Настройка Multifactor

Чтобы организовать единый вход (SSO) в сервисы Яндекс 360 через Multifactor, нужно предварительно настроить портал самообслуживания Multifactor и создать SAML-приложение.

Пользователи должны быть созданы заранее с помощью утилиты YandexADSCIM, при этом в качестве NameID может быть использовано только UPN с указанием домена.

Шаг 1. Создайте и настройте SAML-приложение

1. Войдите в аккаунт администратора Multifactor.

2. Создайте SAML-приложение:

   1. На панели слева выберите Ресурсы и нажмите Добавить ресурс → SAML-приложение.

   2. В поле Name укажите произвольное название приложения, например yandex360.

   3. Поле Address оставьте пустыми.

   4. В поле Identity Provider выберите Active Directory.

   5. В поле Адрес a portal введите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания Multifactor.

   6. Включите опцию Регистрировать новых пользователей.

   7. Нажмите Сохранить, откроется страница настройки SAML-приложения.

   

3. Настройте параметры SAML-приложения:

   1. Создайте XML-файл с названием sp_metadata.xml, добавьте в него следующий код:

      <?xml version="1.0"?>
      <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" 
                            entityID="https://yandex.ru/">
          <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
              <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
              <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
                            Location="https://passport.yandex.ru/auth/sso/commit" index="1" />
          </md:SPSSODescriptor>
      </md:EntityDescriptor>
      

   2. Укажите параметры и сохраните файл:

      • entityID — https://yandex.ru/ (обязательно со знаком слеш в конце).
      • Location — https://passport.yandex.ru/auth/sso/commit.

   3. На странице настройки SAML-приложения в блоке Service Provider нажмите Upload Metadata и загрузите созданный файл sp_metadata.xml.

   

Шаг 2. Соберите данные, которые нужно будет передать Яндекс 360

1. На странице настройки SAML-приложения в блоке Multifactor Metadata нажмите Open Link.

2. Откроется XML-файл, для SSO вам потребуются следующие данные:

   • URL страницы входа — адрес точки входа. Значение указано в поле Location в строке с SingleSignOnService.

   • Издатель поставщика удостоверений — Entity ID домена. Значение указано в поле entityID.

   • Проверочный сертификат — сертификат подписи токенов формата X.509. Значение указано в поле X509Certificate.

   

После этого переходите к настройке Яндекс 360 для бизнеса.

Решение проблем с настройкой

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

email.no_in_response

Указывайте имена атрибутов в формате User.Firstname, User.Surname, User.EmailAddress. Если задать другой формат, например Firstname, авторизоваться не получится.

request_your_admin

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

samlresponse.invalid

Ошибка возникает, если неверно указаны URL страницы входа, издатель поставщика удостоверений или проверочный сертификат. Проверьте корректность этих настроек SSO в Яндекс 360 для бизнеса.

unsupportable_domain

Проверьте, что домен из почтового атрибута User.EmailAddress в SAML response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360. Если они не совпадают, вы увидите сообщение об ошибке.