Yandex Cloud

Yandex Cloud (https://yandex.cloud) — это веб-платформа организации облачных вычислительных мощностей.

Подключение Yandex Cloud к Blitz Identity Provider выполняется по протоколу SAML и состоит из двух этапов:

Важно:

В инструкции для примера указано, что Blitz IDP установлен на домене https://login.company.com. Уточните ваши адреса перед применением инструкции.

Этап 1. Настройки на стороне Yandex Cloud

  1. Создайте федерацию удостоверений. Для этого Перейдите в сервис https://org.yandex.cloud/ и выберите на панели Федерации. Нажмите Создать федерацию:

  1. Нажмите Создать федерацию.

  2. Далее передайте сертификат Blitz IDP в федерацию. Для этого перейдите по ссылке https://login.company.com/blitz/saml/profile/Metadata/SAML, откройте XML документ с метаданными и найдите раздел <ds:X509Certificate>. Например:

  1. Скопируйте метаданные.

  2. Для добавления сертификата в Yandex Cloud нажмите на имя созданной федерации и Добавить сертификат:

-----BEGIN CERTIFICATE-----
  <значение сертификата>
  -----END CERTIFICATE-----

  1. Нажмите кнопку Добавить.

Этап 2. Настройки на стороне Blitz Identity Provider

В консоли управления Blitz Identity Provider перейдите в раздел SAML и выполните следующие действия:

  1. Нажмите Добавить новый SAML-атрибут.
  2. Укажите название атрибута и его источник в хранилище. В данном случае источник email. Выберите его из выпадающего списка.
  3. После заполнения свойств атрибута нажмите Добавить.

  1. Далее добавьте кодировщик для атрибута. Для этого выберите атрибут и нажмите Добавить кодировщик.

  1. Для атрибута добавьте кодировщики SAML2String и SAML2StringNameID. Присвойте каждому кодировщику название urn:blitz:email.
  2. Задайте настройки кодировщика по аналогии с приведенным ниже примером:

  1. Нажмите Сохранить после каждого создания кодировщика.
  2. Далее в консоли управления Blitz Identity Provider перейдите в раздел Приложения.
  3. Создайте новое приложение, задав его базовые настройки:

  1. Нажмите Сохранить.
  2. Далее нажмите кнопку Параметры у предложения YandexCloud и отредактируйте параметры приложения:

  1. В разделе Атрибуты пользователя настройте передачу в Yandex Cloud атрибута transientId, а также созданного на первом этапе SAML-атрибута.

  1. Нажмите Сохранить.
  2. Далее в разделе Метаданные нажмите Изменить. Скопируйте и вставьте следующий код, заменив ссылку в entityID и Location, которая находится в Yandex Cloud в поле ACS URL.

<?xml version="1.0" encoding="utf-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                     xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
                     entityID="https://console.cloud.yandex.ru/federations/идентификатор_федерации">
    <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

        <md:AssertionConsumerService index="1" isDefault="true"
                                     Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                                     Location="https://console.cloud.yandex.ru/federations/идентификатор_федерации"/>
    </md:SPSSODescriptor>
</md:EntityDescriptor>
  1. Нажмите Сохранить.
Совет:

После прохождения всех шагов рекомендуем проверить корректность входа в Yandex Cloud: https://console.yandex.cloud/federations/идентификатор_федерации.


Версия #2
Admin создал 12 августа 2024 11:34:02
Admin обновил 13 августа 2024 15:01:03