Azure Active Directory’yi yapılandırma

Azure Active Directory yönetim merkezi arayüzünü İngilizce kullanıyorsanız bu talimatları kullanın.

Azure Active Directory üzerinden Yandex 360 servislerinde çoklu oturum açmayı (SSO) düzenlemek için öncelikle bir SAML uygulaması oluşturup ayarlamanız gerekir.

Adım 1. SAML uygulamasını oluşturun ve yapılandırın

1. Azure Active Directory yönetim merkezine girin.

2. Sol paneldeki Azure Active Directory bölümünde Kurumsal uygulamalar sekmesine tıklayın.

3. Bir SAML uygulaması oluşturun:

   1. Yeni uygulama butonuna tıklayın.

   2. Azure AD koleksiyonuna göz at sekmesinde Kendi uygulamanızı oluşturun'a tıklayın.

   3. Açılan pencerenin sağ tarafına uygulamanın adını girin, örneğin yandexsso.

   4. Uygulama seçeneği olarak Koleksiyonda olmayan (koleksiyonun dışındaki) diğer uygulamalarla entegrasyon'u seçin.

   5. Oluştur butonuna tıklayın.

   Kurumsal uygulamalar sekmesinde Tüm uygulamalar listesinde oluşturulan uygulama görüntülenir.

4. Listeden uygulamanızı seçin.

   Ortak kurumsal kullanıcı girişi (SSO) kullanabilecek kullanıcıları özel olarak belirlemek istemiyorsanız, Özellikler sekmesinde Belirtmek zorunludur parametresi için Hayır değerini seçin. Ayarlarınızı kaydetmek için sekmenin üst kısmındaki Kaydet butonuna tıklayın.

   Ortak kurumsal kullanıcı girişi (SSO) kullanabilecek kullanıcıları özel olarak belirlemek için Özellikler sekmesinde Belirtmek zorunludur parametresi için Evet değerini seçin. Ardından Kullanıcılar ve gruplar sekmesinde Kullanıcı veya grup ekle'ye tıklayın ve istediğiniz kullanıcıları belirtin.

5. Ortak giriş sekmesine gidin ve SAML giriş yöntemini seçin.

6. SAML aracılığıyla ortak giriş ayarlama penceresinde Temel SAML konfigürasyonu bölümünde Düzenle butonuna tıklayın ve parametreleri ayarlayın:

   1. Kimlik (tüzel kişi): https://yandex.ru/ (sonunda eğik çizgi olması zorunludur).

   2. Yanıt URL'si (Onay İşlemcisi Hizmeti URL'si): https://passport.yandex.ru/auth/sso/commit.

   3. Giriş URL'si (zorunlu olmayan parametre): https://passport.yandex.ru/auth/sso/commit.

   4. Çalışanlarınız servisleri yalnızca Rusça kullanmıyorsa, Yanıt URL'si (Onay İşlemcisi Hizmeti URL'si) ve Giriş URL'si alanlarına ek olarak diğer dil alan adlarının URL’sini ekleyin. Örneğin:

      https://passport.yandex.com/auth/sso/commit – İngilizce için;

      https://passport.yandex.kz/auth/sso/commit – Kazakça için;

      https://passport.yandex.uz/auth/sso/commit – Özbekçe için;

      https://passport.yandex.com.tr/auth/sso/commit – Türkçe için.

      Tam liste

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.az/auth/sso/commit

      https://passport.yandex.by/auth/sso/commit

      https://passport.yandex.co.il/auth/sso/commit

      https://passport.yandex.com/auth/sso/commit

      https://passport.yandex.com.am/auth/sso/commit

      https://passport.yandex.com.ge/auth/sso/commit

      https://passport.yandex.com.tr/auth/sso/commit

      https://passport.yandex.ee/auth/sso/commit

      https://passport.yandex.eu/auth/sso/commit

      https://passport.yandex.fi/auth/sso/commit

      https://passport.yandex.fr/auth/sso/commit

      https://passport.yandex.kg/auth/sso/commit

      https://passport.yandex.kz/auth/sso/commit

      https://passport.yandex.lt/auth/sso/commit

      https://passport.yandex.lv/auth/sso/commit

      https://passport.yandex.md/auth/sso/commit

      https://passport.yandex.pl/auth/sso/commit

      https://passport.yandex.ru/auth/sso/commit

      https://passport.yandex.tj/auth/sso/commit

      https://passport.yandex.tm/auth/sso/commit

      https://passport.yandex.ua/auth/sso/commit

      https://passport.yandex.uz/auth/sso/commit

   5. Kaydet butonuna tıklayın.

Adım 2. Kullanıcı özniteliği eşlemesi yapılandırması

1. Azure Active Directory ve Yandex 360’ta kullanıcı özniteliklerini senkronize etmek için Kurumsal Uygulamalar → Tüm Uygulamalar → <uygulamanız> → Tek Oturum Açma bölümüne gidin.

