Active Directory’yi yapılandırma

Adım 1 Kontrol eden tarafla güven ilişkisi kurun

  1. AD FS sunucunuza girin ve Server Manager’ı açın.
  2. Yönetim konsolunu açın: Tools → AD FS Management’e tıklayın.
  3. Eylemler listesinden Add Relying Party Trust’ı seçin.
  4. Claims aware'i seçin ve Start’a tıklayın.
  5. İlişkiyi otomatik olarak yapılandırmak için Select Data Source adımında Import data about the relying party published online or on a local network'ü seçin ve https://passport.yandex.ru/auth/sso/metadata URL adresini girin.

    Next’e tıklayın.

    İlişki manuel olarak nasıl ayarlanır
    1. Select Data Source adımında Enter data about the relying party manually’i seçin. Daha sonra Next’e tıklayın.
    2. İlişki için herhangi bir ad belirtin, örneğin “Yandex 360”. Next’e tıklayın.
    3. Configure Certificate adımını atlayın, bunun için Next’e tıklayın.
    4. Enable support for the SAML 2.0 WebSSO protocol’ü seçin Service URL: https://passport.yandex.ru/auth/sso/commit'i belirtin. Next’e tıklayın.
    5. https://yandex.ru/ tanımlayıcısını ekleyin (sonunda eğik çizgi gereklidir), onu alana girin Add’e tıklayın. Daha sonra Next’e tıklayın.
    6. Choose Access Control Policy adımını atlayın.
  6. Bilgileri kontrol edin. Advanced sekmesinde SHA-256 sağlama algoritmasının seçili olduğundan emin olun. Her şey yolunda ise, Next → Close’a tıklayın.

    Otomatik ilişki ayarını kullandıysanız, doğrudan adım 3’e geçin. İlişkiyi manuel olarak oluşturuyorsanız, adım 2’yi yerine getirin.

Adım 2 Dil alan adları için uç noktalar ekleyin

Uyarı. Adım 1’in 5. adımında ilişkinin otomatik ayarlanmasını seçtiyseniz, bu adımı atlayın.

Eğer çalışanlarınız Yandex 360 servislerini yalnızca Rus alan adıyla kullanmıyorsa, ek olarak dil alanlarının URL’lerini uç noktalara ekleyin:

  1. Yönetim konsolunda Trust Relationships → Relying Party Trusts’a tıklayın.
  2. Adım 1’de oluşturulan ilişki ayarlarını açın, bunun için üzerine çift tıklayın.
  3. Endpoints sekmesine geçin.
  4. İhtiyacınız olan uç noktaları ekleyin.

    Dil alan adı ve bir uç nokta eklemek için Add SAML’ye tıklayın, Binding değerinde POST’u seçin ve aşağıdaki URL’yi belirtin:

    • https://passport.yandex.com/auth/sso/commit – İngilizce için;
    • https://passport.yandex.kz/auth/sso/commit – Kazakça için;
    • https://passport.yandex.uz/auth/sso/commit – Özbekçe için;
    • https://passport.yandex.com.tr/auth/sso/commit – Türkçe için.
    Tam liste
    • https://passport.yandex.com/auth/sso/commit
    • https://passport.yandex.az/auth/sso/commit
    • https://passport.yandex.by/auth/sso/commit
    • https://passport.yandex.co.il/auth/sso/commit
    • https://passport.yandex.com/auth/sso/commit
    • https://passport.yandex.com.am/auth/sso/commit
    • https://passport.yandex.com.ge/auth/sso/commit
    • https://passport.yandex.com.tr/auth/sso/commit
    • https://passport.yandex.ee/auth/sso/commit
    • https://passport.yandex.eu/auth/sso/commit
    • https://passport.yandex.fi/auth/sso/commit
    • https://passport.yandex.fr/auth/sso/commit
    • https://passport.yandex.kg/auth/sso/commit
    • https://passport.yandex.kz/auth/sso/commit
    • https://passport.yandex.lt/auth/sso/commit
    • https://passport.yandex.lv/auth/sso/commit
    • https://passport.yandex.md/auth/sso/commit
    • https://passport.yandex.pl/auth/sso/commit
    • https://passport.yandex.ru/auth/sso/commit
    • https://passport.yandex.tj/auth/sso/commit
    • https://passport.yandex.tm/auth/sso/commit
    • https://passport.yandex.uz/auth/sso/commit
    Daha sonra OK’e tıklayın.

