[Документация Yandex Cloud](../../../index.md) > [Yandex Identity Hub](../../index.md) > [Практические руководства](../index.md) > [Настройка единого входа в приложения (SSO)](index.md) > Яндекс 360

# Создать SAML-приложение в Yandex Identity Hub для интеграции с Яндекс 360

[Яндекс 360](https://360.yandex.ru/) — это облачная платформа для бизнеса, предоставляющая набор инструментов для корпоративной электронной почты, совместной работы и управления документами. Яндекс 360 поддерживает SAML-аутентификацию для обеспечения безопасного единого входа пользователей организации.

Чтобы пользователи вашей [организации](../../concepts/organization.md) могли аутентифицироваться в Яндекс 360 с помощью технологии единого входа по стандарту [SAML](https://ru.wikipedia.org/wiki/SAML), создайте [SAML-приложение](../../concepts/applications/saml.md) в Yandex Identity Hub и настройте его на стороне Yandex Identity Hub и на стороне Яндекс 360.

Управлять SAML-приложениями может пользователь, которому назначена [роль](../../security/index.md#organization-manager-samlApplications-admin) `organization-manager.samlApplications.admin` или выше.

Чтобы дать доступ пользователям вашей организации в Яндекс 360:

1. [Создайте приложение](#create-app).
1. [Настройте интеграцию](#setup-integration).
1. [Убедитесь в корректной работе приложения](#validate).

## Создайте приложение {#create-app}

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

    1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
    1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения**.
    1. В правом верхнем углу страницы нажмите ![Circles3Plus](../../../_assets/console-icons/circles-3-plus.svg) **Создать приложение** и в открывшемся окне:
        1. Выберите метод единого входа **SAML (Security Assertion Markup Language)**.
        1. В поле **Имя** задайте имя создаваемого приложения: `yandex360`.

        1. (Опционально) В поле **Описание** задайте описание приложения.
        1. (Опционально) Добавьте [метки](../../../resource-manager/concepts/labels.md):

            1. Нажмите **Добавить метку**.
            1. Введите метку в формате `ключ: значение`.
            1. Нажмите **Enter**.
        1. Нажмите **Создать приложение**.

{% endlist %}

## Настройте интеграцию {#setup-integration}

Чтобы настроить интеграцию Яндекс 360 с созданным SAML-приложением в Yandex Identity Hub, выполните настройки на стороне Yandex Identity Hub и на стороне Яндекс 360.

### Настройте SAML-приложение на стороне Yandex Identity Hub {#setup-idp}

#### Настройте эндпоинты поставщика услуг {#sp-endpoints}

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

  1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
  1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения** и выберите нужное SAML-приложение.
  1. Справа сверху нажмите ![pencil](../../../_assets/console-icons/pencil.svg) **Редактировать** и в открывшемся окне:  
      1. В поле **SP EntityID** укажите `https://yandex.ru/`.
      1. В поле **ACS URL** укажите адрес `https://passport.yandex.ru/auth/sso/commit`.
      1. Нажмите **Сохранить**.

{% endlist %}

#### Настройте атрибуты пользователей {#user-attributes}

{% note warning %}

Для интеграции с Яндекс 360 необходимо настроить атрибуты `User.EmailAddress`, `User.Firstname` и `User.Surname`.

{% endnote %}

Настройте атрибуты пользователей для интеграции с Яндекс 360:

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

    1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
    1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения** и выберите нужное приложение.
    1. Перейдите на вкладку **Атрибуты**.
    1. Отредактируйте атрибуты пользователей:

        1. Атрибут `emailaddress` замените на `User.EmailAddress`. Для этого:
            1. Кликните на строку с атрибутом `emailaddress`.
            1. В поле **Имя атрибута** введите `User.EmailAddress`.
            1. В поле **Значение** оставьте текущее значение `SubjectClaims.email`.
            1. Нажмите **Сохранить**.

        1. Атрибут `givenname` замените на `User.Firstname`:
        1. Атрибут `surname` замените на `User.Surname`:
        1. Атрибут `fullname` не понадобится — его можно удалить.

{% endlist %}

Подробнее о настройке атрибутов смотрите в разделе [Настройте атрибуты пользователей и групп](../../operations/applications/saml-create.md#setup-attributes).

#### Соберите данные для настройки Яндекс 360 {#collect-idp-data}

Для настройки SSO в Яндекс 360 вам потребуются следующие данные из вашего SAML-приложения:

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

    1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
    1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения** и выберите нужное SAML-приложение.
    1. На вкладке **Обзор** в блоке **Конфигурация поставщика удостоверений (IdP)** скопируйте следующие данные:

        * **Issuer / IdP EntityID** — издатель поставщика удостоверений (IdP Entity ID).
        * **Login URL** — URL-адрес точки входа (Login URL).