2. Özellikler ve onaylar bölümünde Benzersiz kullanıcı ID'si'ni seçin.

3. Kullanıcının adının ve soyadının Yandex 360’ta doğru görüntülenmesini sağlamak için Bağlayıcı ifadeler ayarlar grubunda Kaynak alanında Öznitelik öğesini seçin ve Kaynak Özniteliği alanına user.mail girin, ardından Kaydet öğesine tıklayın. İsim alanı alanının her yerde boş kaldığından emin olun.

4. Ek onaylar ayarlar grubunda, aşağıdaki ifadeleri düzenleyin veya silip yeniden oluşturun:

   Onay adı	Değer
   User.EmailAddress	user.mail
   User.Firstname	user.givenname
   User.Surname	user.surname

   İsim alanı alanının boş kaldığından emin olun.

   SAML-sorgu örneği:

   <Attribute Name="User.EmailAddress">
      <AttributeValue>email@test.com</AttributeValue>
   </Attribute>
   <Attribute Name="User.Surname">
      <AttributeValue>Surname</AttributeValue>
   </Attribute>
   <Attribute Name="User.Firstname">
      <AttributeValue>Firstname</AttributeValue>
   </Attribute>
   

Adım 3. Sertifikayı kaydedin

1. Kurumsal Uygulamalar → Tüm Uygulamalar → <uygulamanız> → Tek Oturum Açma öğesine gidin.

2. SAML Sertifikaları bölümünde Sertifika (Base64) parametresinin yanında İndir'e tıklayın. Dosyayı sabit diske kaydedin.

   Kaydedilen .cer uzantılı dosya herhangi bir metin düzenleyiciyle açılabilir.

Adım 4 Yandex 360’a aktarılması gereken verileri toplayın

Yandex 360’ta daha fazla yapılandırma için adım 3’te alınan sertifikaya ve yapılandırma parametrelerinin değerlerine ihtiyacınız olacak:

• Giriş URL’si

• Azure AD Tanımlayıcısı

Parametre değerlerini kaydetmek için:

1. Kurumsal Uygulamalar → Tüm Uygulamalar → <sizin uygulamanız> → Tek Oturum Açma sekmesinde, Kurulum <uygulama adı> bölümüne gidin.

2. Giriş URL'si ve Azure AD Tanımlayıcısı alanlarının değerlerini herhangi bir uygun konuma kopyalayın.

Daha sonra Kurumlar için Yandex 360 yapılandırmasına geçin.

Yapılandırma sorunlarını giderme

Kimlik sağlayıcısını yapılandırma işlemi sırasında yanlış değerler girdiyseniz, SSO aracılığıyla oturum açmaya çalıştığınızda “Yetkilendirme başarısız oldu” bildirimini ve aşağıdaki hata kodunu görürsünüz:

email.no_in_response

Öznitelik adlarını User.Firstname, User.Surname, User.EmailAddress biçiminde belirtin. Farklı bir biçim belirlenirse, örneğin Firstname, giriş yapılamaz.

request_your_admin

Organizasyonunuzun kullanıcı kataloğu yöneticisi, hesap için Yandex 360’a erişimi kısıtladıysa hata oluşur. Daha fazla bilgi için organizasyonunuzun teknik destek ekibiyle iletişime geçin.

samlresponse.invalid

Giriş sayfası URL’si, kimlik sağlayıcısı yayımcısı veya doğrulama sertifikası yanlış belirtilirse, hata oluşur. Bu, doğrulama sertifikasının süresinin dolmasından önceki veya sonraki 14 gün içinde de gerçekleşebilir. Yandex 360 for Business’ta bu SSO ayarlarının doğruluğunu kontrol edin.

unsupportable_domain

SAML response’taki User.EmailAddress e-posta özniteliğindeki alan adının, ana alan adıyla veya Yandex 360 kurumunun eş alan adlarından biriyle aynı olup olmadığını kontrol edin. Eğer eşleşmezlerse, bir hata mesajı görürsünüz.