Adım 3 Claims Mapping’i yapılandırın

  1. Trust Relationships bloğunda farenin sağ tuşu ile adım 1’de oluşturulmuş olan ilişkiye tıklayın ve Edit Claim Issuance Policy’i seçin.
  2. Add Rule’e tıklayın.
  3. Claim rule template olarak Transform an Incoming Claim’i seçin ve Next’e tıklayın.
  4. Kural için herhangi bir ad bulun, örneğin “NameID” ve Outgoing Claim Type değerinde Name ID’yi belirtin. Finish’e tıklayın.
    Not. NameID özelliğinin değeri değiştirilemez, Yandex ID’de kullanıcı kimliğini belirlemek için kullanılır. Eğer UPN’yi değiştiriyorsanız, NameID olarak kullanıcıların Active Directory’de değişmeyen özniteliklerinden birini belirtin, örneğin objectSID veya objectGUID.
  5. Bir kural daha oluşturun ve tekrardan Add Rule’a tıklayın. Send LDAP Attributes as Claims şablonunu seçin ve Next’e tıklayın.
  6. Kurala bir ad verin; örneğin “LDAPATTR” ve kartı aşağıdaki şekilde doldurun:
    Daha sonra Finish’e tıklayın.

Adım 4 Yandex 360’a aktarılması gereken verileri toplayın

Giriş sayfası URL’si

Giriş noktası adresi. Genellikle bu https://alan adı/adfs/ls şeklindedir.

Yönetim konsolunda Endpoints’i açın ve /adfs/ls/’de Proxy Enabled parametresi için Yes değerinin belirlendiğinden emin olun.
Kimlik sağlayıcısı yayımcısı
Alan adı Entity ID. Genellikle bu http://alan adı/adfs/services/trust şeklindedir.

Bunu almak için yönetim konsolunda Action sekmesine geçin ve Edit Federation Service Properties’i seçin.

Gerekli değer Federation Service identifier alanındadır.

Doğrulama sertifikası
Base64’te X.509 formatında belirteç imzalama sertifikası. Almak için:
  1. Yönetici konsolunda Certificates öğesini açın.
  2. Token-signing sertifikanıza çift tıklayın.
  3. Details sekmesine gidin ve Copy to File’a tıklayın.
  4. Sertifika türünü Base-64 encoded X.509 (.CER) olarak seçin ve Next’e tıklayın.
  5. Dosyayı sabit diske kaydedin.

İki aktif belirteç imzalama sertifikanız varsa ve şu anda hangi sertifikanın kullanıldığından emin değilseniz, aynı adımları ikinci sertifika için de tekrarlayın.

Adım 5 SCIM çalışan senkronizasyonunu yapılandırın

Varsayılan olarak, yeni çalışanlar Yandex 360’ta yalnızca ilk girişten sonra görünür ve eski çalışanları manuel olarak silmek gerekir. Eğer AD FS’den Kurumlar için Yandex 360 ile çalışan listesini otomatik olarak senkronize etmek istiyorsanız, SCIM senkronizasyonu’nu etkinleştirin.

Yapılandırma sorunları

Eğer öznitelik değerleri yanlışsa, SSO ile giriş yaptığınızda “Kimlik doğrulama başarısız oldu” mesajı ve bir hata kodu göreceksiniz:

email.no_in_response

Öznitelik adlarını User.Firstname, User.Surname, User.EmailAddress biçiminde belirtin. Farklı bir biçim belirlenirse, örneğin Firstname, giriş yapılamaz.

samlresponse.invalid

Giriş sayfası URL’si, kimlik sağlayıcısı yayımcısı veya doğrulama sertifikası yanlış belirtilirse, hata oluşur. Kurumlar için Yandex 360’ta bu SSO ayarlarının doğruluğunu kontrol edin.

unsupportable_domain

SAML response’taki User.EmailAddress e-posta özniteliğindeki alan adının, ana alan adıyla veya Yandex 360 kurumunun eş alan adlarından biriyle aynı olup olmadığını kontrol edin. Eğer eşleşmezlerse, bir hata mesajı görürsünüz.