Keycloak sürüm 18’i ayarlama
Keycloak üzerinden Yandex 360 servislerine ortak kurumsal giriş düzenlemek için öncelikle bir SAML uygulaması oluşturup ayarlamanız gerekir.
Adım 1 SAML uygulamasını oluşturun ve yapılandırın
- Keycloak yöneticisi Kullanıcı hesabına girin.
- Yönetim konsolunu açın:’e tıklayın.
- Bir SAML uygulaması oluşturun:
- Sol panelde Clients’i seçin ve Create butonuna tıklayın.
- Client ID alanına
https://yandex.ru/
girin (sonunda eğik çizgi gereklidir). - Client Protocol alanında saml’yi belirtin.
- Client SAML Endpoint alanında Service URL:
https://passport.yandex.ru/auth/sso/commit
girin. Save’e tıklayın.
- Settings sekmesinde, SAML uygulama ayarlarını yapılandırın:
- Name alanına uygulamanın adını girin, örneğin
yandex360
. - Etkinleştirilmişse Client Signature Required seçeneğini kapatın.
- Varsayılan olarak işaretli seçenekleri (Enabled, Include AuthnStatement, Sign Documents vb.) değiştirmeden bırakın.
Name ID Format için e-posta seçin. Seçilen seçeneğin Yandex 360 ayarlarından bağımsız olarak iletilebilmesi için Force Name ID format seçeneğini etkinleştirin.
Not.NameID özelliğinin değeri değiştirilemez, Yandex ID’de kullanıcı kimliğini belirlemek için kullanılır. Eğer UPN’yi değiştiriyorsanız, NameID olarak sizin LDAP’ta kullanıcıların değişmeyen özniteliklerinden birini belirtin.
Eğer ayarlanabilen NameID’ye ihtiyacınız varsa, bunu kullanıcı özniteliği eşleme ayarlarında varsayılan olarak ayarlayın: Mappers menüsünde yeni User Attribute Mapper For NameID oluşturun.- Valid Redirect URIs, Base URL, Master SAML Processing URL alanlarında Service URL:
https://passport.yandex.ru/auth/sso/commit
girin. Save’e tıklayın. Eğer çalışanlarınız Yandex 360 servislerini yalnızca Rus alan adıyla kullanmıyorsa, ek olarak Valid Redirect URIs alanında dil alan adlarının URL’lerini uç noktalara ekleyin.
Dil alan adları için uç noktalar:
https://passport.yandex.com/auth/sso/commit
– İngilizce için;https://passport.yandex.kz/auth/sso/commit
– Kazakça için;https://passport.yandex.uz/auth/sso/commit
– Özbekçe için;https://passport.yandex.com.tr/auth/sso/commit
– Türkçe için.
https://passport.yandex.com/auth/sso/commit
https://passport.yandex.az/auth/sso/commit
https://passport.yandex.by/auth/sso/commit
https://passport.yandex.co.il/auth/sso/commit
https://passport.yandex.com/auth/sso/commit
https://passport.yandex.com.am/auth/sso/commit
https://passport.yandex.com.ge/auth/sso/commit
https://passport.yandex.com.tr/auth/sso/commit
https://passport.yandex.ee/auth/sso/commit
https://passport.yandex.eu/auth/sso/commit
https://passport.yandex.fi/auth/sso/commit
https://passport.yandex.fr/auth/sso/commit
https://passport.yandex.kg/auth/sso/commit
https://passport.yandex.kz/auth/sso/commit
https://passport.yandex.lt/auth/sso/commit
https://passport.yandex.lv/auth/sso/commit
https://passport.yandex.md/auth/sso/commit
https://passport.yandex.pl/auth/sso/commit
https://passport.yandex.ru/auth/sso/commit
https://passport.yandex.tj/auth/sso/commit
https://passport.yandex.tm/auth/sso/commit
https://passport.yandex.uz/auth/sso/commit
Tam liste
Adım 2 Kullanıcı özniteliği eşlemesi yapılandırması
- Scope sekmesinde Full Scope Allowed seçeneğini devre dışı bırakın.
- Mappers sekmesine gidin ve Add Builtin butonuna tıklayın.
- Listedeki öznitelikleri seçin ve Add selected’e tıklayın:
X500 email
– elektronik posta adresi;X500 surname
– soyadı;X500 givenName
– adı.
Keycloak ve Yandex 360 özniteliklerinin senkronizasyonunu ayarlayın: Her bir özniteliği açın ve SAML Attribute Name değerini değiştirin. Yandex 360 tarafından desteklenen SAML Attribute Name değerleri aşağıda listelenmiştir.
SAML Attribute Name Value User.EmailAddress X500 email User.Firstname X500 givenName User.Surname X500 surname SAML Attribute Name Value User.EmailAddress X500 email User.Firstname X500 givenName User.Surname X500 surname Sonuç olarak, öznitelik eşlemesi şöyle görünecektir:
SAML yanıtı şöyle görünmelidir:
<Attribute Name="User.EmailAddress">
<AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
<AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
<AttributeValue>Firstname</AttributeValue>
</Attribute>
Adım 3 Yandex 360’a aktarılması gereken verileri toplayın
- Giriş sayfası URL’si
-
Giriş noktası adresi.
Almak için:
Sol paneldeki yönetim konsolunda Realm Settings’i seçin ve SAML 2.0 Identity Provider Metadata bağlantısına tıklayın.
Gerekli değer Location alanındadır, onu kopyalayın.
- Kimlik sağlayıcısı yayımcısı
- Alan adı Entity ID.
- Doğrulama sertifikası
- X.509 formatı token imzalama sertifikası.
Yapılandırma sorunları
Eğer öznitelik değerleri yanlışsa, SSO ile giriş yaptığınızda “Kimlik doğrulama başarısız oldu” mesajı ve bir hata kodu göreceksiniz:
- email.no_in_response
-
Öznitelik adlarını
User.Firstname
,User.Surname
,User.EmailAddress
biçiminde belirtin. Farklı bir biçim belirlenirse, örneğinFirstname
, giriş yapılamaz. - samlresponse.invalid
-
Giriş sayfası URL’si, kimlik sağlayıcısı yayımcısı veya doğrulama sertifikası yanlış belirtilirse, hata oluşur. Kurumlar için Yandex 360’ta bu SSO ayarlarının doğruluğunu kontrol edin.
- unsupportable_domain
-
SAML response’taki
User.EmailAddress
e-posta özniteliğindeki alan adının, ana alan adıyla veya Yandex 360 kurumunun eş alan adlarından biriyle aynı olup olmadığını kontrol edin. Eğer eşleşmezlerse, bir hata mesajı görürsünüz.