Яндекс 360

Яндекс 360 (https://360.yandex.ru) — виртуальное рабочее пространство, которое включает в себя персональные сервисы.

Подключение Яндекс 360 к Blitz Identity Provider выполняется по протоколу SAML и состоит из двух этапов:

• Этап 1. Настройки на стороне Яндекс 360
• Этап 2. Настройки на стороне Blitz Identity Provider

Этап 1. Настройки на стороне Яндекс 360

1. Откройте Яндекс 360 для Бизнеса: https://admin.yandex.ru/
2. Перейдите в раздел Общие настройки и выберите Единый вход (SSO).
3. Нажмите Настроить.
4. Заполните поля с обязательными параметрами:

• URL страницы входа: https://login.company.com/blitz/saml/profile/SAML2/Redirect/SSO
• Издатель поставщика удостоверений: https://login.company.com/blitz/saml
• Проверочный сертификат: укажите сертификат Blitz из метаданных. Для этого пройдите по ссылке https://login.company.com/blitz/saml/profile/Metadata/SAML, откройте XML документ с метаданными и найдите раздел <ds:X509Certificate>. Например:

Скопируйте сертификат и Вставьте его в поле в PEM-формате:

-----BEGIN CERTIFICATE-----
  <значение сертификата>
-----END CERTIFICATE-----

5. Нажмите Сохранить.

Этап 2. Настройки на стороне Blitz Identity Provider

В консоли управления Blitz Identity Provider перейдите в раздел SAML и выполните следующие действия:

1. Нажмите Добавить новый SAML-атрибут.
2. Укажите название атрибута и его источник в хранилище. В данном случае источники email given_name family_name. Выберите их из выпадающего списка.
3. После каждого заполнения свойств атрибутов нажмите Добавить.

Свойства для каждого атрибута

Список атрибутов после добавления

4. Далее добавьте кодировщик для каждого атрибута. Для этого выберите атрибут и нажмите Добавить кодировщик.

5. Для каждого атрибута добавьте кодировщики SAML1String и SAML2String. В зависимости от передаваемого атрибута пользователя кодировщику присваивается название User.EmailAddress, User.Firstname или User.Surname соответственно.
6. Задайте настройки кодировщика по аналогии с приведенным ниже примером:

7. Нажмите Сохранить после каждого создания кодировщика.
8. Далее в консоли управления Blitz Identity Provider перейдите в раздел Приложения.
9. Создайте новое приложение, задав его базовые настройки:

• Идентификатор (entityID или client_id): https://yandex.ru/
• Название: укажите название приложения, которое видно только внутри Blitz. Например, Yandex360.
• Домен: https://passport.yandex.ru/

10. Нажмите Сохранить.
11. Далее нажмите кнопку Параметры у предложения Яндекс360 и отредактируйте параметры приложения:

• Протоколы: выберите SAML и нажмите Сконфигурировать

• Выберите SAML 2.0 Web SSO Profile и нажмите Сконфигурировать. Установите следующие настройки:

  • Подписывать утверждения: always
  • Шифровать утверждения: never
  • Шифровать идентификаторы (NameIds): never
  • Включить передачу SAML-утверждений о пользователе в специальном блоке AttributeStatement: установить флажок.

12. В разделе Атрибуты пользователя настройте передачу в Яндекс 360 атрибута transientId, а также созданных на первом этапе SAML-атрибутов.

13. Нажмите Сохранить.
14. Далее в разделе Метаданные нажмите Изменить. Скопируйте и вставьте следующий код:

<?xml version="1.0" encoding="utf-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                     xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
                     entityID="https://yandex.ru/">
    <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

        <md:AssertionConsumerService index="1" isDefault="true"
                                     Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                                     Location="https://passport.yandex.ru/auth/sso/commit"/>
    </md:SPSSODescriptor>
</md:EntityDescriptor>

15. Нажмите Сохранить.