Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Страница сервиса
Yandex Identity Hub
Документация
Yandex Identity Hub
    • Организация
    • Членство в организации
    • Группы пользователей
    • Пулы пользователей
    • Федерации удостоверений
    • Домены
    • Приложения
    • OS Login
    • MFA
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Политики MFA
  • Факторы MFA
  1. Концепции
  2. MFA

Многофакторная аутентификация в Identity Hub

Статья создана
Yandex Cloud
Обновлена 5 августа 2025 г.
  • Политики MFA
  • Факторы MFA

Примечание

Функциональность находится на стадии Preview.

Yandex Identity Hub позволяет настроить многофакторную аутентификацию (MFA) для федеративных и локальных пользовательских аккаунтов.

MFA дает возможность повысить степень защищенности учетных записей пользователей за счет использования в процессе аутентификации в дополнение к паролю еще одного фактора — одноразового кода (стандарт TOTP) или средства аутентификации по стандарту WebAuthn (FIDO2).

Политики MFAПолитики MFA

Требования многофакторной аутентификации, применяемые к пользователям, настраиваются в политиках MFA и включают в себя:

  • Требования к типу применяемых пользователем факторов MFA.

  • Требования к количеству времени после регистрации, в течение которого пользователь должен добавить дополнительный фактор аутентификации.

    Если в течение заданного срока пользователь не добавит второй фактор, он не сможет самостоятельно пройти аутентификацию в Yandex Cloud.

    Чтобы пользователь, пропустивший установленный срок добавления второго фактора, смог аутентифицироваться, администратор организации должен сбросить дату верификации этого пользователя, после чего течение периода, заданного в поле Срок создания политики MFA, начнется заново.

    Сбросить дату верификации пользовательского аккаунта может пользователь, которому назначена роль organization-manager.federations.userAdmin или выше (для федеративного аккаунта) или organization-manager.userpools.userAdmin или выше (для локального аккаунта).

    Примечание

    Информацию о дате последней верификации пользователя с помощью фактора MFA можно посмотреть на вкладке Обзор страницы с информацией о пользователе в интерфейсе Identity Hub в Cloud Center.

  • Требования к периодичности повторных проверок дополнительного фактора аутентификации.

    После истечения заданного времени пользователю потребуется повторно аутентифицироваться с использованием дополнительного фактора.

Создать политику MFA можно в интерфейсе Identity Hub в Cloud Center.

Чтобы политика MFA применялась к определенным учетным записям пользователей, в целевые группы политики требуется явно добавить нужных пользователей или группы, в которые входят эти пользователи.

Примечание

В целевые группы политики MFA вы можете добавлять пользовательские аккаунты любого типа, но применяться политика будет только к федеративным и локальным аккаунтам пользователей.

Если участниками группы, добавленной в политику MFA, являются пользователи с аккаунтами различных типов, эта политика будет применяться только к пользователям с федеративными и локальными аккаунтами.

Политика MFA может находиться в активном (Active) и неактивном (Inactive) статусе.

Активную политику можно временно деактивировать, в результате чего она перейдет в статус Inactive, а к пользовательским аккаунтам, добавленным в целевые группы политики, перестанут применяться требования этой политики по использованию дополнительного фактора аутентификации. Неактивную политику можно повторно активировать, и ее требования вновь начнут применяться к добавленным пользовательским аккаунтам.

Если пользователь добавлен в целевые группы одновременно нескольких политик MFA, к его аккаунту будут применяться наиболее строгие из заданных в этих политиках требований как по факторам аутентификации, так и по срокам и периодичности прохождения проверок дополнительного фактора.

Управлять политиками MFA может пользователь, которому назначена роль organization-manager.editor или выше.

Факторы MFAФакторы MFA

При первой аутентификации в Yandex Cloud федеративные и локальные пользователи, добавленные в целевые группы политики MFA, должны настроить дополнительную защиту своего аккаунта, пройдя верификацию — подтвердив свою личность дополнительным способом (фактором) аутентификации. Факторы аутентификации, которые будет применять пользователь, зависят от возможностей устройства пользователя, а также от настроек строгости факторов, заданных в политике MFA:

  • Любые методы. В этом варианте пользователи должны будут выбрать один из следующих стандартов дополнительного фактора аутентификации:

    • WebAuthn (FIDO2). Дополнительным фактором аутентификации могут выступать, например, аппаратные ключи, такие как Рутокен или YubiKey, аутентификаторы Passkeys, платформенные аутентификаторы, такие как Windows Hello, и т.п.
    • TOTP. Дополнительным фактором аутентификации будут выступать одноразовые коды, генерируемые специальными приложениями-аутентификаторами.
  • Устойчивые к фишингу. В этом варианте пользователь должен будет использовать только факторы аутентификации по стандарту WebAuthn как наиболее безопасные.

Пользователи должны повторно подтверждать свою личность с помощью выбранного дополнительного фактора аутентификации с периодичностью, заданной в поле Время жизни настроек политики MFA.

При необходимости администратор организации может удалять существующие факторы аутентификации пользователей. Это может потребоваться, например, если пользователь утратил доступ к приложению-аутентификатору или потерял аппаратный ключ, которые использовались для подтверждения личности.

См. такжеСм. также

  • Создать политику MFA
  • Изменить политику MFA
  • Применить политику MFA к пользователям
  • Активировать и деактивировать политику MFA
  • Удалить политику MFA
  • Удалить MFA-фактор и сбросить дату верификации

Была ли статья полезна?

Предыдущая
OS Login
Следующая
Квоты и лимиты
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»