Active Directory’i Yapılandırma (İngilizce arayüz)

Active Directory Federasyon Hizmeti üzerinden Yandex 360 servislerine kurumsal ortak girişi düzenlemek için öncelikle sunucuyu ayarlamanız gerekir.

Adım 1. Kontrol eden tarafla güven ilişkisi kurun

  1. AD FS sunucunuza girin ve Server Manager’ı açın.

  2. Yönetim konsolunu açın: ToolsAD FS Management öğesine tıklayın.

  3. Eylemler listesinden Add Relying Party Trust’ı seçin.

  4. Claims aware'i seçin ve Start’a tıklayın.

  5. İlişkiyi otomatik olarak yapılandırmak için, Select Data Source adımında, Import data about the relying party published online or on a local network öğesini seçin ve aşağıdaki URL’yi girin: https://passport.yandex.ru/auth/sso/metadata.

    Next’e tıklayın.

    İlişki manuel olarak nasıl ayarlanır

    1. Select Data Source adımında Enter data about the relying party manually’i seçin. Daha sonra Next’e tıklayın.

    2. İlişki için herhangi bir ad belirtin, örneğin “Yandex 360”. Next’e tıklayın.

    3. Configure Certificate adımını atlayın, bunun için Next’e tıklayın.

    4. Enable support for the SAML 2.0 WebSSO protocol’ü seçin Service URL: https://passport.yandex.ru/auth/sso/commit'i belirtin. Next’e tıklayın.

    5. https://yandex.ru/ kimliğini ekleyin (sonunda eğik çizgi olduğundan emin olun) – alana yapıştırın ve Add öğesine tıklayın. Daha sonra Next’e tıklayın.

    6. Choose Access Control Policy adımını atlayın.

  6. Bilgileri kontrol edin. Advanced sekmesinde SHA-256 sağlama algoritmasının seçili olduğundan emin olun. Her şey tamamsa, NextClose öğelerine tıklayın.

    Otomatik ilişki ayarını kullandıysanız, doğrudan adım 3’e geçin. İlişkiyi manuel olarak oluşturuyorsanız, adım 2’yi yerine getirin.

Adım 2. Dil alan adları için uç noktalar ekleyin

Dikkat

Adım 1.5’te ilişkiyi otomatik olarak ayarlamayı seçtiyseniz bu adımı atlayın.

Eğer çalışanlarınız Yandex 360 servislerini yalnızca Rus alan adıyla kullanmıyorsa, ek olarak dil alanlarının URL’lerini uç noktalara ekleyin:

  1. Yönetim Konsolunda, Trust RelationshipsRelying Party Trusts öğesine tıklayın.

  2. Adım 1’de oluşturulan ilişki ayarlarını açın, bunun için üzerine çift tıklayın.

  3. Endpoints sekmesine geçin.

  4. İhtiyacınız olan uç noktaları ekleyin.

    Dil alan adı ve bir uç nokta eklemek için Add SAML’ye tıklayın, Binding değerinde POST’u seçin ve aşağıdaki URL’yi belirtin:

    • https://passport.yandex.com/auth/sso/commit – İngilizce için;

    • https://passport.yandex.kz/auth/sso/commit – Kazakça için;

    • https://passport.yandex.uz/auth/sso/commit – Özbekçe için;

    • https://passport.yandex.com.tr/auth/sso/commit – Türkçe için.

    Tam liste

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.az/auth/sso/commit

    • https://passport.yandex.by/auth/sso/commit

    • https://passport.yandex.co.il/auth/sso/commit

    • https://passport.yandex.com/auth/sso/commit

    • https://passport.yandex.com.am/auth/sso/commit

    • https://passport.yandex.com.ge/auth/sso/commit

    • https://passport.yandex.com.tr/auth/sso/commit

    • https://passport.yandex.ee/auth/sso/commit

    • https://passport.yandex.eu/auth/sso/commit

    • https://passport.yandex.fi/auth/sso/commit

    • https://passport.yandex.fr/auth/sso/commit

    • https://passport.yandex.kg/auth/sso/commit

    • https://passport.yandex.kz/auth/sso/commit

    • https://passport.yandex.lt/auth/sso/commit

    • https://passport.yandex.lv/auth/sso/commit

    • https://passport.yandex.md/auth/sso/commit

    • https://passport.yandex.pl/auth/sso/commit

    • https://passport.yandex.ru/auth/sso/commit

    • https://passport.yandex.tj/auth/sso/commit

    • https://passport.yandex.tm/auth/sso/commit

    • https://passport.yandex.uz/auth/sso/commit

    Daha sonra OK’e tıklayın.

Adım 3. Claims Mapping’i yapılandırın

Istek eşlemesini ayarlamak için bir öznitelik belirtmeniz gerekir. Kullanıcıyı Yandex ID’de tanımlamak için kullanılacaktır. Bir özniteliği, onu seçtikten sonra değiştiremezsiniz.

  • Kullanıcı oturum açma adları değişmeyecekse, “UPN” özniteliğini belirtin.

  • Ancak, organizasyonunuzda kullanıcıların UPN’lerinde değişikliğe neden olabilecek planlanmış alan adı veya iş süreci değişiklikleri varsa, “objectSID”, “objectGUID” veya diğer şeklinde başka bir öznitelikseçmeniz gerekecektir.

Bir öznitelik nasıl belirtilir?

  1. Trust Relationships bloğunda farenin sağ tuşu ile adım 1’de oluşturulmuş olan ilişkiye tıklayın ve Edit Claim Issuance Policy’i seçin.

