VK Cloud logo

Екі факторлы аутентификацияны баптау

Cloud Desktop сервисі қашықтағы жұмыс үстелдеріне қосылған кезде пайдаланушыларды аутентификациялаудың екі әдісін қолдайды:

  • AD немесе LDAP пайдаланушылар каталогы қызметінің көмегімен аутентификациялау. Әдепкі бойынша пайдаланылады.
  • SAML сервисінің көмегімен екі факторлы аутентификация (тек Windows ОС басқаруындағы жұмыс үстелі пулдары үшін қолжетімді).

Cloud Desktop сервисінің барлық жұмыс үстелдері үшін бір уақытта пайдаланушыларды аутентификациялаудың бір ғана тәсілі пайдаланылады. Қажет болған жағдайда аутентификация тәсілдерінің арасында ауысуға болады. Бұл ретте қызметтің басқа компоненттерін: желіні және пайдаланушылар каталогына қосылуды қайта баптау қажет болмайды.

Cloud Desktop ішінде SAML аутентификация сервисін пайдалану үшін дайындық әрекеттерін орындаңыз:

  1. AD немесе LDAP пайдаланушылар каталогы қызметін.
  2. SAML идентификация провайдерін каталог қызметімен бір доменге қосыңыз.

  3. Cloud Desktop сервисімен интеграциялау үшін SAML идентификация провайдерін дайындаңыз. Баптау тәртібі таңдалған SAML-провайдерге байланысты.

SAML сервисінің көмегімен екі факторлы аутентификацияны баптау үшін:

  1. Өтіңіз VK Cloud жеке кабинетіне.

  2. Cloud DesktopҚызмет баптаулары бөліміне өтіңіз.

  3. (Опционалды) SAML қойындысында SAML қосу опциясын қосыңыз.

    Егер опция өшірілген болса, пайдаланушыларды аутентификациялау AD немесе LDAP каталогы қызметінің көмегімен орындалады.

  4. SAML қойындысында параметрлерді орнатыңыз:

    • Клиент ID: SAML аутентификация сервисіндегі клиенттік қолданбаның бірегей идентификаторын көрсетіңіз.

    • Метадеректер URL: SAML интеграциясына арналған метадеректері бар XML-файл орналасқан URL-мекенжайын көрсетіңіз.

    • SSL тексеруі: сертификаттардың бүкіл тізбегінің валидтілігін және кері қайтарып алу тізімдерінде жоқ екенін тексеру үшін опцияны қосыңыз. Опция өшірілген кезде тек SSL-сертификаттың бар-жоғы тексеріледі.

    • Биндинг түрі: SAML сервисі аутентификация сұрауына жауапты жіберу тәсілін таңдаңыз.

    • Response Binding Type: SAML авторизациясын сұраған сервиске пайдаланушыны кері бағыттау тәсілін таңдаңыз.

    • Name ID форматы: идентификация провайдерлері мен қызмет провайдерлеріндегі SAML атау идентификаторларын сәйкестендіру пішімін таңдаңыз. Келесі мәндер қолжетімді:

      • Unspecified: NameID форматы тікелей SAML аутентификация сұрауында көрсетіледі.
      • NotConfigured: NameID үшін формат бапталмаған және сұрауда берілмейді.
      • Email address: NameID пайдаланушының электрондық пошта мекенжайымен сәйкес келеді, мысалы john@company.com.
      • Transient: SAML сервисі пайдаланушыны берілген NameID көмегімен сәйкестендіріп, тек бір сеансқа жарамды қол жеткізуді береді.
      • Persistent: берілген NameID SAML сервисінде тіркеледі және бірнеше сеанс үшін пайдаланылады.
      • X509SubjectName: NameID X.509 сертификатындағы пайдаланушы атымен сәйкес келеді, мысалы CN=john,O=Company Ltd.,C=US.
      • WindowsDomainQualifiedName: NameID FQDN форматындағы пайдаланушы атымен сәйкес келеді, мысалы CompanyDomain\John.
      • KerberosPrincipalName: NameID Kerberos хаттамасындағы принципал атымен сәйкес келеді, мысалы john@realm.
      • EntityIdentifier: NameID URI форматына ие және SAML қызмет провайдерін идентификациялау үшін пайдаланылады.
    • Group Attr Name: SAML сервисі қайтаратын және соның негізінде жүйе қол жеткізу беру туралы шешім қабылдайтын пайдаланушы атрибутының түрін көрсетіңіз. Атрибут түрі кез келген болуы мүмкін. Әдетте memberOf мәні көрсетіледі, яғни қол жеткізу пайдаланушының қай топқа тиесілі екеніне байланысты беріледі.

  5. Сақтау батырмасын басыңыз.