@iola_adm/iola-cli 0.2.15 → 0.2.17

package/README.md

@@ -197,7 +197,9 @@ iola yandex menu
 iola yandex status
 ```
 
-Первый контур: Yandex ID, Яндекс Диск и Яндекс Почта. Календарь, контакты, Wiki, Tracker, Forms и документы 360 заложены как категории для проверки и могут потребовать отдельное OAuth-приложение Яндекса. Такси, Маркет и Доставка записаны в backlog только как сценарии подготовки ссылки/маршрута/списка без заказа и оплаты.
+Yandex Connector использует две встроенные OAuth-группы: `IOLA CLI A` для Yandex ID, Диска, Почты и документов через Диск; `IOLA CLI B` для Календаря, Контактов и Телемоста через календарь. Такси, Маркет и Доставка записаны в backlog только как сценарии подготовки ссылки/маршрута/списка без заказа и оплаты.
+
+В `/yandex` функции выбираются номерами через запятую, как в мастере настройки. Там же есть пункт `Удалить подключение-коннектор`, который чистит локальные токены и настройки Yandex Connector. OAuth-права сами по себе не создают функциональность: под каждый сервис нужны отдельные команды и тулы.
 
 Инструкция: [Yandex Connector](https://github.com/adm-iola/iola-cli/wiki/Yandex-Connector).
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@iola_adm/iola-cli",
-  "version": "0.2.15",
+  "version": "0.2.17",
   "description": "CLI и AI-агент городского округа Йошкар-Ола.",
   "license": "MIT",
   "homepage": "https://github.com/adm-iola/iola-cli#readme",

package/src/cli.js

@@ -42,8 +42,8 @@ const BROWSER_RUNTIME_PACKAGE = path.join(BROWSER_RUNTIME_DIR, "node_modules", "
 const CLOUD_DEFAULT_REMOTE_DIR = "/IOLA";
 const YANDEX_OAUTH_AUTHORIZE_URL = "https://oauth.yandex.ru/authorize";
 const YANDEX_OAUTH_REDIRECT_URL = "https://oauth.yandex.ru/verification_code";
-const YANDEX_CONNECTOR_CLIENT_ID = process.env.IOLA_YANDEX_OAUTH_CLIENT_ID || process.env.YANDEX_OAUTH_CLIENT_ID || "915b0b6ef0474f3a9b3edd70515c5d60";
-const YANDEX_CONNECTOR_WORKSPACE_CLIENT_ID = process.env.IOLA_YANDEX_WORKSPACE_OAUTH_CLIENT_ID || "";
+const YANDEX_CONNECTOR_CLIENT_ID = process.env.IOLA_YANDEX_OAUTH_CLIENT_ID || process.env.YANDEX_OAUTH_CLIENT_ID || "9b7c9bcf81e8491f9bd36ba44fa76128";
+const YANDEX_CONNECTOR_ORGANIZER_CLIENT_ID = process.env.IOLA_YANDEX_ORGANIZER_OAUTH_CLIENT_ID || "4ab53d8557e64ac98534ed60295cb138";
 const YANDEX_CONNECTOR_REDIRECT_HOST = "127.0.0.1";
 const YANDEX_CONNECTOR_REDIRECT_PORT = Number(process.env.IOLA_YANDEX_OAUTH_PORT || 18791);
 const YANDEX_CONNECTOR_REDIRECT_PATH = "/yandex/oauth/callback";
@@ -79,30 +79,9 @@ const YANDEX_CONNECTOR_SERVICES = {
   contacts: {
     title: "Яндекс Контакты",
     category: "contacts",
-    scope: "carddav",
+    scope: "addressbook:all",
     status: "research",
-    hint: "контакты через CardDAV/360, требует проверки",
-  },
-  wiki: {
-    title: "Yandex Wiki",
-    category: "workspace",
-    scope: "wiki:read wiki:write",
-    status: "research",
-    hint: "страницы wiki, больше полезно организациям",
-  },
-  tracker: {
-    title: "Yandex Tracker",
-    category: "workspace",
-    scope: "tracker:read tracker:write",
-    status: "research",
-    hint: "задачи и обращения, больше полезно организациям",
-  },
-  forms: {
-    title: "Yandex Forms",
-    category: "forms",
-    scope: "forms:read forms:write",
-    status: "research",
-    hint: "формы и опросы, API надо подтвердить",
+    hint: "адресная книга и контакты, требует проверки API",
   },
   docs: {
     title: "Яндекс Документы / 360",
@@ -114,9 +93,9 @@ const YANDEX_CONNECTOR_SERVICES = {
   telemost: {
     title: "Яндекс Телемост",
     category: "meetings",
-    scope: "",
+    scope: "calendar:all",
     status: "research",
-    hint: "создание встреч через публичный API надо подтвердить",
+    hint: "встречи через календарное событие, если поддерживается",
   },
   cloud: {
     title: "Yandex Cloud",
@@ -157,15 +136,15 @@ const YANDEX_CONNECTOR_SERVICES = {
 const YANDEX_CONNECTOR_OAUTH_APPS = [
   {
     id: "core",
-    title: "IOLA Yandex Core",
+    title: "IOLA CLI A",
