Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Многофакторная аутентификация в Identity Hub

Статья создана
Обновлена 19 февраля 2026 г.

Yandex Identity Hub позволяет настроить многофакторную аутентификацию (MFA) для федеративных и локальных пользовательских аккаунтов.

MFA дает возможность повысить степень защищенности учетных записей пользователей за счет использования в процессе аутентификации в дополнение к паролю еще одного фактора — одноразового кода (в приложении-аутентификаторе по стандарту TOTP или в SMS) или средства аутентификации по стандарту WebAuthn (FIDO2).

Политики MFA

Требования многофакторной аутентификации, применяемые к пользователям, настраиваются в политиках MFA и включают в себя:

  • Требования к типу применяемых пользователем факторов MFA.

  • Требования к количеству времени после регистрации, в течение которого пользователь должен добавить дополнительный фактор аутентификации.

    Если в течение заданного срока пользователь не добавит второй фактор, он не сможет самостоятельно пройти аутентификацию в Yandex Cloud.

    Чтобы пользователь, пропустивший установленный срок добавления второго фактора, смог аутентифицироваться, администратор организации должен сбросить дату верификации этого пользователя, после чего течение периода, заданного в поле Срок создания политики MFA, начнется заново.

    Сбросить дату верификации пользовательского аккаунта может пользователь, которому назначена роль organization-manager.federations.userAdmin или выше (для федеративного аккаунта) или organization-manager.userpools.userAdmin или выше (для локального аккаунта).

    Примечание

    Информацию о дате последней верификации пользователя с помощью фактора MFA можно посмотреть на вкладке Обзор страницы с информацией о пользователе в интерфейсе Identity Hub в Cloud Center.

  • Требования к периодичности повторных проверок дополнительного фактора аутентификации.

    После истечения заданного времени пользователю потребуется повторно аутентифицироваться с использованием дополнительного фактора.

Создать политику MFA можно в интерфейсе Identity Hub в Cloud Center.

Чтобы политика MFA применялась к определенным учетным записям пользователей, в целевые группы политики требуется явно добавить нужных пользователей или группы, в которые входят эти пользователи.

Примечание

В целевые группы политики MFA вы можете добавлять пользовательские аккаунты любого типа, но применяться политика будет только к федеративным и локальным аккаунтам пользователей.

Если участниками группы, добавленной в политику MFA, являются пользователи с аккаунтами различных типов, эта политика будет применяться только к пользователям с федеративными и локальными аккаунтами.

Политика MFA может находиться в активном (Active) и неактивном (Inactive) статусе.

Активную политику можно временно деактивировать, в результате чего она перейдет в статус Inactive, а к пользовательским аккаунтам, добавленным в целевые группы политики, перестанут применяться требования этой политики по использованию дополнительного фактора аутентификации. Неактивную политику можно повторно активировать, и ее требования вновь начнут применяться к добавленным пользовательским аккаунтам.

Если пользователь добавлен в целевые группы одновременно нескольких политик MFA, к его аккаунту будут применяться наиболее строгие из заданных в этих политиках требований как по факторам аутентификации, так и по срокам и периодичности прохождения проверок дополнительного фактора.

Управлять политиками MFA может пользователь, которому назначена роль organization-manager.editor или выше.

Факторы MFA

При первой аутентификации в Yandex Cloud федеративные и локальные пользователи, добавленные в целевые группы политики MFA, должны настроить дополнительную защиту своего аккаунта, пройдя верификацию — подтвердив свою личность дополнительным способом (фактором) аутентификации. Факторы аутентификации, которые будет применять пользователь, зависят от возможностей устройства пользователя, а также от настроек строгости факторов, заданных в политике MFA:

  • Любые методы. В этом варианте пользователи должны будут выбрать один из следующих стандартов дополнительного фактора аутентификации:

    • WebAuthn (FIDO2). Дополнительным фактором аутентификации будут выступать, например, аппаратные ключи, такие как Рутокен или YubiKey, аутентификаторы Passkeys, платформенные аутентификаторы, такие как Windows Hello, и т.п. См. подробнее о поддержке WebAuthn браузерами и операционными системами.

      Важно

      Расширения браузера, у которых есть возможность управлять вводом паролей, могут вызывать ошибки при вводе дополнительных факторов. При возникновении ошибок рекомендуется отключать такие расширения.

    • TOTP. Дополнительным фактором аутентификации будут выступать одноразовые коды, генерируемые специальными приложениями-аутентификаторами.

    • SMS. Дополнительным фактором аутентификации будут выступать одноразовые коды, отправляемые в коротких сообщениях на заданный номер мобильного телефона.

      Примечание

      Функциональность SMS в качестве фактора аутентификации находится на стадии Preview и доступна только клиентам с тарифицируемым лимитом пользователей Identity Hub. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

  • Любые, кроме SMS. В этом варианте пользователь должен будет использовать факторы аутентификации по стандартам WebAuthn или TOTP.

  • Устойчивые к фишингу. В этом варианте пользователь должен будет использовать только факторы аутентификации по стандарту WebAuthn как наиболее безопасные.

Пользователи должны повторно подтверждать свою личность с помощью выбранного дополнительного фактора аутентификации с периодичностью, заданной в поле Время жизни настроек политики MFA.

При необходимости администратор организации может удалять существующие факторы аутентификации пользователей. Это может потребоваться, например, если пользователь утратил доступ к приложению-аутентификатору или потерял аппаратный ключ, которые использовались для подтверждения личности.

Поддержка WebAuthn браузерами и операционными системами

Для работы WebAuthn требуется поддержка со стороны браузера и операционной системы. В таблице указаны браузеры и версии операционных систем, с которых начинается поддержка WebAuthn. В более поздних версиях поддержка также присутствует.

Браузер

Android 14

iOS 16

Windows 10

macOS 13 (Ventura)

Desktop Linux

Chromium1

Полная поддержка

Полная поддержка

Полная поддержка2

Полная поддержка

Только аппаратные ключи3

Safari

Нет информации

Полная поддержка

Нет информации

Полная поддержка

Нет информации

Firefox

Полная поддержка4

Полная поддержка

Полная поддержка2

Полная поддержка5

Только аппаратные ключи

1 Информация относится также к Яндекс Браузеру, Google Chrome, Opera, Vivaldi, Brave и Microsoft Edge, которые работают на базе Chromium.
2 Для платформенных аутентификаторов только с Windows Hello.
3 Для работы с Рутокен в Яндекс Браузере требуется Рутокен Плагин.
4 На отдельных устройствах могут быть ограничения по биометрии.
5 Платформенные методы (Touch ID) работают с ограничениями из‑за особенностей движка Gecko.

См. также

Предыдущая
OS Login
Следующая
Управляемые организации