Перейти к основному содержимому

Настройка двухфакторной аутентификации Webinar.ru

Общая информация

В статье описывается настройка единого входа (Single Sign-On) в сервис Webinar.ru с многофакторной аутентификацией Multifactor.

Webinar.ru поддерживает федеративную аутентификацию по протоколу SAML с использованием Мультифактора в качестве поставщика учётных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счёт многофакторной аутентификации.

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учётных записей:

  • Active Directory
  • Yandex
  • Google
  • Локальные пользователи Мультифактор (только e-mail)
  • Другие внешние SAML поставщики учётных записей

Схема работы

  1. Webinar.ru устанавливает доверие с Мультифактором, получая его публичный сертификат и адрес единого входа (Sigle Sign-On);
  2. При запросе на аутентификацию, Webinar.ru переадресует пользователя на страницу Мультифактора;
  3. Мультифактор отправляет пользователя на страницу поставщика учетных записей (Active Directory, Google, Яндекс, внешний SAML поставщик);
  4. После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в Webinar.ru;
  5. Webinar.ru предоставляет пользователю доступ к запрашиваемому ресурсу.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, в разделе Ресурсы создайте новый Сайт -> SAML приложение:
  • Название: произвольное
  • Адрес: [опционально] адрес Webinar.ru
  • Поставщик учетных записей:
    • Active Directory — для учетных записей домена Active Directory;
    • Google — для использования учетных записей Google;
    • Yandex — для использования учетных записей Яндекса;
    • Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);
    • Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе Настройки -> Поставщики учетных записей;
  • Адрес портала: если выбран поставщик учетных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания Мультифактор;
  1. Сохраните настройки;
  2. Сохраните или откройте по ссылке файл из поля Метаданные Мультифактора, он понадобится для дальнейшей настройки Webinar.ru;
  3. Поле Поставщик услуг пока оставьте пустым, мы вернемся к нему позже после настройки Webinar.ru.

Настройка Webinar.ru

Настройка SAML конфигурации

  1. Зайдите в раздел Приложения -> Настройки SSO:
  2. В разделе Выбор протокола и настройки провайдера идентификации:

  • Протокол: SAML;

  • Выбор SSO провайдера: Active Directory;

  • Идентификатор объекта (Identity Provider (idP) Entity ID):
    Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор.
    Пример значения: https://idp.multifactor.ru/rs_<identifier>;

  • URL Системы единого входа (Sign-in page URL):
    Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор + /login/.
    Пример значения: https://idp.multifactor.ru/rs_<identifier>/login/;

  • URL Системы единого выхода (Sign-out page URL):
    Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор + /logout/.
    Пример значения: https://idp.multifactor.ru/rs_<identifier>/logout/;

  • Сертификат (Identity provider certificate):
    Cкопируйте значение внутри тэга <X509Certificate> из файла метаданных Мультифактора. Поместите его между тэгами -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----;

    Пример PEM-сертификата:

    -----BEGIN CERTIFICATE-----
    <Закодированный в формате Base64 сертификат>
    -----END CERTIFICATE-----

  • Нажмите Далее;

  • Сохраните ссылки Идентификатор объекта (Entity ID) и URL ACS и нажмите Далее;

  1. Создайте XML файл sp_metadata.xml:
<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                     entityID="ENTITY_URL">
    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                                     Location="ASSERTION_CONSUMER_SERVICE_URL"
                                     index="1" />
    </md:SPSSODescriptor>
</md:EntityDescriptor>

где:

  • ENTITY_URL - значение Идентификатор объекта (Entity ID);
  • ASSERTION_CONSUMER_SERVICE_URL - значение URL ACS.

Сохраните файл sp_metadata.xml и загрузите его в поле Поставщик услуг в панели управления Мультифактора, в настройках созданного ранее SAML ресурса;

  1. В разделе Укажите домен электронной почты выберите домен для ассоциации с поставщиком учётных записей. Если у вас не подтверждено ни одного домена, необходимо добавить и верифицировать необходимый домен;
  2. Использовать SSO для входа в личный кабинет: включите;
Последнее обновление