     clientId: YANDEX_CONNECTOR_CLIENT_ID,
-    services: ["identity", "disk", "mail"],
+    services: ["identity", "disk", "mail", "docs"],
   },
   {
-    id: "workspace",
-    title: "IOLA Yandex Workspace",
-    clientId: YANDEX_CONNECTOR_WORKSPACE_CLIENT_ID,
-    services: ["contacts", "wiki", "tracker", "forms", "docs"],
+    id: "organizer",
+    title: "IOLA CLI B",
+    clientId: YANDEX_CONNECTOR_ORGANIZER_CLIENT_ID,
+    services: ["calendar", "contacts", "telemost"],
   },
 ];
 const INDEXABLE_EXTENSIONS = /\.(md|txt|csv|json|html|docx|xlsx|pptx|pdf)$/i;
@@ -2040,7 +2019,7 @@ async function doctor(args = []) {
       openaiKey: process.env.OPENAI_API_KEY ? "env" : secrets.openai?.apiKey ? "local" : "missing",
       openrouterKey: process.env.OPENROUTER_API_KEY ? "env" : secrets.openrouter?.apiKey ? "local" : "missing",
       yandexGeocoderKey: (process.env.YANDEX_GEOCODER_API_KEY || process.env.YANDEX_MAPS_API_KEY) ? "env" : secrets.yandexGeocoder?.apiKey ? "local" : "missing",
-      yandexConnector: (process.env.YANDEX_OAUTH_TOKEN || secrets.yandex?.oauthToken || secrets.cloud?.["yandex-disk"]?.token) ? "local/env" : "missing",
+      yandexConnector: (process.env.YANDEX_OAUTH_TOKEN || secrets.yandex?.oauthToken || Object.keys(secrets.yandex?.oauthApps || {}).length || secrets.cloud?.["yandex-disk"]?.token) ? "local/env" : "missing",
       yandexAuthorized: config.yandex?.authorizedServices?.join(", ") || "-",
       yandexServices: config.yandex?.enabledServices?.join(", ") || (secrets.cloud?.["yandex-disk"]?.token ? "disk (legacy cloud token)" : "-"),
       ollama: diagnostics.ollama.installed ? diagnostics.ollama.version : "not-installed",
@@ -3285,7 +3264,7 @@ async function handleYandex(args) {
   iola yandex disable mail
   iola yandex oauth-url [disk mail calendar] [--client-id ID] [--open]
   iola yandex token set
-  iola yandex token delete
+  iola yandex token delete    удалить локальные токены и настройки коннектора
   iola yandex backlog`);
 }
 
@@ -3343,11 +3322,12 @@ async function setupYandexConnector(args = []) {
       }
       await printYandexConnectorStatus({ check: true });
     } else {
-      const app = oauthApps[0] || { clientId, services: authorizedServices };
-      const url = buildYandexOAuthUrl({ clientId: app.clientId, services: app.services, redirectUrl });
-      console.log("Откройте ссылку авторизации, получите OAuth-токен и сохраните его командой: iola yandex token set");
-      console.log(url);
-      if (options.open) await openUrl(url);
+      console.log("Откройте ссылки авторизации, получите OAuth-токены и сохраните их командой: iola yandex token set --app APP_ID");
+      for (const app of oauthApps.length ? oauthApps : [{ id: "custom", title: "Yandex Connector", clientId, services: authorizedServices }]) {
+        const url = buildYandexOAuthUrl({ clientId: app.clientId, services: app.services, redirectUrl });
+        console.log(`${app.id}: ${url}`);
+        if (options.open) await openUrl(url);
+      }
     }
   } else {
     console.log("Yandex Connector не может открыть браузер: в этой сборке не задан public OAuth client_id приложения IOLA.");
@@ -3362,14 +3342,20 @@ async function chooseYandexServicesMenu() {
     return;
   }
   const config = await loadConfig();
-  const serviceIds = Object.keys(YANDEX_CONNECTOR_SERVICES);
+  const serviceIds = getYandexConnectorMenuServiceIds();
+  const deleteNumber = serviceIds.length + 1;
   const enabled = new Set(config.yandex?.enabledServices?.length ? config.yandex.enabledServices : ["identity", "disk"]);
-  console.log("Yandex Connector: выберите сервисы.");
+  const authState = await getYandexServiceAuthState();
+  console.log("Функции Яндекса.");
+  console.log("Выберите номера функций через запятую:");
   serviceIds.forEach((id, index) => {
     const service = YANDEX_CONNECTOR_SERVICES[id];
     const marker = enabled.has(id) ? "✓" : " ";
-    console.log(`${index + 1}. [${marker}] ${service.title} (${id}, ${service.status}) - ${service.hint}`);
