[Документация Yandex Cloud](../../../index.md) > [Yandex Identity Hub](../../index.md) > [Практические руководства](../index.md) > [Настройка единого входа в приложения (SSO)](index.md) > Пассворк

# Создать SAML-приложение в Yandex Identity Hub для интеграции с Пассворк

[Пассворк](https://passwork.ru/) — это корпоративная платформа, предназначенная для безопасного и надежного хранения секретов (паролей, ключей, токенов и т.п.), управления секретами, а также автоматизации доступа сотрудников организации к секретам. Пассворк поддерживает SAML-аутентификацию для обеспечения безопасного [единого входа](../../../glossary/sso.md) пользователей организации.

Чтобы пользователи вашей [организации](../../concepts/organization.md) могли аутентифицироваться в Пассворк с помощью технологии единого входа по стандарту [SAML](https://ru.wikipedia.org/wiki/SAML), создайте [SAML-приложение](../../concepts/applications/saml.md) в Yandex Identity Hub и настройте его на стороне Yandex Identity Hub и на стороне Пассворк.

Управлять SAML-приложениями может пользователь, которому назначена [роль](../../security/index.md#organization-manager-samlApplications-admin) `organization-manager.samlApplications.admin` или выше.

Чтобы предоставить пользователям вашей организации доступ в Пассворк:

1. [Создайте SAML-приложение в Yandex Identity Hub](#create-app).
1. [Настройте интеграцию Yandex Identity Hub с Пассворк](#setup-integration).
1. [Убедитесь в корректной работе приложения](#validate).

## Создайте приложение {#create-app}

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

    1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
    1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения**.
    1. В правом верхнем углу страницы нажмите ![Circles3Plus](../../../_assets/console-icons/circles-3-plus.svg) **Создать приложение** и в открывшемся окне:
        1. Выберите метод единого входа **SAML (Security Assertion Markup Language)**.
        1. В поле **Имя** задайте имя создаваемого приложения: `passwork-app`.

        1. (Опционально) В поле **Описание** задайте описание приложения.
        1. (Опционально) Добавьте [метки](../../../resource-manager/concepts/labels.md):

            1. Нажмите **Добавить метку**.
            1. Введите метку в формате `ключ: значение`.
            1. Нажмите **Enter**.
        1. Нажмите **Создать приложение**.

{% endlist %}

### Сохраните настройки поставщика удостоверений {#save-idp-settings}

На открывшейся странице с информацией о вновь созданном SAML-приложении `passwork-app` скопируйте и сохраните настройки, необходимые для установления отношений доверия между поставщиком удостоверений и поставщиком услуг на стороне Пассворк:

1. В блоке **Конфигурация поставщика удостоверений (IdP)** скопируйте и сохраните значения следующих полей:

    * **Issuer / IdP EntityID**;
    * **Login URL**;
    * **Logout URL**.
1. В блоке **Сертификат приложения** нажмите кнопку **Скачать сертификат**, чтобы скачать сертификат вашего SAML-приложения.

Сохраненные значения понадобятся позднее при настройке интеграции на стороне Пассворк.

## Настройте интеграцию {#setup-integration}

Чтобы настроить интеграцию Пассворк с созданным SAML-приложением в Yandex Identity Hub, выполните настройки на стороне Пассворк и на стороне Yandex Identity Hub.

### Настройте SAML-приложение на стороне Пассворк {#setup-sp}

{% note info %}

Настройку SAML-приложения в Пассворк может выполнять пользователь с ролью администратора или владельца аккаунта. 

{% endnote %}

1. Аутентифицируйтесь в аккаунте Пассворк от имени владельца или администратора.
1. В верхней части экрана нажмите **Настройки и пользователи** и в появившемся списке выберите **Настройки SSO**. В открывшемся окне:

    * В блоке **Общие настройки** включите опции:

        * **Включить SSO**;
        * **Автоматически подтверждать новых пользователей из SSO**.
    * В блоке **Атрибуты пользователя** укажите имена [атрибутов](../../concepts/applications/saml.md#saml-attributes) пользователей:

        * в поле **Атрибут для электронной почты** — `emailaddress`;
        * в поле **Атрибут для полного имени** — `fullname`.
    * В блоке **Поставщик удостоверений → Пассворк** укажите скопированные ранее (в приложении `passwork-app`) и сохраненные значения настроек:

        * в поле **Идентификатор (Entity ID)** укажите значение из поля **Issuer / IdP EntityID** приложения `passwork-app`;
        * в поле **URL ответа (URL службы обработчика утверждений)** — значение из поля **Login URL**;
        * в поле **URL выхода** — значение из поля **Logout URL**;
        * в поле **Сертификат** вставьте содержимое скачанного в приложении `passwork-app` сертификата.
1. В блоке **Пассворк → Поставщик удостоверений** скопируйте и сохраните значения настроек, необходимые для установления отношений доверия между поставщиком удостоверений и поставщиком услуг на стороне Yandex Identity Hub:

    * **Идентификатор (Entity ID)**;
    * **URL ответа (URL службы обработчика утверждений)**;
    * **URL выхода**.
1. Нажмите кнопку **Сохранить настройки**, чтобы сохранить заданные параметры единого входа.

### Настройте SAML-приложение на стороне Yandex Identity Hub {#setup-idp}

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

  1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
  1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения** и выберите созданное ранее SAML-приложение `passwork-app`.
  1. Справа сверху нажмите ![pencil](../../../_assets/console-icons/pencil.svg) **Редактировать** и в открывшемся окне:
      1. В поле **SP EntityID** укажите значение, скопированное ранее из поля **Идентификатор (Entity ID)** на стороне Пассворк.
      1. В поле **ACS URL** — значение, скопированное из поля **URL ответа (URL службы обработчика утверждений)**.
      1. В поле **SP Logout URL** — значение, скопированное из поля **URL выхода**.
      1. Нажмите **Сохранить**.

{% endlist %}

### Добавьте пользователей в SAML-приложение Yandex Identity Hub {#add-users}

Чтобы пользователи вашей организации могли аутентифицироваться в Пассворк с помощью SAML-приложения Yandex Identity Hub, необходимо явно добавить в это приложение нужных пользователей и/или [группы пользователей](../../concepts/groups.md):

{% note info %}

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена [роль](../../security/index.md#organization-manager-samlApplications-userAdmin) `organization-manager.samlApplications.userAdmin` или выше.

{% endnote %}

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

    1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
    1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения** и выберите нужное приложение.
    1. Перейдите на вкладку **Пользователи и группы**.
    1. Нажмите ![person-plus](../../../_assets/console-icons/person-plus.svg) **Добавить пользователей**.
    1. В открывшемся окне выберите нужных пользователей или группы пользователей.
    1. Нажмите **Добавить**.

{% endlist %}

{% note tip %}

Если вы хотите более тонко настроить аутентификацию пользователей в приложениях, в том числе разрешить аутентификацию только с определенных IP-адресов, используйте [политики аутентификации](*authentication_policies).

{% endnote %}

[*authentication_policies]: Политики аутентификации — это инструмент Yandex Identity Hub, позволяющий гибко настраивать доступ к приложениям, запрещая или разрешая аутентификацию определенным пользователям в определенных приложениях и/или с определенных IP-адресов. Подробнее читайте в разделе [Политики аутентификации в Yandex Identity Hub](../../concepts/authentication-policy.md).

## Убедитесь в корректной работе приложения {#validate}

Чтобы убедиться в корректной работе SAML-приложения и интеграции с Пассворк, выполните аутентификацию в Пассворк от имени одного из добавленных в приложение пользователей. Для этого:

1. В браузере перейдите по адресу вашего экземпляра Пассворк (например, `https://my-domain.passwork-cloud.ru`).
1. Если вы уже авторизованы в Пассворк, выйдите из профиля.
1. На странице аутентификации Пассворк нажмите **Войти через SSO**.
1. На странице аутентификации Yandex Cloud укажите адрес электронной почты и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.

    Если вы аутентифицируетесь от имени пользователя с [аккаунтом на Яндексе](../../../iam/concepts/users/accounts.md#passport), пройдите аутентификацию в Яндекс ID удобным вам способом.
1. Задайте мастер-пароль для нового пользователя, добавляемого в Пассворк.
1. Убедитесь, что вы аутентифицировались в Пассворк. В результате новый пользователь появится в настройках вашего экземпляра Пассворк, и вы сможете настраивать для него права на просмотр и управление секретами.