_not_found	Пользователь не существует в Selectel	Добавить федеративного пользователя. Если федеративный пользователь добавлен, убедитесь, что значение поля ExternalID у созданного федеративного пользователя соответствует идентификатору пользователя на стороне поставщика удостоверений.
SAML108: saml_response_invalid_assertion_xml	Некорректный формат SAML Response. Проверить SAML Response можно с помощью сторонних утилит (например, Onelogin)	Повторная аутентификация; проверить настройку федерации на стороне поставщика удостоверений
SAML109: saml_response_invalid_assertion	Некорректный SAML Response	Проверить настройку федерации на стороне поставщика удостоверений. Проверить SAML Response можно с помощью сторонних утилит (например, Onelogin)
SAML200 — SAML299 — другие ошибки
SAML200: saml_internal_error	Требует уточнения	Создать тикет в службу поддержки
SAML201: saml_malformed_request	Некорректные параметры запроса от поставщика удостоверений к Selectel после аутентификации на стороне поставщика	Проверить настройку федерации на стороне поставщика удостоверений