+    const auth = authState.byService[id];
+    const authLabel = auth?.hasToken ? "подключено" : (auth?.authorized ? "нужен вход" : "нет прав");
+    console.log(`${index + 1}. [${marker}] ${service.title} - ${service.hint} (${service.status}, ${authLabel})`);
   });
+  console.log(`${deleteNumber}. Удалить подключение-коннектор`);
   console.log("0. Отмена");
   const defaults = serviceIds.map((id, index) => enabled.has(id) ? String(index + 1) : "").filter(Boolean);
   const answer = (await askText(`Номера через запятую [${defaults.join(",") || "1,2"}]: `)).trim();
@@ -3378,6 +3364,16 @@ async function chooseYandexServicesMenu() {
     return;
   }
   const selectedNumbers = answer ? answer.split(/[,\s]+/).filter(Boolean) : (defaults.length ? defaults : ["1", "2"]);
+  if (selectedNumbers.includes(String(deleteNumber))) {
+    if (selectedNumbers.length > 1) throw new Error("Удаление коннектора выбирается отдельно, без других пунктов.");
+    const ok = await askYesNo("Удалить локальные токены и настройки Yandex Connector? [y/N] ", false);
+    if (!ok) {
+      console.log("Удаление отменено.");
+      return;
+    }
+    await deleteYandexConnectorToken();
+    return;
+  }
   const selected = selectedNumbers.map((item) => {
     const index = Number(item) - 1;
     if (!Number.isInteger(index) || index < 0 || index >= serviceIds.length) {
@@ -3387,13 +3383,16 @@ async function chooseYandexServicesMenu() {
   });
   await saveYandexEnabledServices(selected);
   console.log(`Включены сервисы: ${normalizeYandexServiceList(selected).join(", ")}`);
-  const nextConfig = await loadConfig();
-  if (nextConfig.yandex?.oauth?.clientId) {
-    console.log("OAuth-ссылка с максимальными правами коннектора:");
-    console.log(await buildYandexOAuthUrlFromConfig([]));
-  } else {
-    console.log("Для авторизации создайте OAuth Client ID и выполните: iola yandex oauth-url --client-id CLIENT_ID");
-  }
+  const missingAuth = selected.filter((id) => !authState.byService[id]?.authorized);
+  const missingToken = selected.filter((id) => authState.byService[id]?.authorized && !authState.byService[id]?.hasToken);
+  if (missingAuth.length) console.log(`Нет OAuth-прав в текущей сборке: ${missingAuth.join(", ")}. Для них нужно отдельное OAuth-приложение Яндекса.`);
+  if (missingToken.length) console.log(`Нужно пройти вход Яндекса для: ${missingToken.join(", ")}. Запустите iola yandex setup.`);
+}
+
+function getYandexConnectorMenuServiceIds() {
+  return Object.entries(YANDEX_CONNECTOR_SERVICES)
+    .filter(([, service]) => service.status === "ready" || service.status === "research")
+    .map(([id]) => id);
 }
 
 async function updateYandexEnabledServices(rawServices, enabled) {
@@ -3439,9 +3438,15 @@ async function saveYandexAuthorizedServices(services) {
 async function buildYandexOAuthUrlFromConfig(rawArgs = []) {
   const options = parseOptions(rawArgs);
   const config = await loadConfig();
-  const clientId = options["client-id"] || config.yandex?.oauth?.clientId || YANDEX_CONNECTOR_CLIENT_ID;
+  const apps = getConfiguredYandexOAuthApps();
+  const capableServices = getYandexOAuthCapableServiceIds();
+  const requestedServices = normalizeYandexServiceList(options._.length ? options._ : capableServices);
+  const app = options.app
+    ? apps.find((item) => item.id === options.app)
+    : apps.find((item) => requestedServices.some((service) => item.services.includes(service))) || apps[0];
+  const clientId = options["client-id"] || app?.clientId || config.yandex?.oauth?.clientId || YANDEX_CONNECTOR_CLIENT_ID;
   if (!clientId) throw new Error("Yandex OAuth Client ID не задан. Пример: iola yandex oauth-url disk --client-id CLIENT_ID");
-  const services = normalizeYandexServiceList(options._.length ? options._ : (config.yandex?.authorizedServices?.length ? config.yandex.authorizedServices : getYandexOAuthCapableServiceIds()));
+  const services = requestedServices.filter((id) => capableServices.includes(id) && (!app || app.services.includes(id)));
