Active Directory’yi yapılandırma

Active Directory arayüzünü İngilizce kullanıyorsanız, bu talimatları kullanın.

Active Directory Federasyon Hizmeti üzerinden Yandex 360 servislerine kurumsal ortak girişi düzenlemek için öncelikle sunucuyu ayarlamanız gerekir.

Adım 1. Kontrol eden tarafla güven ilişkisi kurun

  1. AD FS sunucunuzda giriş yapın ve Sunucu Yöneticisi öğesini açın.

  2. Yönetim konsolunu açın: Araçlar → AD FS Yönetimi’ne tıklayın.

  3. Eylem listesinde Onaylama Tarafı Güven İlişkisi Ekle öğesini seçin.

  4. Destekleyici Istekler öğesini seçin ve Başlat öğesine tıklayın.

  5. İlişkiyi otomatik olarak yapılandırmak için, Veri Kaynağını Seç adımında, İnternette veya yerel ağda yayınlanan onaylayan taraf hakkındaki verileri içe aktar öğesini seçin ve aşağıdaki URL’yi girin: https://passport.yandex.ru/auth/sso/metadata.

    İleri butonuna tıklayın.

    İlişki manuel olarak nasıl ayarlanır

    1. Veri Kaynağını Seçin adımında, Onaylama Tarafı Verilerini Manuel Olarak Girin öğesini seçin. Ardından Sonraki öğesine tıklayın.

    2. İlişki için herhangi bir ad belirtin, örneğin “Yandex 360”. İleri butonuna tıklayın.

    3. Sertifikayı Yapılandır adımını atlayın – bunu yapmak için Sonraki öğesine tıklayın.

    4. SAML 2.0 WebSSO protokol desteğini etkinleştir seçeneğini işaretleyin ve URL’yi https://passport.yandex.ru/auth/sso/commit olarak belirleyin. İleri butonuna tıklayın.

    5. https://yandex.ru/ kimliğini ekleyin (sonunda eğik çizgi olduğundan emin olun) – alana yapıştırın ve Ekle öğesine tıklayın. Ardından Sonraki öğesine tıklayın.

    6. Bir erişim kontrol politikası seçin adımını atlayın.

  6. Bilgileri kontrol edin. Gelişmiş sekmesinde SHA-256 karma algoritmasının seçili olduğundan emin olun. Her şey yolunda ise, Sonraki → Kapat’a tıklayın.

    Otomatik ilişki ayarını kullandıysanız, doğrudan adım 3’e geçin. İlişkiyi manuel olarak oluşturuyorsanız, adım 2’yi yerine getirin.

Adım 2. Dil alan adları için uç noktalar ekleyin

Dikkat

Adım 1.5’te ilişkiyi otomatik olarak ayarlamayı seçtiyseniz bu adımı atlayın.

Eğer çalışanlarınız Yandex 360 servislerini yalnızca Rus alan adıyla kullanmıyorsa, ek olarak dil alanlarının URL’lerini uç noktalara ekleyin:

  1. Yönetim Konsolunda Onaylama Tarafı Güven İlişkisi öğesine tıklayın.

  2. Adım 1’de oluşturulan ilişki ayarlarını açın, bunun için üzerine çift tıklayın.

  3. Uç Noktalar sekmesine tıklayın.

  4. İhtiyacınız olan uç noktaları ekleyin.

    Bir dil alan adına uç nokta eklemek için SAML Ekle öğesine tıklayın, Bağlama değerinde POST öğesini seçin ve aşağıdaki URL’yi girin:

    • https://passport.yandex.com/auth/sso/commit – İngilizce için;

    • https://passport.yandex.kz/auth/sso/commit – Kazakça için;

    • https://passport.yandex.uz/auth/sso/commit – Özbekçe için;

    • https://passport.yandex.com.tr/auth/sso/commit – Türkçe için.

    Tam liste

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

    Daha sonra OK’e tıklayın.

Adım 3. Isteklerin eşlenmesini ayarlayın

Istek eşlemesini ayarlamak için bir öznitelik belirtmeniz gerekir. Kullanıcıyı Yandex ID’de tanımlamak için kullanılacaktır. Bir özniteliği, onu seçtikten sonra değiştiremezsiniz.

  • Kullanıcı oturum açma adları değişmeyecekse, “UPN” özniteliğini belirtin.

  • Ancak, organizasyonunuzda kullanıcıların UPN’lerinde değişikliğe neden olabilecek planlanmış alan adı veya iş süreci değişiklikleri varsa, “objectSID”, “objectGUID” veya diğer şeklinde başka bir öznitelikseçmeniz gerekecektir.

Bir öznitelik nasıl belirtilir?

  1. Taraf Güven İlişkisini Onaylama bloğunda, 1. adımda oluşturulan ilişkiye sağ tıklayın ve İstek Gönderim İlkesini Değiştir’i seçin.

  2. Kural Ekle’ye tıklayın.

  3. Onay Kuralı Şablonu alanında, Gelen Onay Dönüşümü öğesini seçin ve Sonraki öğesine tıklayın.

  4. “NameID” gibi herhangi bir kural adı düşünün ve onu Onay Kuralı Adı alanında belirtin.

    Giden istek türü alanında Name ID öğesini seçin. Bitti butonuna tıklayın.

  5. Kural Ekle öğesine tekrar tıklayarak başka bir kural oluşturun. LDAP Özniteliklerini İstek Olarak Gönder şablonunu seçin ve Sonraki öğesine tıklayın.

