- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Двухфакторная аутентификация Яндекс.Облако
Общие сведения
В статье описывается настройка двухфакторной аутентификации для платформы Яндекс.Облако.
Платформа поддерживает федеративную аутентификацию по протоколу SAML, которая совместно с MULTIFACTOR позволяет использовать единую базу пользователей и централизованно управлять доступом с мультифакторной аутентификацией. При этом локальный вход по-прежнему будет работать для административных целей.
Поскольку MULTIFACTOR не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль), в зависимости от настройки, могут быть:
Active DirectoryYandexGoogleЛокальные пользователи MULTIFACTOR (только e-mail)Другие внешние SAML поставщики учётных записей
Видео-презентация
Схема работы
- Яндекс.Облако и MULTIFACTOR устанавливают взаимное доверие путем обмена публичными сертификатами и настройкой единого адреса входа (Sigle Sign-On).
- При запросе на аутентификацию, Яндекс.Облако переадресует пользователя на страницу MULTIFACTOR.
- MULTIFACTOR отправляет пользователя на страницу поставщика учетных записей (Яндекс, Google или Active Directory)
- После подтверждения первого фактора, MULTIFACTOR запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в Яндекс.Облако.
Настройка MULTIFACTOR
- Зайдите в личный кабинет, в разделе «Ресурсы» создайте новый Сайт → Yandex.Cloud:
- Название: произвольное
- Адрес: [опционально] адрес Yandex Cloud
- Поставщик учетных записей:
Active Directory— для учетных записей домена Active Directory;Google— для использования учетных записей Google;Yandex— для использования учетных записей Яндекса;Только e-mail— для использования локальных учетных записей MULTIFACTOR (только e-mail, без пароля);Другой— для использования учетных записей преднастроенных внешних поставщиков в разделе «Настройки» → «Поставщики учетных записей»;
- Адрес портала:
- если выбран поставщик учетных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания MULTIFACTOR;
- Сохраните настройки;
- Сохраните или откройте по ссылке файл из поля 'Метаданные MULTIFACTOR', он понадобится для дальнейшей настройки.
Настройка Яндекс.Облако
- Выберите облако, далее зайдите в меню «Федерации» и создайте новую Федерацию:
- имя: multifactor
- Idp Issuer: скопируйте из настроек MULTIFACTOR
- Single Sign-On метод: POST
- Ссылка на страницу для входа в IdP: скопируйте из настроек MULTIFACTOR
- Автоматически создавать пользователей:
- если включить, пользователи будут создаваться в облаке автоматически с ролью
resource-manager.clouds.member. Список пользователей можно ограничить в группах MULTIFACTOR. - если не включать, то список аккаунтов необходимо будет добавить в разделе «Пользователи и роли» → «Добавить федеративных пользователей».
- если включить, пользователи будут создаваться в облаке автоматически с ролью
- Остальные настройки по умолчанию.
2. Зайдите в созданную федерацию, нажмите «Добавить сертификат» и загрузите сертификат MULTIFACTOR.
3. Скопируйте Идентификатор федерации, вернитесь в личный кабинет MULTIFACTOR, и укажите идентификатор в настройках ресурса.
Проверка
Ссылка для федеративного доступа:
https://console.cloud.yandex.ru/federations/<ID федерации>
Смотрите также:
SAML-совместимые федерации удостоверений в Яндекс.Облаке