   return buildYandexOAuthUrl({ clientId, services, redirectUrl: options["redirect-url"] || config.yandex?.oauth?.redirectUrl || YANDEX_OAUTH_REDIRECT_URL });
 }
 
@@ -3554,7 +3559,6 @@ function waitForYandexOAuthToken({ clientId, services, redirectUrl }) {
 function getYandexScopesForServices(services) {
   const scopes = new Set();
   const normalized = normalizeYandexServiceList(services);
-  if (normalized.length > 0 && !normalized.includes("identity")) normalized.unshift("identity");
   for (const id of normalized) {
     const raw = YANDEX_CONNECTOR_SERVICES[id]?.scope || "";
     for (const scope of raw.split(/\s+/).filter(Boolean)) scopes.add(scope);
@@ -3611,22 +3615,33 @@ async function deleteYandexConnectorToken() {
   if (secrets.cloud?.["yandex-disk"]) delete secrets.cloud["yandex-disk"];
   if (secrets.cloud && Object.keys(secrets.cloud).length === 0) delete secrets.cloud;
   await saveSecrets(secrets);
-  console.log("Yandex Connector token удален. Токен Яндекс Диска в cloud тоже удален.");
+  await deleteLocalYandexConnectorConfig();
+  console.log("Yandex Connector удален локально. Токены и настройки приложений очищены.");
+}
+
+async function deleteLocalYandexConnectorConfig() {
+  const local = await readConfigLayer(CONFIG_FILE);
+  if (!local) return;
+  delete local.yandex;
+  if (local.cloud?.activeProvider === "yandex-disk") local.cloud.activeProvider = "";
+  await mkdir(CONFIG_DIR, { recursive: true });
+  if (existsSync(CONFIG_FILE)) await copyFile(CONFIG_FILE, LAST_GOOD_CONFIG_FILE).catch(() => {});
+  await writeFile(CONFIG_FILE, `${JSON.stringify(local, null, 2)}\n`, "utf8");
 }
 
 async function printYandexConnectorStatus(options = {}) {
   const [config, secrets] = await Promise.all([loadConfig(), loadSecrets()]);
   const enabled = config.yandex?.enabledServices || [];
-  const authorized = config.yandex?.authorizedServices?.length ? config.yandex.authorizedServices : [];
   const legacyDiskToken = Boolean(secrets.cloud?.["yandex-disk"]?.token && !secrets.yandex?.oauthToken);
+  const authState = await getYandexServiceAuthState({ config, secrets });
   const token = process.env.YANDEX_OAUTH_TOKEN || secrets.yandex?.oauthToken || secrets.cloud?.["yandex-disk"]?.token || "";
   const rows = Object.entries(YANDEX_CONNECTOR_SERVICES).map(([id, service]) => ({
     id,
     enabled: enabled.includes(id) ? "yes" : (legacyDiskToken && id === "disk" ? "legacy" : "no"),
     category: service.category,
     status: service.status,
-    token: service.scope && (authorized.includes(id) || enabled.includes(id) || (legacyDiskToken && id === "disk")) ? (token ? "local/env" : "missing") : "-",
-    authorized: authorized.includes(id) ? "yes" : "-",
+    token: service.scope && authState.byService[id]?.authorized ? (authState.byService[id]?.hasToken ? "local/env" : "missing") : "-",
+    authorized: authState.byService[id]?.authorized ? "yes" : "-",
     title: service.title,
   }));
   printTable(rows, [
@@ -3650,6 +3665,35 @@ async function printYandexConnectorStatus(options = {}) {
   }
 }
 
+async function getYandexServiceAuthState({ config = null, secrets = null } = {}) {
+  const loadedConfig = config || await loadConfig();
+  const loadedSecrets = secrets || await loadSecrets();
+  const apps = getConfiguredYandexOAuthApps();
+  const appTokens = loadedSecrets.yandex?.oauthApps || {};
+  const envToken = process.env.YANDEX_OAUTH_TOKEN || "";
+  const byService = {};
+  for (const id of Object.keys(YANDEX_CONNECTOR_SERVICES)) {
+    byService[id] = { authorized: false, hasToken: false, apps: [] };
+  }
+  for (const app of apps) {
+    const hasToken = Boolean(envToken || appTokens[app.id]?.token || (app.id === "core" && loadedSecrets.yandex?.oauthToken));
+    for (const id of normalizeYandexServiceList(app.services)) {
+      byService[id] = byService[id] || { authorized: false, hasToken: false, apps: [] };
+      byService[id].authorized = true;
+      byService[id].hasToken = byService[id].hasToken || hasToken;
