[Документация Yandex Cloud](../../index.md) > [Yandex Identity Hub](../index.md) > Концепции > Политики аутентификации

# Политики аутентификации в Yandex Identity Hub

{% note info %}

Функциональность находится на стадии [Preview](../../overview/concepts/launch-stages.md).

{% endnote %}

_Политики аутентификации_ — это инструмент Yandex Identity Hub, позволяющий гибко настраивать доступ [пользователей](*user_accounts) и [групп пользователей](*user_groups) к [приложениям](*applications) Yandex Identity Hub, [запрещая или разрешая](#action) аутентификацию в зависимости от условий, заданных в [области применения](#conditions) политики.

В настоящий момент управлять политиками аутентификации можно в [интерфейсе Cloud Center](https://kz.center.yandex.cloud/organization). [Создавать](../operations/authentication-policies/create.md), [изменять](../operations/authentication-policies/update.md), [активировать](../operations/authentication-policies/activate-deactivate.md#activate), [деактивировать](../operations/authentication-policies/activate-deactivate.md#deactivate) и [удалять](../operations/authentication-policies/delete.md) политики аутентификации может пользователь, которому назначена [роль](*org_manager_admin) `organization-manager.admin` или выше.

## Область применения политики {#conditions}

Политика аутентификации позволяет устанавливать следующие типы условий, при которых эта политика будет применяться к событиям аутентификации пользователя:

* [пользователи и группы пользователей](#users-and-groups);
* [приложения](#applications);
* [сети и IP-адреса](#ip-addresses).

{% note info %}

Условия, заданные в политике, при проверке возможности аутентификации пользователя применяются с логикой `И`.

{% endnote %}

### Пользователи и группы пользователей {#users-and-groups}

В политике аутентификации вы можете выбрать как всех пользователей [организации](*organization) Yandex Identity Hub, так и определенных пользователей или группы пользователей, к которым будет применяться политика.

Вы можете исключить из политики определенных пользователей или группы пользователей. При этом одинаковые пользователи или группы не могут быть заданы одновременно в списках включения и исключения.

### Приложения {#applications}

В политике аутентификации вы можете выбрать как все приложения, созданные в организации Yandex Identity Hub, так и определенные приложения, к аутентификации в которых будет применяться политика.

Вы можете исключить из политики определенные приложения.

### Сети и IP-адреса {#ip-addresses}

В политике аутентификации вы можете выбрать как все возможные IP-адреса, так и определенные диапазоны IPv4- или IPv6-адресов в нотации [CIDR](https://ru.wikipedia.org/wiki/Бесклассовая_адресация), к аутентификации с которых будет применяться политика.

Вы можете исключить из политики определенные диапазоны адресов. При этом одинаковые диапазоны IP-адресов не могут быть заданы одновременно в списках включения и исключения.

## Результат применения политики {#action}

В настоящее время политики аутентификации позволяют запрещать аутентификацию пользователя, если событие аутентификации соответствует заданным в политике [условиям](#conditions).

## Статусы политики {#status}

Политика аутентификации может быть активна (статус `Active`) и неактивна (статус `Inactive`). Неактивная политика не применяется к событиям аутентификации пользователей.

#### Полезные ссылки {#see-also}

* [Создать политику аутентификации](../operations/authentication-policies/create.md)
* [Активировать и деактивировать политику аутентификации](../operations/authentication-policies/activate-deactivate.md)
* [Изменить политику аутентификации](../operations/authentication-policies/update.md)
* [Удалить политику аутентификации](../operations/authentication-policies/delete.md)
* [Приложения в Yandex Identity Hub](applications/index.md)

[*organization]: Организация — это высший ресурс в иерархии ресурсной модели Yandex Cloud, который объединяет ресурсы всех остальных сервисов, а также используется для управления пользователями и параметрами их аутентификации и авторизации. Подробнее читайте в разделе [Организация](organization.md).

[*user_groups]: Пользователей Yandex Identity Hub можно объединять в группы, что упрощает управление доступом в Yandex Cloud. Подробнее читайте в разделе [Группы пользователей](groups.md).

[*applications]: SAML- и OIDC-приложения Yandex Identity Hub позволяют пользователям Yandex Cloud аутентифицироваться в сервисах сторонних поставщиков услуг. Подробнее читайте в разделе [Приложения в Yandex Identity Hub](applications/index.md).

[*user_accounts]: В Yandex Cloud используются аккаунты пользователей на Яндексе, а также федеративные и локальные пользовательские аккаунты. Подробнее читайте в разделе [Аккаунты в Yandex Cloud](../../iam/concepts/users/accounts.md).

[*org_manager_admin]: Роль `organization-manager.admin` позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, пользователями и их группами, а также правами доступа пользователей к организации и ресурсам в ней. Подробнее читайте в разделе [Управление доступом в Yandex Identity Hub](../security/index.md#organization-manager-admin).