Многофакторная аутентификация в Identity Hub
Примечание
Функциональность находится на стадии Preview.
Yandex Identity Hub позволяет настроить многофакторную аутентификацию (MFA) для федеративных и локальных пользовательских аккаунтов.
MFA дает возможность повысить степень защищенности учетных записей пользователей за счет использования в процессе аутентификации в дополнение к паролю еще одного фактора — одноразового кода (стандарт TOTP) или средства аутентификации по стандарту WebAuthn (FIDO2).
Политики MFA
Требования многофакторной аутентификации, применяемые к пользователям, настраиваются в политиках MFA и включают в себя:
-
Требования к типу применяемых пользователем факторов MFA.
-
Требования к количеству времени после регистрации, в течение которого пользователь должен добавить дополнительный фактор аутентификации.
Если в течение заданного срока пользователь не добавит второй фактор, он не сможет самостоятельно пройти аутентификацию в Yandex Cloud.
Чтобы пользователь, пропустивший установленный срок добавления второго фактора, смог аутентифицироваться, администратор организации должен сбросить дату верификации этого пользователя, после чего течение периода, заданного в поле Срок создания политики MFA, начнется заново.
Сбросить дату верификации пользовательского аккаунта может пользователь, которому назначена роль
organization-manager.federations.userAdminили выше (для федеративного аккаунта) илиorganization-manager.userpools.userAdminили выше (для локального аккаунта).Примечание
Информацию о дате последней верификации пользователя с помощью фактора MFA можно посмотреть на вкладке Обзор страницы с информацией о пользователе в интерфейсе Identity Hub в Cloud Center.
-
Требования к периодичности повторных проверок дополнительного фактора аутентификации.
После истечения заданного времени пользователю потребуется повторно аутентифицироваться с использованием дополнительного фактора.
Создать политику MFA можно в интерфейсе Identity Hub в Cloud Center.
Чтобы политика MFA применялась к определенным учетным записям пользователей, в целевые группы политики требуется явно добавить нужных пользователей или группы, в которые входят эти пользователи.
Примечание
В целевые группы политики MFA вы можете добавлять пользовательские аккаунты любого типа, но применяться политика будет только к федеративным и локальным аккаунтам пользователей.
Если участниками группы, добавленной в политику MFA, являются пользователи с аккаунтами различных типов, эта политика будет применяться только к пользователям с федеративными и локальными аккаунтами.
Политика MFA может находиться в активном (Active) и неактивном (Inactive) статусе.
Активную политику можно временно деактивировать, в результате чего она перейдет в статус Inactive, а к пользовательским аккаунтам, добавленным в целевые группы политики, перестанут применяться требования этой политики по использованию дополнительного фактора аутентификации. Неактивную политику можно повторно активировать, и ее требования вновь начнут применяться к добавленным пользовательским аккаунтам.
Если пользователь добавлен в целевые группы одновременно нескольких политик MFA, к его аккаунту будут применяться наиболее строгие из заданных в этих политиках требований как по факторам аутентификации, так и по срокам и периодичности прохождения проверок дополнительного фактора.
Управлять политиками MFA может пользователь, которому назначена роль organization-manager.editor или выше.
Факторы MFA
При первой аутентификации в Yandex Cloud федеративные и локальные пользователи, добавленные в целевые группы политики MFA, должны настроить дополнительную защиту своего аккаунта, пройдя верификацию — подтвердив свою личность дополнительным способом (фактором) аутентификации. Факторы аутентификации, которые будет применять пользователь, зависят от возможностей устройства пользователя, а также от настроек строгости факторов, заданных в политике MFA:
-
Любые методы. В этом варианте пользователи должны будут выбрать один из следующих стандартов дополнительного фактора аутентификации:- WebAuthn (FIDO2). Дополнительным фактором аутентификации могут выступать, например, аппаратные ключи, такие как Рутокен или YubiKey, аутентификаторы Passkeys, платформенные аутентификаторы, такие как Windows Hello, и т.п.
- TOTP. Дополнительным фактором аутентификации будут выступать одноразовые коды, генерируемые специальными приложениями-аутентификаторами.
-
Устойчивые к фишингу. В этом варианте пользователь должен будет использовать только факторы аутентификации по стандарту WebAuthn как наиболее безопасные.
Пользователи должны повторно подтверждать свою личность с помощью выбранного дополнительного фактора аутентификации с периодичностью, заданной в поле Время жизни настроек политики MFA.
При необходимости администратор организации может удалять существующие факторы аутентификации пользователей. Это может потребоваться, например, если пользователь утратил доступ к приложению-аутентификатору или потерял аппаратный ключ, которые использовались для подтверждения личности.