Общие сведения
Avanpost FAM позволяет обеспечить 2FA/MFA для пользователей, выполняющих подключение к Yandex.Cloud (Яндекс.Облако). В инструкции описывается настройка 2FA/MFA с использованием SAML-механизма системы Avanpost FAM. Реализация поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом SAML: если пользователь прошёл аутентификацию в веб-приложение в соответствии с настроенным сценарием, то система не будет запрашивать повторного подтверждения аутентификации при аутентификации в другое веб-приложение. Также обеспечивается реализация функциональности SLO (Single Logout) в рамках протокола SAML.
Настройка
- Для настройки следует авторизоваться в сервисе Яндекс.Облако, и далее перейти в панели управления на вкладку Точки - Настройки организации (Cloud Organization)
- Далее, из левого меню выбрать вкладку Федерации.
- Нажать "Создать новую федерацию". Затем следует ввести желаемые настройки, такие, как название федерации, время жизни cookies-файлов и пр. По окончании нажать "Сохранить".
- После создания настроек на странице федерации добавить сертификат из FAM, из параметра cert в конфигурационном файле conf.toml.
В административной панели следует создать новое SAML-приложение для Облака.
для ACS, Base URL и Issuer указываем адрес входа нашей новой федерации в Яндекс.Облаке (полностью), копируя его из настройки "Ссылка на страницу входа в консоль" федерации.
NameID Format
– "Постоянный
".Значение NameID
– «Адрес электронной почты
» либо другой атрибут, который будет использован для идентификации пользователя (зависит от настроек идентификации пользователя).Signing Algorithm
– "SHA256"
.Остальные настройки оставить по умолчанию.
6. Настройка сопоставлений между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на стороне поставщика удостоверений, производится, согласно документации Яндекс. Для добавления атрибута нужно перейти на вкладку Attributes и нажать плюс для добавления нового атрибута. Ссылка на имя атрибута должна быть скопирована в поле Наименование, в поле Значение следует выбрать соответствующее значение, и тип атрибута указать как значение из атрибута.
Проверка настройки
- Перейти в браузере на Яндекс.Облако и инициировать аутентификацию через доверенный провайдер Avanpost FAM. Дождаться перенаправления на интерфейс аутентификации Avanpost FAM.
- Выполнить аутентификацию в соответствии с настроенным сценарием.
В результате пользователь должен успешно пройти аутентификацию.