Avanpost FAM/MFA+ : Настройка 2FA/MFA/SSO для Яндекс 360 для бизнеса

Общие сведения

Avanpost FAM обеспечивает 2FA/MFA/SSO для пользователей, выполняющих аутентификацию в облачный сервис Яндекс 360 для бизнеса, предоставляющий виртуальное рабочее пространство (почта, файловое хранилище, система видеоконференцсвязи, документы, календарь, заметки, мессенджер). В инструкции описывается настройка 2FA/MFA/SSO для Яндекс 360 посредством механизма SAML из состава системы Avanpost FAM.

Для выполнения настройки 2FA в Яндекс 360 для бизнеса в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

Получить основные параметры для настройки единого входа по ссылке вида

http://<avanpost hostmane/IP>/.well-known/samlidp.xml

где <avanpost hostmane/IP> — имя хоста или IP-адрес, по которому доступен сервис.

Настройка на стороне FAM

  1. Через административную консоль Avanpost FAM нужно создать приложение с типом SAML.

2. Указать для него в карточке приложения на вкладке «Настройки»:

    1. В поле Issuer введите https://yandex.ru/ (обязательно со знаком слеш в конце)..
    2. В поле ACS введите Service URL: https://passport.yandex.ru/auth/sso/commit.
    3. NameID Format — постоянный.
    4. Значение NameID — идентификатор, который будете использовать в качестве NameID при SAML SSO — Имя пользователя или Адрес электронной почты.
    5. Базовый URL и Logout оставить пустыми

3. Для нового процесса аутентификации следует включить метод Password в предлагаемом списке факторов. Остальные методы оставить выключенными.

4. Нажать Далее.

5. Отметить опцию Сделать приложение активным и нажать Сохранить.

6. В разделе Приложения веб-интерфейса Avanpost FAM выберите созданное на Шаге 1 SAML-приложение и перейти на вкладку Attributes.

7. Нажать значок  и добавить поочередно три атрибута:

  • User.EmailAddress — адрес электронной почты;
  • User.Surname — фамилия;
  • User.Firstname — имя.

8. Настроить синхронизацию атрибутов Avanpost FAM и Яндекс 360 — открыв каждый атрибут и измените параметры источников значений, как указано в Таблице.

Значения SAML Attribute Name

SAML Attribute NameЗначение
User.EmailAddressuser.email
User.Firstnameuser.family_name
User.Surnameuser.given_name

Проверка настройки

  1. Перейти в браузере на Яндекс 360 и инициировать аутентификацию через доверенный провайдер Avanpost FAM. Дождаться перенаправления на интерфейс аутентификации Avanpost FAM.
  2. Выполнить аутентификацию в соответствии с настроенным сценарием.

В результате пользователь должен успешно пройти аутентификацию.

Обсуждение