    1. В блоке **Сертификат приложения** нажмите на кнопку **Скачать сертификат** и сохраните сертификат подписи токенов формата X.509 на своем устройстве.

{% endlist %}

Эти данные потребуются для настройки SSO на стороне Яндекс 360.

### Настройте SAML-аутентификацию на стороне Яндекс 360 {#setup-sp}

{% note info %}

Настройку SAML-аутентификации в Яндекс 360 может проводить пользователь с правами администратора организации.

{% endnote %}

Чтобы настроить SAML-аутентификацию на стороне Яндекс 360:

1. Войдите в [консоль Яндекс 360 для бизнеса](https://admin.yandex.ru/).
1. Перейдите в раздел настроек единого входа (SSO).
1. Укажите данные, полученные на предыдущем шаге:
    * **IdP Entity ID** — издатель поставщика удостоверений.
    * **Login URL** — URL-адрес точки входа.
    * Загрузите **сертификат подписи токенов** формата X.509.
1. Сохраните настройки.

{% note warning %}

Проверьте, что домен из почтового атрибута `User.EmailAddress` в SAML response совпадает с основным доменом или одним из доменов-алиасов вашей организации Яндекс 360.

{% endnote %}

### Добавьте пользователей {#add-users}

Чтобы пользователи вашей организации могли аутентифицироваться в Яндекс 360 с помощью SAML-приложения Yandex Identity Hub, необходимо явно добавить в ваше SAML-приложение нужных пользователей и/или [группы пользователей](../../concepts/groups.md).

{% note info %}

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена [роль](../../security/index.md#organization-manager-samlApplications-userAdmin) `organization-manager.samlApplications.userAdmin` или выше.

{% endnote %}

Добавьте пользователей в приложение:

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

    1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
    1. На панели слева выберите ![shapes-4](../../../_assets/console-icons/shapes-4.svg) **Приложения** и выберите нужное приложение.
    1. Перейдите на вкладку **Пользователи и группы**.
    1. Нажмите ![person-plus](../../../_assets/console-icons/person-plus.svg) **Добавить пользователей**.
    1. В открывшемся окне выберите нужного пользователя или группу пользователей.
    1. Нажмите **Добавить**.

{% endlist %}

{% note tip %}

Если вы хотите более тонко настроить аутентификацию пользователей в приложениях, в том числе разрешить аутентификацию только с определенных IP-адресов, используйте [политики аутентификации](*authentication_policies).

{% endnote %}

[*authentication_policies]: Политики аутентификации — это инструмент Yandex Identity Hub, позволяющий гибко настраивать доступ к приложениям, запрещая или разрешая аутентификацию определенным пользователям в определенных приложениях и/или с определенных IP-адресов. Подробнее читайте в разделе [Политики аутентификации в Yandex Identity Hub](../../concepts/authentication-policy.md).

## Убедитесь в корректной работе приложения {#validate}

Чтобы убедиться в корректной работе SAML-приложения и интеграции с Яндекс 360, выполните аутентификацию в Яндекс 360 от имени одного из добавленных в приложение пользователей. Для этого:

1. В браузере перейдите на страницу входа в Яндекс 360.
1. Если вы были авторизованы в Яндекс 360, выйдите из профиля.
1. На странице аутентификации выберите вход через Single Sign-On (SSO).
1. На странице аутентификации Yandex Cloud укажите адрес электронной почты и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.
1. Убедитесь, что вы аутентифицировались в Яндекс 360.

### Решение проблем с настройкой {#troubleshooting}

Если в процессе настройки поставщика удостоверений заданы неверные значения, то при попытке входа через SSO вы увидите сообщение «Авторизация не удалась» и код ошибки:

#### email.not_in_response {#email-not-in-response}

Указывайте имена атрибутов в формате `User.Firstname`, `User.Surname`, `User.EmailAddress`. Если задать другой формат, например `Firstname`, аутентифицироваться не получится.

#### request_your_admin {#request-your-admin}

Ошибка появляется, если администратор каталога пользователей вашей организации ограничил для аккаунта доступ к Яндекс 360. За подробной информацией обратитесь к специалистам технической поддержки вашей организации.

#### samlresponse.invalid {#samlresponse-invalid}

Ошибка возникает, если неверно указаны URL-адрес точки входа, издатель поставщика удостоверений или сертификат подписи токенов. Также она может возникнуть в течение 14 дней до истечения сертификата подписи токенов или после его истечения. Проверьте корректность настроек SSO в Яндекс 360.

#### unsupportable_domain {#unsupportable-domain}

Проверьте, что домен из почтового атрибута `User.EmailAddress` в [SAML](https://ru.wikipedia.org/wiki/SAML) response такой же, как и основной домен или один из доменов-алиасов организации Яндекс 360.