Создать федерацию удостоверений
- Если у вас нет сертификата, выпущенного у вашего поставщика удостоверений, выпустите его.
- Создайте федерацию.
- Добавьте фе�деративных пользователей.
- Настройте федерацию на стороне поставщика удостоверений.
1. Выпустить сертификат
Выпустите сертификат у вашего поставщика удостоверений, подробнее в инструкции Сертификаты.
Вы можете создать федерацию без сертификата и добавить его позже, но без сертификата федерация работать не будет.
2. Со�здать федерацию удостоверений
Создать федерацию в панели управления может Владелец аккаунта или пользователь с ролью iam_admin.
-
В панели управления в верхнем меню нажмите Аккаунт.
-
Перейдите в раздел Федерации.
-
Нажмите Добавить федерацию.
-
Введите имя федерации.
-
Опционально: введите описание федерации.
-
В поле IdP Issuer введите идентификатор поставщика удостоверений:
- для провайдера AD FS —
http://<idp_url>/adfs/services/trust. Указать идентификатор с протоколом HTTPS нельзя; - для провайдера Keycloak —
https://<idp_url>/realms/master.
Укажите
<idp_url>— ваш URL у поставщика удостоверений. - для провайдера AD FS —
-
Укажите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO:
- для провайдера AD FS —
https://<idp_url>/adfs/ls; - для провайдера Keycloak —
https://<idp_url>/realms/master/protocol/saml.
- для провайдера AD FS —
-
Измените время жизни сессии, в течение которой будет авторизован пользователь без необходимости повторной аутентификации, или оставьте значение по умолчанию (24 часа). Вы можете указать значение от 1 до 720 часов.
Время жизни сессии также можно установить на стороне провайдера Keycloak в параметре SSO Session Max или Assertion Lifespan. Если время жизни сессии установлено и в настройках федерации, и в Keycloak, будет применяться наименьшее значение. -
Опционально: чтобы запросы аутентификации подписывались, отметьте чекбокс Подписывать запросы аутентификации.
-
Опционально: чтобы пользователям нужно было проходить аутентификацию через SSO при каждом входе, отметьте чекбокс Принудительная аутентификация в IdP. Если чекбокс не отмечен, аутентификацию не нужно будет проходить, пока активны cookies.
-
Нажмите Создать федерацию. Вы будете перенаправлены на страницу добавления сертификата.
-
Введите имя сертификата.
-
Вставьте сертификат, который вы выпустили на стороне провайдера. Он должен начинаться с
-----BEGIN CERTIFICATE-----и заканчиваться-----END CERTIFICATE----- -
Нажмите Добавить сертификат → Завершить добавление федерации.
3. Добавить федеративного пользователя
-
В панели управления в верхнем меню нажмите Аккаунт.
-
Перейдите в раздел Пользователи.
-
Нажмите Добавить пользователя.
-
В блоке Данные пользователя:
4.1. В поле Способ входа выберите Федерация (Имя федерации).
4.2. В поле External ID введите идентификатор пользователя на стороне вашего поставщика. Формат идентификатора зависит от поставщика — UPN, email или другой. После создания пользователя изменить External ID нельзя, необходимо создавать нового пользователя.
4.3. В поле Почта введите адрес электронной почты.
-
В блоке Настройки доступа:
5.1. Настройте разрешен�ие, для этого выберите:
- область доступа. Если вы выбрали область доступа Проекты, выберите нужные проекты;
- роль. Для добавления пользователей с ролью
memberна балансе аккаунта должно быть минимум 100 ₽.
5.2. Опционально: чтобы назначить пользователю еще одно разрешение, нажмите Добавить разрешение и повторите шаг 5.1.
5.3. Опционально: добавьте пользователя в группу.
-
Нажмите Добавить пользователя. Пользователь будет добавлен в список на странице Пользователи. Чтобы посмотреть в списке только пользователей определенной федерации, выберите ее в поле с типами аутентификации.
-
Пользователю на электронную почту будет отправлена ссылка для аутентификации.
4. Настроить федерацию на стороне поставщика удостоверений
Выполните настройки на стороне вашего поставщика удостоверений: