Двухфакторная аутентификация Huawei Cloud
Общие сведения
В статье описывается настройка двухфакторной аутентификации для публичного облака Huawei Cloud.
Huawei Cloud поддерживает федеративную аутентификацию по протоколу SAML, которая совместно с Мультифактором позволяет использовать единую базу пользователей и централизованно управлять доступом с мультифакторной аутентификацией. При этом локальный вход по-прежнему будет работать для административных целей.
Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль), в зависимости от настройки, могут быть:
Active Directory
Yandex
Google
Локальные пользователи Мультифактор (только e-mail)
Другие внешние SAML поставщики учётных записей
Схема работы
- Huawei Cloud и Мультифактор устанавливают взаимное доверие путем обмена публичными сертификатами и настройкой единого адреса входа (Sigle Sign On) и единого адреса выхода (Signle LogOut);
- При запросе на аутентификацию, Huawei Cloud переадресует пользователя на страницу Мультифактора;
- Мультифактор отправляет пользователя на страницу поставщика учетных записей (Google, Яндекс или Active Directory);
- После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в Huawei Cloud.
Настройка Мультифактора
- Зайдите в личный кабинет, в разделе "Ресурсы" создайте новый Сайт->SAML приложение:
- Название: произвольное
- Адрес: [опционально] адрес Huawei Cloud
- Поставщик учетных записей:
Active Directory
— для учетных записей домена Active Directory;Google
— для использования учетных записей Google;Yandex
— для использования учетных записей Яндекса;Только e-mail
— для использования локальных учетных записей Мультифактора (только e-mail, без пароля);Другой
— для использования учетных записей преднастроенных внешних поставщиков в разделе "Настройки" -> "Поставщики учетных записей";
- Адрес портала:
- если выбран поставщик учетных записей Active Directory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания Мультифактор;
- Сохраните настройки;
- Нажмите "Загрузить метаданные" и укажите адрес:
https://ДОМЕН_ОБЛАКА_HUAWEI/authui/saml/metadata.xml
- Сохраните или откройте по ссылке файл из поля 'Метаданные Мультифактора', он понадобится для дальнейшей настройки.
Настройка Huawei Cloud
- Зайдите в раздел "Management & Deployment" -> "Identity and Access Management".
- В меню "Identity Providers" создайте нового провайдера:
- название: Мультифактор
- протокол: SAML
- сохраните
- В меню "Identity Providers" нажмите Modify напротив Мультифактора
- сохраните Login Link — это адрес для входа с мультифакторной аутентификацией
- загрузите в раздел "Metadata Configuration" файл с метаданными Мультифактора
- Сохраните изменения