МТС Линк поддерживает федеративную аутентификацию по протоколу OAUTH с использованием Мультифактора в качестве поставщика учетных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счет многофакторной аутентификации.
Multifactor — система двухфакторной аутентификации и контроля доступа для любого удаленного подключения.
Инструкции для других протоколов и провайдеров идентификации:
Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учетных записей:
Active Directory
Yandex
Локальные пользователи Мультифактор (только e-mail)
Другие внешние OAUTH поставщики учетных записей
МТС Линк устанавливает доверие с Мультифактором, получая его публичный сертификат и адрес единого входа (Sigle Sign-On).
При запросе на аутентификацию МТС Линк переадресует пользователя на страницу Мультифактора.
Мультифактор отправляет пользователя на страницу поставщика учетных записей.
После подтверждения первого фактора Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в МТС Линк.
МТС Линк предоставляет пользователю доступ к запрашиваемому ресурсу.
1. В личном кабинете в разделе "Ресурсы" нажмите "Добавить ресурс" и выберите "OAuth / OpenID приложение":
Далее введите следующее:
в поле "Title" — произвольное название.
в поле "URL" — mts-link.ru (опционально).
Поставщик учетных записей:
Active Directory — для учетных записей домена Active Directory;
Google — для использования учетных записей Google;
Yandex — для использования учетных записей Яндекса;
Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);
Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе "Настройки" -> "Поставщики учетных записей".
если выбран поставщик учетных записей Active Directory, то появится поле "Адрес портала", в котором укажите адрес (внутренний или внешний) предварительно настроенного портала самообслуживания Мультифактор.
2. Сохраните настройки.
3. Скопируйте значения Client ID и Client Secret. Они понадобятся нам для дальнейшей настройки на стороне МТС Линк:
Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO.
ВАЖНО: без подтвержденного домена функционал работать не будет!
1. В разделе "Настройки SSO" личного кабинета МТС Линк выбираем протокол OAuth, Multifactor в качестве SSO провайдера и вставляем данные из пункта 3 первого шага настроек в соответствующие поля — "Идентификатор приложения (Client id)" и "Секретный ключ приложения (Client secret)":
2. После нажатия на кнопку "Далее" платформа предоставит адрес:
Его нужно ввести на стороне Мультифактора в поле "Авторизованные URI переадресации" и нажать на "Сохранить":
После выполнения всех необходимых действий можно проверить их корректность, нажав на кнопку "Проверить работу" в подразделе "Настройки SSO" личного кабинета:
Если ошибка в значении Client id, вас перебросит на страницу Мультифактора с сообщением "Invalid client_id".
Если ошибка в значении Client secret, будет выводиться сообщение следующего вида:
Проверьте и введите корректные значения Client id и/или Client secret!
Если не была подтверждена почта на стороне Мультифактора, то будет выводится ошибка:
Подтвердите почту пользователя Мультифактора!
Если не был подтвержден домен, то будет выводится следующая ошибка:
Проверьте правильность подтверждения домена!
Если все данные были введены правильно, появится сообщение об успешной проверке:
Готово!