+      byService[id].apps.push(app.id);
+    }
+  }
+  if (loadedSecrets.cloud?.["yandex-disk"]?.token) {
+    byService.disk.authorized = true;
+    byService.disk.hasToken = true;
+    byService.disk.apps.push("legacy-cloud");
+  }
+  const authorizedServices = Object.entries(byService).filter(([, state]) => state.authorized).map(([id]) => id);
+  const enabledServices = loadedConfig.yandex?.enabledServices || [];
+  return { byService, authorizedServices, enabledServices };
+}
+
 async function yandexUserInfo(token) {
   const response = await fetch("https://login.yandex.ru/info?format=json", {
     headers: { Authorization: `OAuth ${token}` },
@@ -11358,7 +11402,7 @@ async function getOnboardComponentStatus() {
     browser: browser.installed === "yes",
     "yandex-geocoder": Boolean(yandexGeocoderKey),
     cloud: Object.keys(cloudSecrets).length > 0,
-    yandex: Boolean(secrets.yandex?.oauthToken || config.yandex?.enabledServices?.length),
+    yandex: Boolean(secrets.yandex?.oauthToken || Object.keys(secrets.yandex?.oauthApps || {}).length || config.yandex?.enabledServices?.length),
   };
 }
 
@@ -13383,6 +13427,12 @@ function sanitizeConfig(config) {
   if (Array.isArray(next.skills?.enabled) && next.skills.enabled.includes("local-files") && !next.skills.enabled.includes("personal-docs")) {
     next.skills.enabled = [...next.skills.enabled, "personal-docs"];
   }
+  if (Array.isArray(next.yandex?.enabledServices)) {
+    next.yandex.enabledServices = next.yandex.enabledServices.filter((service) => Boolean(YANDEX_CONNECTOR_SERVICES[service]));
+  }
+  if (Array.isArray(next.yandex?.authorizedServices)) {
+    next.yandex.authorizedServices = next.yandex.authorizedServices.filter((service) => Boolean(YANDEX_CONNECTOR_SERVICES[service]));
+  }
   const localProfile = next.ai?.profiles?.local;
   if (localProfile?.provider === "iola") {
     if (!localProfile.runtime || localProfile.model === "iola-router-1b") {

package/test/smoke-test.js

@@ -58,10 +58,16 @@ assertIncludes(cliSource, "dedupeDatedOpenAiModels", "OpenAI model selection sho
 assertIncludes(cliSource, "chooseLocalModel", "Local model selection should support IOLA and Ollama models");
 assertIncludes(cliSource, "Другая Ollama-модель", "Local model selection should allow manual Ollama model names");
 assertIncludes(cliSource, "chooseYandexServicesMenu", "Yandex Connector should have a service selection menu");
+assertIncludes(cliSource, "Функции Яндекса.", "Yandex service selection should use a numbered menu");
+assertIncludes(cliSource, "Выберите номера функций через запятую", "Yandex service selection should ask for numbers");
+assertIncludes(cliSource, "Удалить подключение-коннектор", "Yandex service selection should allow connector deletion");
+assertIncludes(cliSource, "getYandexServiceAuthState", "Yandex status should derive permissions from configured OAuth apps");
 assertIncludes(cliSource, "OAuth-права встроенного приложения", "Yandex setup should report packaged OAuth app permissions");
 assertIncludes(cliSource, "Выбрать активные функции можно командой /yandex", "Yandex setup should direct service selection to /yandex");
 assertIncludes(cliSource, "runYandexBrowserOAuth", "Yandex setup should support browser OAuth flow");
 assertIncludes(cliSource, "IOLA_YANDEX_OAUTH_CLIENT_ID", "Yandex setup should use a packaged/env OAuth client id");
+assertIncludes(cliSource, "IOLA_YANDEX_ORGANIZER_OAUTH_CLIENT_ID", "Yandex setup should support the organizer OAuth app group");
+assertIncludes(cliSource, "addressbook:all", "Yandex contacts should use the addressbook OAuth scope");
 assertIncludes(cliSource, "--app", "Yandex token command should persist tokens by OAuth app group");
 assertNotIncludes(cliSource, "Сервисы через запятую [identity,disk]", "Yandex setup should not ask for services during connector setup");
 if (!packageJson.files.includes("docs/assets/iola-oauth-icon.png")) {

package/wiki/Yandex-Connector.md

@@ -21,6 +21,15 @@ iola yandex token set
 iola yandex token delete
 ```
 
