Azure Active Directory Ayarları (İngilizce arayüz)

Azure Active Directory üzerinden Yandex 360 servislerinde çoklu oturum açmayı (SSO) düzenlemek için öncelikle bir SAML uygulaması oluşturup ayarlamanız gerekir.

  1. Adım 1 SAML uygulamasını oluşturun ve yapılandırın
  2. Adım 2 Kullanıcı özniteliği eşlemesi yapılandırması
  3. Adım 3 Sertifikayı kaydedin
  4. Adım 4 Yandex 360’a aktarılması gereken verileri toplayın
  5. Yapılandırma sorunları

Adım 1 SAML uygulamasını oluşturun ve yapılandırın

  1. Azure Active Directory yönetim merkezine girin.
  2. Sol paneldeki Azure Active Directory bölümünde Enterprise applications sekmesine tıklayın.
  3. Bir SAML uygulaması oluşturun:
    1. New application butonuna tıklayın.
    2. Browse Azure AD Gallery sekmesinde Create your own application butonuna tıklayın.
    3. Açılan pencerenin sağ tarafına uygulamanın adını girin, örneğin yandexsso.
    4. Bir uygulama seçeneği belirleyin: Integrate any other application you don’t find in the gallery (Non-gallery).
    5. Create butonuna tıklayın.

    Enterprise applications sekmesinde All applications listesinde oluşturulan uygulama görüntülenir.

  4. Listeden uygulamanızı seçin.

    Ortak kurumsal kullanıcı girişi (SSO) kullanabilecek kullanıcıları özel olarak belirlemek istemiyorsanız, Properties sekmesinde Assign Required parametresi için No değerini seçin. Ayarlarınızı kaydetmek için sekmenin üst kısmındaki Save butonuna tıklayın.

    Ortak kurumsal kullanıcı girişi (SSO) kullanabilecek kullanıcıları özel olarak belirlemek için Properties sekmesinde Assign Required parametresi için Yes değerini seçin. Ardından Kullanıcılar ve gruplar sekmesinde Kullanıcı veya grup ekle'ye tıklayın ve istediğiniz kullanıcıları belirtin.

  5. Single sign-on sekmesine gidin ve SAML çoklu oturum açma seçeneğini seçin.
  6. Set up Single Sign-On with SAML penceresinde Basic SAML Configuration bölümünde Edit butonuna tıklayın ve parametreleri ayarlayın:
    1. Identifier (Entity ID): https://yandex.ru/ (sonunda eğik çizgi gereklidir).
    2. Reply URL (Assertion Consumer Service URL): https://passport.yandex.ru/auth/sso/commit.
    3. Sign on URL (zorunlu olmayan parametre): https://passport.yandex.ru/auth/sso/commit.
    4. Çalışanlarınız servisleri yalnızca Rusça kullanmıyorsa, Reply URL (Assertion Consumer Service URL) ve Sign on URL alanlarına ek olarak diğer dil alan adlarının URL’sini ekleyin. Örneğin:
      • https://passport.yandex.com/auth/sso/commit – İngilizce için;
      • https://passport.yandex.kz/auth/sso/commit – Kazakça için;
      • https://passport.yandex.uz/auth/sso/commit – Özbekçe için;
      • https://passport.yandex.com.tr/auth/sso/commit – Türkçe için.
      Tam liste
      • https://passport.yandex.com/auth/sso/commit
      • https://passport.yandex.az/auth/sso/commit
      • https://passport.yandex.by/auth/sso/commit
      • https://passport.yandex.co.il/auth/sso/commit
      • https://passport.yandex.com/auth/sso/commit
      • https://passport.yandex.com.am/auth/sso/commit
      • https://passport.yandex.com.ge/auth/sso/commit
      • https://passport.yandex.com.tr/auth/sso/commit
      • https://passport.yandex.ee/auth/sso/commit
      • https://passport.yandex.eu/auth/sso/commit
      • https://passport.yandex.fi/auth/sso/commit
      • https://passport.yandex.fr/auth/sso/commit
      • https://passport.yandex.kg/auth/sso/commit
      • https://passport.yandex.kz/auth/sso/commit
      • https://passport.yandex.lt/auth/sso/commit
      • https://passport.yandex.lv/auth/sso/commit
      • https://passport.yandex.md/auth/sso/commit
      • https://passport.yandex.pl/auth/sso/commit
      • https://passport.yandex.ru/auth/sso/commit
      • https://passport.yandex.tj/auth/sso/commit
      • https://passport.yandex.tm/auth/sso/commit
      • https://passport.yandex.ua/auth/sso/commit
      • https://passport.yandex.uz/auth/sso/commit
    5. Save’e tıklayın.

