Протокол OAUTH: настройка SSO провайдера Multifactor

Настраивайте единый вход (Single Sign-On) в МТС Линк с двухфакторной аутентификацией Multifactor

МТС Линк поддерживает федеративную аутентификацию по протоколу OAUTH с использованием Мультифактора в качестве поставщика учетных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счет многофакторной аутентификации.


Multifactor — система двухфакторной аутентификации и контроля доступа для любого удаленного подключения.


Инструкции для других протоколов и провайдеров идентификации:

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учетных записей:

  • Active Directory

  • Google

  • Yandex

  • Локальные пользователи Мультифактор (только e-mail)

  • Другие внешние OAUTH поставщики учетных записей


Принцип работы

  1. МТС Линк устанавливает доверие с Мультифактором, получая его публичный сертификат и адрес единого входа (Sigle Sign-On).

  2. При запросе на аутентификацию МТС Линк переадресует пользователя на страницу Мультифактора.

  3. Мультифактор отправляет пользователя на страницу поставщика учетных записей.

  4. После подтверждения первого фактора Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в МТС Линк.

  5. МТС Линк предоставляет пользователю доступ к запрашиваемому ресурсу.


Как настроить

Шаг 1. Настраиваем Мультифактор

1. В личном кабинете в разделе "Ресурсы" нажмите "Добавить ресурс" и выберите "OAuth / OpenID приложение":


Далее введите следующее:

  • в поле "Title" — произвольное название.

  • в поле "URL" — mts-link.ru (опционально).

  • Поставщик учетных записей:

    • Active Directory — для учетных записей домена Active Directory;

    • Google — для использования учетных записей Google;

    • Yandex — для использования учетных записей Яндекса;

    • Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);

    • Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе "Настройки" -> "Поставщики учетных записей".

  • если выбран поставщик учетных записей Active Directory, то появится поле "Адрес портала", в котором укажите адрес (внутренний или внешний) предварительно настроенного портала самообслуживания Мультифактор.

2. Сохраните настройки.

3. Скопируйте значения Client ID и Client Secret. Они понадобятся нам для дальнейшей настройки на стороне МТС Линк:


Шаг 2. Подтверждаем домен

Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO.

ВАЖНО: без подтвержденного домена функционал работать не будет!


Шаг 3. Настраиваем связь МТС Линк и Мультифактора

1. В разделе "Настройки SSO" личного кабинета МТС Линк выбираем протокол OAuth, Multifactor в качестве SSO провайдера и вставляем данные из пункта 3 первого шага настроек в соответствующие поля — "Идентификатор приложения (Client id)" и "Секретный ключ приложения (Client secret)":

2. После нажатия на кнопку "Далее" платформа предоставит адрес:
Его нужно ввести на стороне Мультифактора в поле "Авторизованные URI переадресации" и нажать на "Сохранить":


Шаг 4. Проверяем корректность настроек SSO перед началом использования

После выполнения всех необходимых действий можно проверить их корректность, нажав на кнопку "Проверить работу" в подразделе "Настройки SSO" личного кабинета:


Если ошибка в значении Client id, вас перебросит на страницу Мультифактора с сообщением "Invalid client_id".


Если ошибка в значении Client secret, будет выводиться сообщение следующего вида:

Проверьте и введите корректные значения Client id и/или Client secret!


Если не была подтверждена почта на стороне Мультифактора, то будет выводится ошибка:

Подтвердите почту пользователя Мультифактора!


Если не был подтвержден домен, то будет выводится следующая ошибка:

Проверьте правильность подтверждения домена!


Если все данные были введены правильно, появится сообщение об успешной проверке:


Готово!

👆 На этом пока всё