Выбор уникального идентификатора пользователя при настройке SSO и синхронизации пользователей в Яндекс 360 для бизнеса

info@vsetut.pro

О проекте

Вернуться

27.12.2024 08:00:27 | Хабр

Хабы: Блог компании Яндекс 360

Привет, Хабр! В прошлых статьях я упоминал, что Яндекс 360 для бизнеса позволяет использовать IdP заказчика и синхронизировать учетные записи пользователей из LDAP. Заказчики могут настроить для своих сотрудников SSO со своим IdP на основе ADFS или Keycloak. Дополнительно можно настроить синхронизацию пользователей, например, со своей Active Directory по протоколу SCIM, используя утилиту Yandex AD SCIM.

В этой статье я приоткрою капот и расскажу детальнее, как работает SSO и синхронизация. Вы узнаете, как связываются объекты типа пользователь из LDAP (Active Directory) с учетными записями в Директории Яндекс 360. А ещё я разберу сценарий, когда в качестве уникального идентификатора пользователя в Active Directory выбирается атрибут ObjectGUID и модифицируется преобразование типов данных при формировании утверждений SAML (claims), а именно Base64 - Claim. В этом мне помогут изыскания моего коллеги — архитектора Андрея Лаврецкого, — и библиотеки для ADFS.

Перед прочтением статьи рекомендую базово разобраться, как работает SSO в Яндекс 360 и синхронизация с Active Directory. Для этого достаточно ознакомиться со статьями или документацией. Этот материал поможет сделать оптимальный выбор, какой уникальный идентификатор выбрать в вашей организации.

Подробнее