Политики аутентификации в Yandex Identity Hub
Примечание
Функциональность находится на стадии Preview.
Политики аутентификации — это инструмент Yandex Identity Hub, позволяющий гибко настраивать доступ пользователей и групп пользователей к приложениям Yandex Identity Hub, запрещая или разрешая аутентификацию в зависимости от условий, заданных в области применения политики.
В настоящий момент управлять политиками аутентификации можно в интерфейсе Cloud Center. Создавать, изменять, активировать, деактивировать и удалять политики аутентификации может пользователь, которому назначена роль organization-manager.admin или выше.
Область применения политики
Политика аутентификации позволяет устанавливать следующие типы условий, при которых эта политика будет применяться к событиям аутентификации пользователя:
Примечание
Условия, заданные в политике, при проверке возможности аутентификации пользователя применяются с логикой И.
Пользователи и группы пользователей
В политике аутентификации вы можете выбрать как всех пользователей организации Yandex Identity Hub, так и определенных пользователей или группы пользователей, к которым будет применяться политика.
Вы можете исключить из политики определенных пользователей или группы пользователей. При этом одинаковые пользователи или группы не могут быть заданы одновременно в списках включения и исключения.
Приложения
В политике аутентификации вы можете выбрать как все приложения, созданные в организации Yandex Identity Hub, так и определенные приложения, к аутентификации в которых будет применяться политика.
Вы можете исключить из политики определенные приложения.
Сети и IP-адреса
В политике аутентификации вы можете выбрать как все возможные IP-адреса, так и определенные диапазоны IPv4- или IPv6-адресов в нотации CIDR, к аутентификации с которых будет применяться политика.
Вы можете исключить из политики определенные диапазоны адресов. При этом одинаковые диапазоны IP-адресов не могут быть заданы одновременно в списках включения и исключения.
Результат применения политики
В настоящее время политики аутентификации позволяют запрещать аутентификацию пользователя, если событие аутентификации соответствует заданным в политике условиям.
Статусы политики
Политика аутентификации может быть активна (статус Active) и неактивна (статус Inactive). Неактивная политика не применяется к событиям аутентификации пользователей.
Полезные ссылки
- Создать политику аутентификации
- Активировать и деактивировать политику аутентификации
- Изменить политику аутентификации
- Удалить политику аутентификации
- Приложения в Yandex Identity Hub
Организация — это высший ресурс в иерархии ресурсной модели Yandex Cloud, который объединяет ресурсы всех остальных сервисов, а также используется для управления пользователями и параметрами их аутентификации и авторизации. Подробнее читайте в разделе Организация.
Пользователей Yandex Identity Hub можно объединять в группы, что упрощает управление доступом в Yandex Cloud. Подробнее читайте в разделе Группы пользователей.
SAML- и OIDC-приложения Yandex Identity Hub позволяют пользователям Yandex Cloud аутентифицироваться в сервисах сторонних поставщиков услуг. Подробнее читайте в разделе Приложения в Yandex Identity Hub.
В Yandex Cloud используются аккаунты пользователей на Яндексе, а также федеративные и локальные пользовательские аккаунты. Подробнее читайте в разделе Аккаунты в Yandex Cloud.
Роль organization-manager.admin позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, пользователями и их группами, а также правами доступа пользователей к организации и ресурсам в ней. Подробнее читайте в разделе Управление доступом в Yandex Identity Hub.