+## OAuth-приложения
+
+Для пользователя это один `Yandex Connector`, но внутри CLI проходит две авторизации Яндекса:
+
+- `IOLA CLI A` - Yandex ID, Яндекс Диск, Яндекс Почта, Яндекс Документы через Диск;
+- `IOLA CLI B` - Яндекс Календарь, Яндекс Контакты, Телемост через календарное событие.
+
+`client_id` этих приложений публичный и встроен в CLI. Пользователь не создает OAuth-приложения вручную: он только входит в свой Яндекс-аккаунт и разрешает доступ. Токены сохраняются локально на компьютере пользователя.
+
 ## Категории
 
 Готово к первому контуру:
@@ -33,10 +42,8 @@ iola yandex token delete
 - `mail` - Яндекс Почта, чтение и поиск писем, отправка только после явного подтверждения;
 - `calendar` - Яндекс Календарь;
 - `contacts` - Яндекс Контакты;
-- `wiki` - Yandex Wiki;
-- `tracker` - Yandex Tracker;
-- `forms` - Yandex Forms;
-- `docs` - Яндекс Документы / 360.
+- `docs` - Яндекс Документы / 360 через Диск;
+- `telemost` - Яндекс Телемост через календарь, если сценарий подтвердится.
 
 Отдельные ключи, не обычный OAuth бытового Яндекса:
 
