tocdepth

2

Настройка SAML федерации c доменом Active Directory

С помощью SAML федерации вы можете использовать Active Directory Federation Service (AD FS) для аутентификации пользователей в Cloud.ru.

Перед началом работы

Для настройки доступа к облаку с помощью корпоративных доменных учетных записей необходимы:

Получить метаданные

Для настройки SAML федерации получите XML-файл с метаданными.

  1. Откройте оснастку AD FS Management на сервере с ролью AD FS.

  2. Перейдите в раздел AD FS → Service → Endpoints.

  3. Найдите URL-путь в разделе Metadata.

    Обычно путь имеет вид: /FederationMetadata/2007-06/FederationMetadata.xml.

    ../_images/screen__federation_saml_adfs_metadata.png
  4. Скачайте XML-файл.

    Для этого введите URL-aдрес вида https://<ваше имя хоста>/FederationMetadata/2007-06/FederationMetadata.xml в браузере и загрузите файл на компьютер.

Создать федерацию в личном кабинете

  1. В личном кабинете Cloud.ru перейдите в раздел Администрирование, на вкладку Федерации.

  2. Нажмите Создать федерацию.

  3. Выберите тип протокола — SAML.

  4. Загрузите ранее скачанный XML-файл с метаданными.

    ../_images/screen__federation_saml_adfs_metadata_upload.png

    На основе загруженного файла с метаданными будет создан черновик конфигурации федерации.

  5. Заполните название и описание федерации.

  6. Задайте длительность сессии — максимальное время жизни SSO сессии.

    Может быть установлено значение от 30 минут до 7 дней.

    Если пользователь не проявляет активности в течение заданного в параметре времени, сессия завершится, а пользователь должен будет заново пройти аутентификацию.

    Если пользователь активен, время сессии зависит от того, поддерживает ли настроенная федерация механизм refresh-токенов:

    • Если механизм refresh-токенов не поддерживается, то сессия будет завершена через время, указанное в параметре «Длительность сессии».

    • Если механизм refresh-токенов поддерживается, то при истечении access-токена приложение может использовать refresh-токен для получения нового access-токена. Так сессия пользователя может быть активна, пока не истечет время жизни refresh-токена — 7 дней.

  7. Загрузите действующий сертификат с типом Signing.

    Если сертификат уже был в загруженном XML-файле, его данные добавятся на форму автоматически.

    Вы можете загрузить несколько сертификатов — текущий и те, которые будут действовать после него. Это позволит избежать прерывания работы федерации, когда сертификат истечет.

  8. Нажмите Создать.

  9. Скачайте предложенный файл дескриптора, в котором собраны данные для настройки со стороны AD FS.

Импортировать XML-файл

  1. Откройте скачанный ранее файл и скопируйте ссылку из адресной строки браузера.

  2. Откройте оснастку AD FS Management и выберите Отношения доверия проверяющей стороны → Добавить отношение доверия.

    ../_images/screen__federation_saml_adfs_credential.png
  3. Выберите способ «Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети».

    ../_images/screen__federation_saml_adfs_import.png
  4. Введите отображаемое имя федерации со стороны AD FS или оставьте значение по умолчанию.

  5. Выберите политику доступа «Разрешение для каждого».

  6. Проверьте данные и нажмите Готово.

Настроить клеймы для преобразования данных

  1. Выделите созданное утверждение и нажмите Измените политику подачи запросов.

    ../_images/screen__federation_saml_adfs_claims.png
  2. Настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на сервере AD FS.

    Данные пользователя

    Обязательность

    Элементы SAML-сообщения

    Фамилия

    Нет

    Surname

    Имя

    Нет

    Given-Name

    Адрес электронной почты

    Да

    User-Principal-Name

    ../_images/screen__federation_saml_adfs_claims_1.png
  3. Нажмите Готово.

Добавить федеративных пользователей

  1. В разделе Пользователи откройте вкладку Федеративные пользователи.

  2. В правом верхнем углу нажмите Добавить пользователя федерации.

  3. Выберите федерацию, в которую нужно включить пользователя.

  4. Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.

  5. Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли пользователей Cloud.ru.

  6. Нажмите Добавить.

    Профиль пользователя появится на вкладке Федеративные пользователи.

    Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.

  7. Перейдите в раздел Администрирование, на вкладку Федерации.

  8. Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.

Примечание

Прямая ссылка для входа по SSO — https://console.cloud.ru/?iam_idp=%ID_федерации%. ID вашей федерации можно получить у администратора организации.

Обратите внимание, что если по ссылке перейдет сотрудник, у которого нет учетной записи в личном кабинете, учетная запись для него будет создана автоматически. Она отобразится в списке федеративных пользователей в разделе Пользователи. У такого пользователя не будет прав для доступа к проектам, пока их не назначит администратор организации.

Запустили Evolution free tier
для Dev & Test
Получить