МТС Линк поддерживает федеративную аутентификацию по протоколу SAML с использованием Мультифактора в качестве поставщика учетных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счет многофакторной аутентификации.

Multifactor — система двухфакторной аутентификации и контроля доступа для любого удаленного подключения.

Инструкции для других протоколов и провайдеров идентификации:

• Active Directory Federation Services

• Azure Active Directory

• Google Workspace (SAML)

• Google Workspace (OAuth)

• Workspace ONE Access

• Битрикс24

• Keycloak (SAML)

• Keycloak (OAuth)

• Microsoft Active Directory
• FreeIPA (ALD Pro)

• ID.Trusted.Net

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учетных записей:

• Active Directory

• Google

• Yandex

• Локальные пользователи Мультифактор (только e-mail)

• Другие внешние SAML поставщики учетных записей

Принцип работы

1. МТС Линк устанавливает доверие с Мультифактором, получая его публичный сертификат и адрес единого входа (Sigle Sign-On).

2. При запросе на аутентификацию МТС Линк переадресует пользователя на страницу Мультифактора.

3. Мультифактор отправляет пользователя на страницу поставщика учетных записей.

4. После подтверждения первого фактора Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в МТС Линк.

5. МТС Линк предоставляет пользователю доступ к запрашиваемому ресурсу.

Как настроить

Шаг 1. Настройка Мультифактора

1. В личном кабинете в разделе “Ресурсы” нажмите “Добавить ресурс” и выберите “SAML приложение”:

   

   Далее введите следующее:

   • Название произвольное.

   • Адрес: mts-link.ru (опционально).

   • Поставщик учетных записей:

     • Active Directory — для учетных записей домена Active Directory;

     • Google — для использования учетных записей Google;

     • Yandex — для использования учетных записей Яндекса;

     • Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);

     • Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе “Настройки” -> “Поставщики учетных записей”.

   • Адрес портала: если выбран поставщик учетных записей Active Directory, то укажите адрес (внутренний или внешний) предварительно настроенного портала самообслуживания Мультифактор.

2. Сохраните настройки.

3. Откройте по ссылке или сохраните XML-файл из поля “Метаданные Мультифактора”, он понадобится для дальнейшей настройки МТС Линк:

   

4. Поле “Поставщик услуг” пока оставьте пустым, мы вернемся к нему после настройки на стороне МТС Линк.

Шаг 2. Настройка конфигурации SAML на стороне МТС Линк

1. В личном кабинете зайдите в раздел “Настройки SSO”. В поле “Выбор протокола и настройки провайдера идентификации” введите следующее:

   • Протокол: SAML.

   • Выбор SSO провайдера: Active Directory.

   • Идентификатор объекта (Identity Provider (idP) Entity ID): ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактора.

     Пример значения: https://idp.multifactor.ru/rs_<identifier>.

   • URL Системы единого входа (Sign-in page URL): ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактора + /login/.

     Пример значения: https://idp.multifactor.ru/rs_<identifier>/login/.

   • URL Системы единого выхода (Sign-out page URL): ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактора + /logout/.

     Пример значения: https://idp.multifactor.ru/rs_<identifier>/logout/.

   • Сертификат (Identity provider certificate): скопируйте значение внутри тэга <X509Certificate> из файла метаданных Мультифактора. Поместите его между тэгами -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

     Пример PEM-сертификата:

     -----BEGIN CERTIFICATE-----
     <Закодированный в формате Base64 сертификат>
     -----END CERTIFICATE-----

   • Нажмите “Далее”.

   • Сохраните ссылки “Идентификатор объекта (Entity ID)” и “URL ACS” и нажмите “Далее”.

2. Создайте XML-файл sp_metadata.xml:

   <?xml version="1.0"?>
   <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                        entityID="ENTITY_URL">
       <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
           <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
           <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                                        Location="ASSERTION_CONSUMER_SERVICE_URL"
                                        index="1" />
       </md:SPSSODescriptor>
   </md:EntityDescriptor>

   где:

   ENTITY_URL — значение “Идентификатор объекта (Entity ID)”;

   ASSERTION_CONSUMER_SERVICE_URL — значение “URL ACS”.

3. Сохраните файл sp_metadata.xml и загрузите его в поле “Поставщик услуг” (шаг 1, пункт 4) в панели управления Мультифактора, в настройках созданного ранее SAML ресурса:

   

4. В поле “Укажите домен электронной почты” выберите домен для ассоциации с поставщиком учетных записей. Если у вас не подтверждено ни одного домена, необходимо добавить и верифицировать необходимый домен (подробнее об этом в статье Подтверждение домена для SSO).

5. Включите “Использовать SSO для входа в личный кабинет” (подробнее об этом в статье Настройка SSO).