- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка двухфакторной аутентификации МТС Линк (бывш. webinar.ru)
Общая информация
В статье описывается настройка единого входа (Single Sign-On) в сервис МТС Линк (бывш. webinar.ru) с многофакторной аутентификацией MULTIFACTOR.
МТС Линк поддерживает федеративную аутентификацию по протоколу SAML с использованием MULTIFACTOR в качестве поставщика учётных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счёт многофакторной аутентификации.
Поскольку MULTIFACTOR не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учётных записей:
Active DirectoryYandexGoogleЛокальные пользователи MULTIFACTOR (только e-mail)Другие внешние SAML поставщики учётных записей
Схема работы
- МТС Линк устанавливает доверие с MULTIFACTOR, получая его публичный сертификат и адрес единого входа (Sigle Sign-On);
- При запросе на аутентификацию, МТС Линк переадресует пользователя на страницу МMULTIFACTOR;
- MULTIFACTOR отправляет пользователя на страницу поставщика учётных записей (Active Directory, Google, Яндекс, внешний SAML поставщик);
- После подтверждения первого фактора, MULTIFACTOR запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в МТС Линк;
- МТС Линк предоставляет пользователю доступ к запрашиваемому ресурсу.
Настройка MULTIFACTOR
- Зайдите в систему управления MULTIFACTOR, в разделе Ресурсы создайте новый Сайт → SAML приложение:
- Название: произвольное
- Адрес: [опционально] адрес МТС Линк
- Поставщик учетных записей:
- Active Directory — для учетных записей домена Active Directory;
- Google — для использования учетных записей Google;
- Yandex — для использования учетных записей Яндекса;
- Только e-mail — для использования локальных учётных записей MULTIFACTOR (только e-mail, без пароля);
- Другой — для использования учётных записей преднастроенных внешних поставщиков в разделе Настройки → Поставщики учетных записей;
- Адрес портала: если выбран поставщик учётных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания MULTIFACTOR;
- Сохраните настройки;
- Сохраните или откройте по ссылке файл из поля Метаданные MULTIFACTOR, он понадобится для дальнейшей настройки МТС Линк;
- Поле Поставщик услуг пока оставьте пустым, мы вернёмся к нему позже после настройки МТС Линк.
Настройка МТС Линк
Настройка SAML конфигурации
- Зайдите в раздел Приложения -> Настройки SSO:
- В разделе Выбор протокола и настройки провайдера идентификации:
- Протокол: SAML;
- Выбор SSO провайдера: Active Directory;
- Идентификатор объекта (Identity Provider (idP) Entity ID):
Ссылка на метаданные MULTIFACTOR из созданного ранее SAML ресурса в панели управления MULTIFACTOR.Пример значения: https://idp.multifactor.ru/rs_<identifier>; - URL Системы единого входа (Sign-in page URL):
Ссылка на метаданные MULTIFACTOR из созданного ранее SAML ресурса в панели управления MULTIFACTOR + https://admin.multifactor.ru/account/login.Пример значения: https://idp.multifactor.ru/rs_<identifier>https://admin.multifactor.ru/account/login; - URL Системы единого выхода (Sign-out page URL):
Ссылка на метаданные MULTIFACTOR из созданного ранее SAML ресурса в панели управления MULTIFACTOR + /logout/.Пример значения: https://idp.multifactor.ru/rs_<identifier>/logout/; - Сертификат (Identity provider certificate):
Cкопируйте значение внутри тэга<X509Certificate>из файла метаданных MULTIFACTOR. Поместите его между тэгами-----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----;
Пример PEM-сертификата:
-----BEGIN CERTIFICATE-----
<Закодированный в формате Base64 сертификат>
-----END CERTIFICATE-----
- Нажмите Далее;
- Сохраните ссылки Идентификатор объекта (Entity ID) и URL ACS и нажмите Далее;
- Создайте XML файл sp_metadata.xml:
<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="ENTITY_URL">
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="ASSERTION_CONSUMER_SERVICE_URL"
index="1" />
</md:SPSSODescriptor>
</md:EntityDescriptor>
где:
- ENTITY_URL - значение Идентификатор объекта (Entity ID);
- ASSERTION_CONSUMER_SERVICE_URL - значение URL ACS.
Сохраните файл sp_metadata.xml и загрузите его в поле Поставщик услуг в панели управления MULTIFACTOR, в настройках созданного ранее SAML ресурса;
- В разделе Укажите домен электронной почты выберите домен для ассоциации с поставщиком учётных записей. Если у вас не подтверждено ни одного домена, необходимо добавить и верифицировать необходимый домен;
- Использовать SSO для входа в личный кабинет: включите;
Последнее обновление 25 декабря 2024 г.
