Настройка двухфакторной аутентификации МТС Линк (бывш. webinar.ru)

Общая информация

В статье описывается настройка единого входа (Single Sign-On) в сервис МТС Линк (бывш. webinar.ru) с многофакторной аутентификацией Multifactor.

МТС Линк поддерживает федеративную аутентификацию по протоколу SAML с использованием Мультифактора в качестве поставщика учётных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счёт многофакторной аутентификации.

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учётных записей:

• Active Directory
• Yandex
• Google
• Локальные пользователи Мультифактор (только e-mail)
• Другие внешние SAML поставщики учётных записей

Схема работы

1. МТС Линк устанавливает доверие с Мультифактором, получая его публичный сертификат и адрес единого входа (Sigle Sign-On);
2. При запросе на аутентификацию, МТС Линк переадресует пользователя на страницу Мультифактора;
3. Мультифактор отправляет пользователя на страницу поставщика учетных записей (Active Directory, Google, Яндекс, внешний SAML поставщик);
4. После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в МТС Линк;
5. МТС Линк предоставляет пользователю доступ к запрашиваемому ресурсу.

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, в разделе Ресурсы создайте новый Сайт -> SAML приложение:

• Название: произвольное
• Адрес: [опционально] адрес МТС Линк
• Поставщик учетных записей:
  • Active Directory — для учетных записей домена Active Directory;
  • Google — для использования учетных записей Google;
  • Yandex — для использования учетных записей Яндекса;
  • Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);
  • Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе Настройки -> Поставщики учетных записей;
• Адрес портала: если выбран поставщик учетных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания Мультифактор;

2. Сохраните настройки;
3. Сохраните или откройте по ссылке файл из поля Метаданные Мультифактора, он понадобится для дальнейшей настройки МТС Линк;
4. Поле Поставщик услуг пока оставьте пустым, мы вернемся к нему позже после настройки МТС Линк.

Настройка МТС Линк

Настройка SAML конфигурации

1. Зайдите в раздел Приложения -> Настройки SSO:
2. В разделе Выбор протокола и настройки провайдера идентификации:

• Протокол: SAML;
• Выбор SSO провайдера: Active Directory;
• Идентификатор объекта (Identity Provider (idP) Entity ID):
  Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор.
  Пример значения: https://idp.multifactor.ru/rs_<identifier>;
• URL Системы единого входа (Sign-in page URL):
  Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор + /login/.
  Пример значения: https://idp.multifactor.ru/rs_<identifier>/login/;
• URL Системы единого выхода (Sign-out page URL):
  Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор + /logout/.
  Пример значения: https://idp.multifactor.ru/rs_<identifier>/logout/;
• Сертификат (Identity provider certificate):
  Cкопируйте значение внутри тэга <X509Certificate> из файла метаданных Мультифактора. Поместите его между тэгами -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----;

Пример PEM-сертификата:

-----BEGIN CERTIFICATE-----
<Закодированный в формате Base64 сертификат>
-----END CERTIFICATE-----

• Нажмите Далее;
• Сохраните ссылки Идентификатор объекта (Entity ID) и URL ACS и нажмите Далее;

5. Создайте XML файл sp_metadata.xml:

<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                     entityID="ENTITY_URL">
    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                                     Location="ASSERTION_CONSUMER_SERVICE_URL"
                                     index="1" />
    </md:SPSSODescriptor>
</md:EntityDescriptor>

где:

• ENTITY_URL - значение Идентификатор объекта (Entity ID);
• ASSERTION_CONSUMER_SERVICE_URL - значение URL ACS.

Сохраните файл sp_metadata.xml и загрузите его в поле Поставщик услуг в панели управления Мультифактора, в настройках созданного ранее SAML ресурса;

6. В разделе Укажите домен электронной почты выберите домен для ассоциации с поставщиком учётных записей. Если у вас не подтверждено ни одного домена, необходимо добавить и верифицировать необходимый домен;
7. Использовать SSO для входа в личный кабинет: включите;