Изменить политику MFA
Примечание
Функциональность находится на стадии Preview.
Чтобы изменить политику MFA:
-
Войдите в сервис Yandex Identity Hub.
-
На панели слева выберите Настройки безопасности.
-
Перейдите на вкладку Политики MFA.
-
В списке политик MFA в строке с нужной политикой нажмите значок и выберите Редактировать. В открывшемся окне:
-
В поле Название задайте новое имя политики. Требования к имени:
- длина — от 1 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
(Опционально) В поле Описание задайте описание политики.
-
При необходимости с помощью опции Политика активна активируйте или деактивируйте политику.
-
В поле Типы факторов выберите дополнительные факторы аутентификации, с помощью которых должны будут подтверждать свою личность пользователи, добавленные в целевые группы политики:
-
Любые методы. В этом варианте пользователи должны будут выбрать один из следующих стандартов дополнительного фактора аутентификации:-
WebAuthn (FIDO2). Дополнительным фактором аутентификации могут выступать, например, аппаратные ключи, такие как Рутокен или YubiKey, аутентификаторы Passkeys, платформенные аутентификаторы, такие как Windows Hello, и т.п.
Важно
Расширения браузера, у которых есть возможность управлять вводом паролей, могут вызывать ошибки при вводе дополнительных факторов. При возникновении ошибок рекомендуется отключать такие расширения.
-
TOTP. Дополнительным фактором аутентификации будут выступать одноразовые коды, генерируемые специальными приложениями-аутентификаторами.
-
-
Устойчивые к фишингу. В этом варианте пользователь должен будет использовать только факторы аутентификации по стандарту WebAuthn как наиболее безопасные.
-
-
В поле Срок создания задайте период в днях после регистрации, в течение которого пользователь должен добавить второй фактор аутентификации.
-
В поле Время жизни задайте срок действия учетных данных в днях.
После истечения заданного времени пользователю потребуется повторно аутентифицироваться с использованием дополнительного фактора.
-
Нажмите кнопку Сохранить.
-
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Посмотрите список политик MFA с помощью команды:
yc organization-manager mfa-enforcement list \ --organization-id <идентификатор_организации>Где
--organization-id— идентификатор организации. -
Посмотрите описание нужной политики MFA:
yc organization-manager mfa-enforcement get \ --id <идентификатор_политики> -
Посмотрите описание команды CLI для изменения политики MFA:
yc organization-manager mfa-enforcement update --help -
Чтобы изменить политику MFA, выполните команду:
yc organization-manager mfa-enforcement update \ --id <идентификатор_политики> \ --acr-id <тип_фактора_аутентификации> \ --ttl <время_жизни> \ --status <статус_политики> \ --apply-at <время_применения_изменений> \ --enroll-window <период_регистрации> \ --new-name <новое_имя> \ --description <новое_описание> \ --organization-id <идентификатор_организации>Где:
--id— идентификатор политики MFA.--acr-id— тип фактора аутентификации.--ttl— срок действия учетных данных в днях.--status— статус политики:status-active— активна,status-inactive— неактивна.--apply-at— время, по истечении которого политика станет активна.--enroll-window— период в днях после регистрации, в течение которого пользователь должен добавить второй фактор аутентификации.--new-name— новое имя политики.--description— новое описание.--organization-id— идентификатор организации.
Примечание