Adım 2 Kullanıcı özniteliği eşlemesi yapılandırması

  1. Azure Active Directory ve Yandex 360’ta kullanıcı özniteliklerini senkronize etmek için Enterprise applications → All applications → <Sizin uygulamanız> → SAML-based Sign-on'u takip edin.
  2. Attributes & Claims bölümünde Unique User Identifier (Name ID)’i seçin.
  3. Kullanıcı adının ve soyadının Yandex 360’ta doğru görüntülenmesi için, Required claim ayarlar grubunun Source attribute alanına user.mail'i girin ve daha sonra Save’e tıklayın.
  4. Additional claims ayarlar grubunda, aşağıdaki ifadeleri düzenleyin veya silip yeniden oluşturun:
    Claim name Value
     User.EmailAddress user.mail
     User.Firstname user.givenname
     User.Surname user.surname
    Claim name Value
     User.EmailAddress user.mail
     User.Firstname user.givenname
     User.Surname user.surname

    SAML-sorgu örneği:

    <Attribute Name="User.EmailAddress">
    <AttributeValue>email@test.com</AttributeValue>
</Attribute>
<Attribute Name="User.Surname">
    <AttributeValue>Surname</AttributeValue>
</Attribute>
<Attribute Name="User.Firstname">
    <AttributeValue>Firstname</AttributeValue>
</Attribute>

Adım 3 Sertifikayı kaydedin

  1. Enterprise applications → All applications → <Sizin uygulamanız> → SAML-based Sign-on’u takip edin.
  2. Certificate (Base64) parametresinin yanında SAML Signing Certificate bölümünde Download seçeneğine tıklayın. Dosyayı sabit diske kaydedin.

    Kaydedilen .cer uzantılı dosya herhangi bir metin düzenleyiciyle açılabilir.

Adım 4 Yandex 360’a aktarılması gereken verileri toplayın

Yandex 360’ta daha fazla yapılandırma için adım 3’te alınan sertifikaya ve yapılandırma parametrelerinin değerlerine ihtiyacınız olacak:

  • Login URL
  • Azure AD Identifier

Parametre değerlerini kaydetmek için:

  1. Enterprise applications → All applications → <sizin uygulamanız> → SAML-based Sign-on’u takip ederek Set up <uygulama adı> bölümüne gidin.
  2. Login URL ve Azure AD Identifier alanlarının değerlerini herhangi bir uygun konuma kopyalayın.

Daha sonra Kurumlar için Yandex 360 yapılandırmasına geçin.

Yapılandırma sorunları

Eğer öznitelik değerleri yanlışsa, SSO ile giriş yaptığınızda “Kimlik doğrulama başarısız oldu” mesajı ve bir hata kodu göreceksiniz:

email.no_in_response

Öznitelik adlarını User.Firstname, User.Surname, User.EmailAddress biçiminde belirtin. Farklı bir biçim belirlenirse, örneğin Firstname, giriş yapılamaz.

samlresponse.invalid

Giriş sayfası URL’si, kimlik sağlayıcısı yayımcısı veya doğrulama sertifikası yanlış belirtilirse, hata oluşur. Kurumlar için Yandex 360’ta bu SSO ayarlarının doğruluğunu kontrol edin.

unsupportable_domain

SAML response’taki User.EmailAddress e-posta özniteliğindeki alan adının, ana alan adıyla veya Yandex 360 kurumunun eş alan adlarından biriyle aynı olup olmadığını kontrol edin. Eğer eşleşmezlerse, bir hata mesajı görürsünüz.