- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Двухфакторная аутентификация Huawei Cloud
Общие сведения
В статье описывается настройка двухфакторной аутентификации для публичного облака Huawei Cloud.
Huawei Cloud поддерживает федеративную аутентификацию по протоколу SAML, которая совместно с MULTIFACTOR позволяет использовать единую базу пользователей и централизованно управлять доступом с мультифакторной аутентификацией. При этом локальный вход по-прежнему будет работать для административных целей.
Поскольку MULTIFACTOR не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль), в зависимости от настройки, могут быть:
Active DirectoryYandexGoogleЛокальные пользователи MULTIFACTOR (только e-mail)Другие внешние SAML поставщики учётных записей
Схема работы
- Huawei Cloud и MULTIFACTOR устанавливают взаимное доверие путем обмена публичными сертификатами и настройкой единого адреса входа (Sigle Sign On) и единого адреса выхода (Signle LogOut);
- При запросе на аутентификацию, Huawei Cloud переадресует пользователя на страницу MULTIFACTOR;
- Мультифактор отправляет пользователя на страницу поставщика учетных записей (Google, Яндекс или Active Directory);
- После подтверждения первого фактора, MULTIFACTOR запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в Huawei Cloud.
Настройка Мультифактора
- Зайдите в личный кабинет, в разделе "Ресурсы" создайте новый Сайт->SAML приложение:
- Название: произвольное
- Адрес: [опционально] адрес Huawei Cloud
- Поставщик учетных записей:
Active Directory— для учетных записей домена Active Directory;Google— для использования учетных записей Google;Yandex— для использования учетных записей Яндекса;Только e-mail— для использования локальных учетных записей MULTIFACTOR (только e-mail, без пароля);Другой— для использования учетных записей преднастроенных внешних поставщиков в разделе "Настройки" -> "Поставщики учетных записей";
- Адрес портала:
- если выбран поставщик учетных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания MULTIFACTOR;
- Сохраните настройки;
- Нажмите "Загрузить метаданные" и укажите адрес:
https://ДОМЕН_ОБЛАКА_HUAWEI/authui/saml/metadata.xml
- Сохраните или откройте по ссылке файл из поля 'Метаданные MULTIFACTOR', он понадобится для дальнейшей настройки.
Настройка Huawei Cloud
- Зайдите в раздел "Management & Deployment" -> "Identity and Access Management".
- В меню "Identity Providers" создайте нового провайдера:
- название: Мультифактор
- протокол: SAML
- сохраните
- В меню "Identity Providers" нажмите Modify напротив Мультифактора
- сохраните Login Link — это адрес для входа с мультифакторной аутентификацией
- загрузите в раздел "Metadata Configuration" файл с метаданными Мультифактора
- Сохраните изменения
Сопоставление ролей и пользователей
По умолчанию пользователи, подключенные через федеративный доступ имеют права только на чтение. Для настройки ролей воспользуйтесь разделом "Identity Conversion Rules" по инструкции Huawei Cloud.
Проверка
Выйдите из консоли управления облаком Huawei и откройте ссылку Login Link.