  2. Add Rule’e tıklayın.

  3. Claim rule template olarak Transform an Incoming Claim’i seçin ve Next’e tıklayın.

  4. “NameID” gibi herhangi bir kural adı düşünün ve bunu Claim rule name alanında belirtin.

    Outgoing claim type alanında Name ID öğesini seçin. Finish’e tıklayın.

  5. Bir kural daha oluşturun ve tekrardan Add Rule’a tıklayın. Send LDAP Attributes as Claims şablonunu seçin ve Next’e tıklayın.

  6. Kurala “LDAPATTR” gibi bir ad verin. Kalan alanları aşağıda gösterildiği gibi doldurun.

    Daha sonra Finish’e tıklayın.

    Öznitelik adları biçime ve büyük/küçük harfe duyarlıdır. Adları tam olarak resimde gösterildiği gibi User.Firstname, User.Surname, User.EmailAddress şeklinde belirtin. Aksi takdirde yetkilendirme sırasında email.no_in_response gibi hatalar oluşabilir.

  1. Trust Relationships bloğunda farenin sağ tuşu ile adım 1’de oluşturulmuş olan ilişkiye tıklayın ve Edit Claim Issuance Policy’i seçin.

  2. Add Rule’e tıklayın. Send LDAP Attributes as Claims şablonunu seçin ve Next’e tıklayın.

  3. Kurala “LDAPATTR” gibi bir ad verin. Kalan alanları aşağıda gösterildiği gibi doldurun. “Name ID” türünün karşısında, “objectGUID”, “objectSID” veya diğer şeklinde bir öznitelik belirtin.

    Daha sonra Finish’e tıklayın.

    Öznitelik adları biçime ve büyük/küçük harfe duyarlıdır. Adları tam olarak resimde gösterildiği gibi User.Firstname, User.Surname, User.EmailAddress şeklinde belirtin. Aksi takdirde yetkilendirme sırasında email.no_in_response gibi hatalar oluşabilir.

Adım 4 Yandex 360’a aktarılması gereken verileri toplayın

Giriş sayfası URL’si

Giriş noktası adresi. Genellikle bu https://alan adı/adfs/ls şeklindedir.

Yönetim konsolunda Endpoints’i açın ve /adfs/ls/’de Proxy Enabled parametresi için Yes değerinin belirlendiğinden emin olun. Bu parametre, AD FS’de dışarıdan erişilebilir olması gereken https://alan adı_ADFS/adfs/ls/idpinitiatedsignon.aspx şeklinde bir adres olan kimlik doğrulama sayfasının etkinleştirilmesinden sorumludur.

Kimlik sağlayıcısı yayımcısı

Alan adının Entity ID’si. Genellikle bu http://alan adı/adfs/services/trust şeklindedir.

Bunu almak için yönetim konsolunda Action sekmesine geçin ve Edit Federation Service Properties’i seçin.

Gerekli değer Federation Service identifier alanındadır.

Doğrulama sertifikası

X.509 biçimli belirteçler için Base64 belirteç imzalama sertifikası. Almak için:

1. Yönetici konsolunda Certificates öğesini açın.

2. Token-signing sertifikanıza çift tıklayın.

3. Details sekmesine gidin ve Copy to File’a tıklayın.

4. Sertifika türünü Base-64 encoded X.509 (.CER) olarak seçin ve Next’e tıklayın.

5. Dosyayı sabit diske kaydedin.

İki aktif belirteç imzalama sertifikanız varsa ve şu anda hangi sertifikanın kullanıldığından emin değilseniz, aynı adımları ikinci sertifika için de tekrarlayın.

Adım 5 SCIM çalışan senkronizasyonunu yapılandırın

Varsayılan olarak, yeni çalışanlar Yandex 360’ta yalnızca ilk girişten sonra görünür ve eski çalışanları manuel olarak silmek gerekir. Eğer AD FS’den Kurumlar için Yandex 360 ile çalışan listesini otomatik olarak senkronize etmek istiyorsanız, SCIM senkronizasyonu’nu etkinleştirin.

Yapılandırma sorunları

Eğer öznitelik değerleri yanlışsa, SSO ile giriş yaptığınızda “Kimlik doğrulama başarısız oldu” mesajı ve bir hata kodu göreceksiniz:

email.no_in_response

Öznitelik adlarını User.Firstname, User.Surname, User.EmailAddress biçiminde belirtin. Farklı bir biçim belirlenirse, örneğin Firstname, giriş yapılamaz.

request_your_admin

Organizasyonunuzun Active Directory veya Keycloak gibi kullanıcı kataloğu yöneticisi, hesap için Yandex 360’a erişimi kısıtladıysa hata oluşur. Daha fazla bilgi için organizasyonunuzun teknik destek ekibiyle iletişime geçin.

samlresponse.invalid

Giriş sayfası URL’si, kimlik sağlayıcısı yayımcısı veya doğrulama sertifikası yanlış belirtilirse, hata oluşur. Bu, doğrulama sertifikasının süresinin dolmasından önceki veya sonraki 14 gün içinde de gerçekleşebilir. Yandex 360 for Business’ta bu SSO ayarlarının doğruluğunu kontrol edin.

unsupportable_domain

SAML response’taki User.EmailAddress e-posta özniteliğindeki alan adının, ana alan adıyla veya Yandex 360 kurumunun eş alan adlarından biriyle aynı olup olmadığını kontrol edin.
Destek Ekibi'ne yaz

Microsoft şirketinin farklı sistemlere ve uygulamalara erişim için tek bir oturum açma düzenlemesi yapmanızı sağlayan bir teknolojisi. Active Directory federasyon uygulamalarına genel bakış

Önceki
Active Directory’yi yapılandırma
Sonraki
Azure Active Directory’yi yapılandırma