Перейти к основному содержимому

Настройка двухфакторной аутентификации МТС Линк (бывш. webinar.ru)

Общая информация

В статье описывается настройка единого входа (Single Sign-On) в сервис МТС Линк (бывш. webinar.ru) с многофакторной аутентификацией Multifactor.

МТС Линк поддерживает федеративную аутентификацию по протоколу SAML с использованием Мультифактора в качестве поставщика учётных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счёт многофакторной аутентификации.

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учётных записей:

  • Active Directory
  • Yandex
  • Google
  • Локальные пользователи Мультифактор (только e-mail)
  • Другие внешние SAML поставщики учётных записей

Схема работы

  1. МТС Линк устанавливает доверие с Мультифактором, получая его публичный сертификат и адрес единого входа (Sigle Sign-On);
  2. При запросе на аутентификацию, МТС Линк переадресует пользователя на страницу Мультифактора;
  3. Мультифактор отправляет пользователя на страницу поставщика учетных записей (Active Directory, Google, Яндекс, внешний SAML поставщик);
  4. После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в МТС Линк;
  5. МТС Линк предоставляет пользователю доступ к запрашиваемому ресурсу.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, в разделе Ресурсы создайте новый Сайт -> SAML приложение:
  • Название: произвольное
  • Адрес: [опционально] адрес МТС Линк
  • Поставщик учетных записей:
    • Active Directory — для учетных записей домена Active Directory;
    • Google — для использования учетных записей Google;
    • Yandex — для использования учетных записей Яндекса;
    • Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);
    • Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе Настройки -> Поставщики учетных записей;
  • Адрес портала: если выбран поставщик учетных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания Мультифактор;
  1. Сохраните настройки;
  2. Сохраните или откройте по ссылке файл из поля Метаданные Мультифактора, он понадобится для дальнейшей настройки МТС Линк;
  3. Поле Поставщик услуг пока оставьте пустым, мы вернемся к нему позже после настройки МТС Линк.

Настройка МТС Линк

Настройка SAML конфигурации

  1. Зайдите в раздел Приложения -> Настройки SSO:
  2. В разделе Выбор протокола и настройки провайдера идентификации:
  • Протокол: SAML;
  • Выбор SSO провайдера: Active Directory;
  • Идентификатор объекта (Identity Provider (idP) Entity ID):
    Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор.
    Пример значения: https://idp.multifactor.ru/rs_<identifier>;
  • URL Системы единого входа (Sign-in page URL):
    Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор + /login/.
    Пример значения: https://idp.multifactor.ru/rs_<identifier>/login/;
  • URL Системы единого выхода (Sign-out page URL):
    Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор + /logout/.
    Пример значения: https://idp.multifactor.ru/rs_<identifier>/logout/;
  • Сертификат (Identity provider certificate):
    Cкопируйте значение внутри тэга <X509Certificate> из файла метаданных Мультифактора. Поместите его между тэгами -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----;

Пример PEM-сертификата:

-----BEGIN CERTIFICATE-----
<Закодированный в формате Base64 сертификат>
-----END CERTIFICATE-----
  • Нажмите Далее;
  • Сохраните ссылки Идентификатор объекта (Entity ID) и URL ACS и нажмите Далее;
  1. Создайте XML файл sp_metadata.xml:
<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="ENTITY_URL">
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="ASSERTION_CONSUMER_SERVICE_URL"
index="1" />
</md:SPSSODescriptor>
</md:EntityDescriptor>

где:

  • ENTITY_URL - значение Идентификатор объекта (Entity ID);
  • ASSERTION_CONSUMER_SERVICE_URL - значение URL ACS.

Сохраните файл sp_metadata.xml и загрузите его в поле Поставщик услуг в панели управления Мультифактора, в настройках созданного ранее SAML ресурса;

  1. В разделе Укажите домен электронной почты выберите домен для ассоциации с поставщиком учётных записей. Если у вас не подтверждено ни одного домена, необходимо добавить и верифицировать необходимый домен;
  2. Использовать SSO для входа в личный кабинет: включите;