Двухфакторная аутентификация Яндекс.Облако

Общие сведения

В статье описывается настройка двухфакторной аутентификации для платформы Яндекс.Облако.

Платформа поддерживает федеративную аутентификацию по протоколу SAML, которая совместно с Мультифактором позволяет использовать единую базу пользователей и централизованно управлять доступом с мультифакторной аутентификацией. При этом локальный вход по-прежнему будет работать для административных целей.

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль), в зависимости от настройки, могут быть:

• Active Directory
• Yandex
• Google
• Локальные пользователи Мультифактор (только e-mail)
• Другие внешние SAML поставщики учётных записей

Видео-презентация

Схема работы

1. Яндекс.Облако и Мультифактор устанавливают взаимное доверие путем обмена публичными сертификатами и настройкой единого адреса входа (Sigle Sign-On).
2. При запросе на аутентификацию, Яндекс.Облако переадресует пользователя на страницу Мультифактора.
3. Мультифактор отправляет пользователя на страницу поставщика учетных записей (Яндекс, Google или Active Directory)
4. После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в Яндекс.Облако.

Настройка Мультифактора

1. Зайдите в личный кабинет, в разделе "Ресурсы" создайте новый Сайт -> Yandex.Cloud:

• Название: произвольное
• Адрес: [опционально] адрес Yandex Cloud
• Поставщик учетных записей:
  • Active Directory — для учетных записей домена Active Directory;
  • Google — для использования учетных записей Google;
  • Yandex — для использования учетных записей Яндекса;
  • Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);
  • Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе "Настройки" -> "Поставщики учетных записей";
• Адрес портала:
  • если выбран поставщик учетных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания Мультифактор;

2. Сохраните настройки;
3. Сохраните или откройте по ссылке файл из поля 'Метаданные Мультифактора', он понадобится для дальнейшей настройки.

Настройка Яндекс.Облако

1. Выберите облако, далее зайдите в меню "Федерации" и создайте новую Федерацию:
   • имя: multifactor
   • Idp Issuer: скопируйте из настроек Мультифактора
   • Single Sign-On метод: POST
   • Ссылка на страницу для входа в IdP: скопируйте из настроек Мультифактора
   • Автоматически создавать пользователей:
     • если включить, пользователи будут создаваться в облаке автоматически с ролью resource-manager.clouds.member. Список пользователей можно ограничить в группах Мультифактора.
     • если не включать, то список аккаунтов необходимо будет добавить в разделе "Пользователи и роли" -> "Добавить федеративных пользователей".
   • Остальные настройки по умолчанию.
   
2. Зайдите в созданную федерацию, нажмите "Добавить сертификат" и загрузите сертификат Мультифактора.
3. Скопируйте Идентификатор федерации, вернитесь в личный кабинет Мультифактора, и укажите идентификатор в настройках ресурса.

Проверка

Ссылка для федеративного доступа:
https://console.cloud.yandex.ru/federations/<ID федерации>

Смотрите также:

• SAML-совместимые федерации удостоверений в Яндекс.Облаке.