@@ -57,7 +64,7 @@ Backlog после первого контура:
 iola yandex setup
 ```
 
-2. Авторизуйтесь в Яндексе и разрешите доступ. В текущем встроенном приложении `IOLA Yandex Core` запрашиваются права:
+2. Авторизуйтесь в Яндексе и разрешите доступ для `IOLA CLI A`. Запрашиваются права:
    - `login:info`;
    - `login:email`;
    - `cloud_api:disk.read`;
@@ -65,15 +72,18 @@ iola yandex setup
    - `cloud_api:disk.info`;
    - `mail:imap_full`;
    - `mail:smtp`.
-3. После успешной авторизации браузер вернется на локальную страницу `iola-cli`, а CLI сам сохранит OAuth-токен.
-4. Если автоматический браузерный flow недоступен, используйте fallback для разработки:
+3. Затем CLI откроет вторую авторизацию для `IOLA CLI B`. Запрашиваются права:
+   - `calendar:all`;
+   - `addressbook:all`.
+4. После каждой успешной авторизации браузер вернется на локальную страницу `iola-cli`, а CLI сам сохранит OAuth-токен нужной группы.
+5. Если автоматический браузерный flow недоступен, используйте fallback для разработки:
 
 ```bash
 iola yandex setup --client-id CLIENT_ID --print-url
 iola yandex token set
 ```
 
-5. Выберите, какие функции CLI реально использует:
+6. Выберите, какие функции CLI реально использует:
 
 ```bash
 iola yandex menu
@@ -85,7 +95,10 @@ iola yandex menu
 /yandex
 ```
 
-6. Проверьте:
+Меню `/yandex` работает как мастер настройки: сервисы выбираются номерами через запятую, а не вводом технических названий.
+В этом же меню есть отдельный пункт `Удалить подключение-коннектор`: он удаляет локальные токены и настройки Yandex Connector, чтобы можно было подключить другой Яндекс-аккаунт или отказаться от сервисов Яндекса.
+
+7. Проверьте:
 
 ```bash
 iola yandex doctor
@@ -94,6 +107,20 @@ iola cloud doctor
 
 Если включен `disk`, токен автоматически подключается и к старому облачному провайдеру `yandex-disk`, поэтому команды `iola cloud ...` продолжают работать.
 
+## Что значит включить сервис
+
+OAuth-права дают CLI разрешение обращаться к сервису Яндекса. Но для практической работы под каждый сервис нужны отдельные команды и тулы:
+
+- `identity` - проверить пользователя и email;
+- `disk` - папки, загрузка, скачивание, поиск файлов, публичные ссылки;
+- `mail` - список писем, поиск, чтение письма, отправка письма после явного подтверждения;
+- `calendar` - список событий, создание события, напоминания;
+- `contacts` - поиск контактов и карточки контактов;
+- `docs` - поиск и работа с документами через Диск;
+- `telemost` - подготовка встречи через календарь, если подтвердится.
+
+Включение сервиса в `/yandex` только разрешает CLI использовать соответствующую категорию. Если прав или тула еще нет, CLI должен честно показать это, а не имитировать работу.
+
 ## Иконка приложения
 
 CLI поставляется с готовой иконкой OAuth-приложения. При установке она копируется в:
@@ -118,6 +145,6 @@ Yandex Connector не является универсальным ключом
 
 Для браузерного подключения в сборке CLI уже указан public OAuth `client_id` приложения IOLA. Это не секретный ключ. Пользователь не должен создавать OAuth-приложение вручную.
 
-Яндекс ограничивает количество разных групп сервисов в одном OAuth-приложении. Поэтому один токен не всегда может покрыть Диск, Почту, Календарь, Контакты, Wiki, Tracker и Forms сразу. CLI поддерживает группировку по нескольким OAuth-приложениям; текущий первый контур - `identity`, `disk`, `mail`.
+Яндекс ограничивает количество разных групп сервисов в одном OAuth-приложении. Поэтому один токен не может покрыть Диск, Почту, Календарь и Контакты сразу. CLI использует две встроенные группы: `IOLA CLI A` и `IOLA CLI B`.
 
 CLI не должен автоматически оформлять покупки, вызывать такси, подтверждать доставку или выполнять платежи. Для таких сценариев допустима только подготовка ссылки, маршрута или списка, а финальное действие делает пользователь в приложении Яндекса.