  6. Kurala “LDAPATTR” gibi bir ad verin. Kalan alanları aşağıda gösterildiği gibi doldurun.

    Ardından Hazır öğesine tıklayın.

    Öznitelik adları biçime ve büyük/küçük harfe duyarlıdır. Adları tam olarak resimde gösterildiği gibi User.Firstname, User.Surname, User.EmailAddress şeklinde belirtin. Aksi takdirde yetkilendirme sırasında email.no_in_response gibi hatalar oluşabilir.

  1. Taraf Güven İlişkisini Onaylama bloğunda, 1. adımda oluşturulan ilişkiye sağ tıklayın ve İstek Gönderim İlkesini Değiştir’i seçin.

  2. Kural Ekle’ye tıklayın. LDAP Özniteliklerini İstek Olarak Gönder şablonunu seçin ve Sonraki öğesine tıklayın.

  3. Kurala “LDAPATTR” gibi bir ad verin. Kalan alanları aşağıda gösterildiği gibi doldurun. “Name ID” türünün karşısında, “objectGUID”, “objectSID” veya diğer şeklinde bir öznitelik belirtin.

    Ardından Hazır öğesine tıklayın.

    Öznitelik adları biçime ve büyük/küçük harfe duyarlıdır. Adları tam olarak resimde gösterildiği gibi User.Firstname, User.Surname, User.EmailAddress şeklinde belirtin. Aksi takdirde yetkilendirme sırasında email.no_in_response gibi hatalar oluşabilir.

Adım 4 Yandex 360’a aktarılması gereken verileri toplayın

Giriş sayfası URL’si

Giriş noktası adresi. Genellikle bu https://alan adı/adfs/ls şeklindedir.

Yönetim Konsolunda, Uç Noktalar öğesini açın ve /adfs/ls/ öğesinin Proxy Etkin parametresi için Evet değerine sahip olduğundan emin olun. Bu parametre, AD FS’de dışarıdan erişilebilir olması gereken https://alan adı_ADFS/adfs/ls/idpinitiatedsignon.aspx şeklinde bir adres olan kimlik doğrulama sayfasının etkinleştirilmesinden sorumludur.

Kimlik sağlayıcısı yayımcısı

Alan adının Entity ID’si. Genellikle bu http://alan adı/adfs/services/trust şeklindedir.

Bunu elde etmek için Yönetim Konsolunda Eylem sekmesine gidin ve Federasyon Uygulaması Özelliklerini Değiştir öğesini seçin.

İlgili değer Federasyon Uygulama Kimliği alanındadır.

Doğrulama sertifikası

X.509 biçimli belirteçler için Base64 belirteç imzalama sertifikası. Almak için:

1. Yönetim Konsolunda Sertifikalar öğesini açın.

2. Sertifikanız üzerinde Belirteci imzalamak için öğesine iki kez tıklayın.

3. Oluştur sekmesine gidin ve Dosyaya kopyala öğesine tıklayın.

4. Sertifika türünü Base-64 kodlu X.509 (.CER) dosyaları içerisinde seçin ve Sonraki öğesine tıklayın.

5. Dosyayı sabit diske kaydedin.

İki aktif belirteç imzalama sertifikanız varsa ve şu anda hangi sertifikanın kullanıldığından emin değilseniz, aynı adımları ikinci sertifika için de tekrarlayın.

Adım 5 SCIM çalışan senkronizasyonunu yapılandırın

Varsayılan olarak, yeni çalışanlar Yandex 360’ta yalnızca ilk girişten sonra görünür ve eski çalışanları manuel olarak silmek gerekir. Eğer AD FS’den Kurumlar için Yandex 360 ile çalışan listesini otomatik olarak senkronize etmek istiyorsanız, SCIM senkronizasyonu’nu etkinleştirin.

Yapılandırma sorunlarını giderme

Kimlik sağlayıcısını yapılandırma işlemi sırasında yanlış değerler girdiyseniz, SSO aracılığıyla oturum açmaya çalıştığınızda “Yetkilendirme başarısız oldu” bildirimini ve aşağıdaki hata kodunu görürsünüz:

email.no_in_response

Öznitelik adlarını User.Firstname, User.Surname, User.EmailAddress biçiminde belirtin. Farklı bir biçim belirlenirse, örneğin Firstname, giriş yapılamaz.

request_your_admin

Organizasyonunuzun kullanıcı kataloğu yöneticisi, hesap için Yandex 360’a erişimi kısıtladıysa hata oluşur. Daha fazla bilgi için organizasyonunuzun teknik destek ekibiyle iletişime geçin.

samlresponse.invalid

Giriş sayfası URL’si, kimlik sağlayıcısı yayımcısı veya doğrulama sertifikası yanlış belirtilirse, hata oluşur. Bu, doğrulama sertifikasının süresinin dolmasından önceki veya sonraki 14 gün içinde de gerçekleşebilir. Yandex 360 for Business’ta bu SSO ayarlarının doğruluğunu kontrol edin.

unsupportable_domain

SAML response’taki User.EmailAddress e-posta özniteliğindeki alan adının, ana alan adıyla veya Yandex 360 kurumunun eş alan adlarından biriyle aynı olup olmadığını kontrol edin.
Destek Ekibi'ne yaz

Microsoft şirketinin farklı sistemlere ve uygulamalara erişim için tek bir oturum açma düzenlemesi yapmanızı sağlayan bir teknolojisi. Active Directory federasyon uygulamalarına genel bakış

Önceki
Nasıl bağlanır
Sonraki
Active Directory Kurulumu (EN)