Аутентификация Kerberos/SSO в браузере Яндекс

Введение

Технология единого входа (Single Sign-On, SSO) — это механизм аутентификации, при котором пользователю достаточно один раз ввести свои учётные данные для получения доступа к нескольким программным продуктам. Доступ осуществляется с использованием одного набора учётных данных, без необходимости повторной авторизации при переходе между продуктами.

Перед использованием SSO необходимо выполнить следующие подготовительные шаги:

  • добавить устройство в домен;

  • убедиться, что доменный пользователь успешно получает Kerberos-билет, подтверждающий корректность аутентификации в доменной среде.

Порядок действий

  1. Откройте «Терминал».

  2. Создайте каталог /etc/opt/yandex/browser/policies/managed/ с помощью следующей команды:

    $ sudo mkdir -p /etc/opt/yandex/browser/policies/managed/
    
  3. В этом каталоге создайте файл с именем, например, policy.json (имя до точки может быть любым) следующего вида:

    {
    "AuthServerAllowlist": "*.test.example.ru",
    "AuthNegotiateDelegateAllowlist": "*.test.example.ru"
    }
    

    где *.test.example.ru — имя вашей kerberos-области (realm).

    Чтобы включить возможность единого входа для нескольких доменов, перечислите их через запятую, например:

    {
    "AuthServerAllowlist": "*.test1.example.ru,test2.example.ru,test3.example.ru",
    "AuthNegotiateDelegateAllowlist": "*.test1.example.ru,test2.example.ru,test3.example.ru"
    }
    
  4. Сохраните файл.

  5. Теперь вы можете посмотреть созданные политики в браузере Яндекс по адресу browser://policy/.

Политики в браузере Яндекс