Создать политику MFA
Примечание
Функциональность находится на стадии Preview.
Политики MFA позволяют настроить многофакторную аутентификацию (MFA) для федеративных и локальных аккаунтов пользователей.
Чтобы создать политику MFA:
-
Войдите в сервис Yandex Identity Hub.
-
На панели слева выберите Настройки безопасности.
-
Перейдите на вкладку Политики MFA.
-
В правом верхнем углу страницы нажмите Создать политику и в открывшемся окне:
-
В поле Название задайте имя создаваемой политики. Требования к имени:
- длина — от 1 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
(Опционально) В поле Описание задайте описание политики.
-
Если вы не хотите активировать создаваемую политику при создании, выключите опцию Политика активна.
-
В поле Типы факторов выберите дополнительные факторы аутентификации, с помощью которых должны будут подтверждать свою личность пользователи, добавленные в целевые группы политики:
-
Любые методы. В этом варианте пользователи должны будут выбрать один из следующих стандартов дополнительного фактора аутентификации:-
WebAuthn (FIDO2). Дополнительным фактором аутентификации могут выступать, например, аппаратные ключи, такие как Рутокен или YubiKey, аутентификаторы Passkeys, платформенные аутентификаторы, такие как Windows Hello, и т.п.
Важно
Расширения браузера, у которых есть возможность управлять вводом паролей, могут вызывать ошибки при вводе дополнительных факторов. При возникновении ошибок рекомендуется отключать такие расширения.
-
TOTP. Дополнительным фактором аутентификации будут выступать одноразовые коды, генерируемые специальными приложениями-аутентификаторами.
-
-
Устойчивые к фишингу. В этом варианте пользователь должен будет использовать только факторы аутентификации по стандарту WebAuthn как наиболее безопасные.
-
-
В поле Срок создания задайте период в днях после регистрации, в течение которого пользователь должен добавить второй фактор аутентификации.
-
В поле Время жизни задайте срок действия учетных данных в днях.
После истечения заданного времени пользователю потребуется повторно аутентифицироваться с использованием дополнительного фактора.
-
Нажмите кнопку Создать политику.
-
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Посмотрите описание команды CLI для создания политики MFA:
yc organization-manager mfa-enforcement create --help -
Создайте политику MFA, выполнив команду:
yc organization-manager mfa-enforcement create \ --organization-id <идентификатор_организации> \ --acr-id <тип_фактора_аутентификации> \ --ttl <время_жизни> \ --status <статус_политики> \ --apply-at <время_активации> \ --enroll-window <срок_создания> \ --name <имя_политики> \ --description <описание_политики>Где:
-
--name— имя политики. Требования к формату имени:- длина — от 1 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
--organization-id— идентификатор организации. -
--acr-id— тип фактора аутентификации. -
--ttl— срок действия учетных данных в днях. -
--status— статус политики:status-active— активна,status-inactive— неактивна. -
--apply-at— время, по истечении которого политика станет активна. Необязательный параметр. -
--enroll-window— период в днях после регистрации, в течение которого пользователь должен добавить второй фактор аутентификации. -
--description— описание политики. Необязательный параметр.
-
-
(Опционально) Чтобы активировать неактивную политику MFA, выполните команду:
yc organization-manager mfa-enforcement activate \ --id <идентификатор_политики>
Примечание