Avanpost FAM/MFA+ : Настройка 2FA/MFA для Yandex Cloud (Яндекс.Облако)

Общие сведения

Avanpost FAM позволяет обеспечить 2FA/MFA  для пользователей, выполняющих подключение к Yandex.Cloud (Яндекс.Облако). В инструкции описывается настройка 2FA/MFA с использованием SAML-механизма системы Avanpost FAM. Реализация поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом SAML: если пользователь прошёл аутентификацию в веб-приложение в соответствии с настроенным сценарием, то система не будет запрашивать повторного подтверждения аутентификации при аутентификации в другое веб-приложение. Также обеспечивается реализация функциональности SLO (Single Logout) в рамках протокола SAML.

Настройка

  1. Для настройки следует авторизоваться в сервисе Яндекс.Облако, и далее перейти в панели управления на вкладку Точки - Настройки организации (Cloud Organization)
  2. Далее, из левого меню выбрать вкладку Федерации.
  3. Нажать "Создать новую федерацию". Затем следует ввести желаемые настройки, такие, как название федерации, время жизни cookies-файлов и пр. По окончании нажать "Сохранить".
  4. После создания настроек на странице федерации добавить сертификат из FAM, из параметра cert в конфигурационном файле conf.toml.
  5. В административной панели следует создать новое SAML-приложение для Облака.

  • для ACS, Base URL и Issuer указываем адрес входа нашей новой федерации в Яндекс.Облаке (полностью), копируя его из настройки "Ссылка на страницу входа в консоль" федерации.

  • NameID Format – "Постоянный".

  • Значение NameID  «Адрес электронной почты» либо другой атрибут, который будет использован для идентификации пользователя (зависит от настроек идентификации пользователя).

  • Signing Algorithm – "SHA256".

  • Остальные настройки оставить по умолчанию.



6. Настройка сопоставлений между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на стороне поставщика удостоверений, производится, согласно документации Яндекс. Для добавления атрибута нужно перейти на вкладку Attributes и нажать плюс для добавления нового атрибута. Ссылка на имя атрибута должна быть скопирована в поле Наименование, в поле Значение следует выбрать соответствующее значение, и тип атрибута указать как значение из атрибута.


Проверка настройки

  1. Перейти в браузере на Яндекс.Облако и инициировать аутентификацию через доверенный провайдер Avanpost FAM. Дождаться перенаправления на интерфейс аутентификации Avanpost FAM.
  2. Выполнить аутентификацию в соответствии с настроенным сценарием.

В результате пользователь должен успешно пройти аутентификацию.

Обсуждение