Личный кабинет Cloud.ru позволяет подключать федерации удостоверений совместимые с OpenID Connect (OIDC).
Перейдите в раздел Администрирование, на вкладку Федерации.
Нажмите Создать федерацию.
Выберите тип протокола — OpenID.
Заполните параметры федерации:
Параметр | Описание |
|---|---|
Название | Краткое отображаемое название федерации (слитно). Уникальность имени необязательна. |
Описание | Пояснительный текст о федерации. Например, указание того, для чего создана федерация. |
Длительность сессии | Максимальное время жизни SSO сессии. Может быть установлено значение от 30 мин до 7 дней. Если пользователь не проявляет активности в течение заданного в параметре времени, сессия завершится, а пользователь должен будет заново пройти аутентификацию. Если пользователь активен, время сессии зависит от того, поддерживает ли настроенная федерация механизм refresh-токенов:
|
Auth URL | URL-адрес HTTP-запроса к ресурсу сервера способного аутентифицировать и авторизовать конечного пользователя. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле authorization_endpoint протокола обнаружения (.well-known/openid-configuration). |
Userinfo URL | Защищенный ресурс, который при предъявлении токена возвращает авторизованному клиенту информацию о текущем пользователе. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле userinfo_endpoint протокола обнаружения (.well-known/openid-configuration). |
Token URL | Ресурс на сервере авторизации, обеспечивающий выдачу токенов. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле token_endpoint протокола обнаружения (.well-known/openid-configuration). |
Logout URL | Адрес, на который перенаправляется федеративный пользователь после завершения сессии. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле end_session_endpoint протокола обнаружения (.well-known/openid-configuration). |
Client ID | Уникальный идентификатор вашего корпоративного провайдера идентификации. |
Client Secret | Общий секретный ключ. |
JWKS URI | Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле jwks_uri протокола обнаружения (.well-known/openid-configuration). |
Нажмите Создать.
В разделе Пользователи откройте вкладку Федеративные пользователи.
В правом верхнем углу нажмите Добавить пользователя федерации.
Выберите федерацию, в которую нужно включить пользователя.
Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.
Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли пользователей.
Нажмите Добавить.
Профиль пользователя появится на вкладке Федеративные пользователи.
Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.
Перейдите в раздел Администрирование, на вкладку Федерации.
Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.
Прямая ссылка для входа по SSO — https://console.cloud.ru/?iam_idp=%ID_федерации%. ID вашей федерации можно получить у администратора организации.
Обратите внимание, что если по ссылке перейдет сотрудник, у которого нет учетной записи в личном кабинете, учетная запись для него будет создана автоматически. Она отобразится в списке федеративных пользователей в разделе Пользователи. У такого пользователя не будет прав для доступа к проектам, пока их не назначит администратор организации.