[Документация Yandex Cloud](../../index.md) > [Yandex Identity Hub](../index.md) > Концепции > MFA

# Многофакторная аутентификация в Yandex Identity Hub

Yandex Identity Hub позволяет настроить [многофакторную аутентификацию](https://ru.wikipedia.org/wiki/Многофакторная_аутентификация) (MFA) для [федеративных](../../iam/concepts/users/accounts.md#saml-federation) и [локальных](../../iam/concepts/users/accounts.md#local) пользовательских аккаунтов.

MFA дает возможность повысить степень защищенности учетных записей пользователей за счет использования в процессе аутентификации в дополнение к паролю еще одного фактора — одноразового кода (в приложении-аутентификаторе по стандарту [TOTP](https://ru.wikipedia.org/wiki/TOTP) или в SMS) или средства аутентификации по стандарту [WebAuthn](https://en.wikipedia.org/wiki/WebAuthn) ([FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2)).

## Политики MFA {#mfa-policies}

Требования многофакторной аутентификации, применяемые к пользователям, настраиваются в _политиках MFA_ и включают в себя:
* Требования к типу применяемых пользователем [факторов MFA](#mfa-factors).
* Требования к количеству времени после регистрации, в течение которого пользователь должен добавить дополнительный фактор аутентификации.

    Если в течение заданного срока пользователь не добавит второй фактор, он не сможет самостоятельно пройти аутентификацию в Yandex Cloud.
    
    Чтобы пользователь, пропустивший установленный срок добавления второго фактора, смог аутентифицироваться, администратор организации должен [сбросить дату верификации](../operations/mfa/manage-verification.md#reset-verification-date) этого пользователя, после чего течение периода, заданного в поле **Срок создания** политики MFA, начнется заново.
    
    Сбросить дату верификации пользовательского аккаунта может пользователь, которому назначена [роль](../security/index.md) `organization-manager.federations.userAdmin` или выше (для федеративного аккаунта) или `organization-manager.userpools.userAdmin` или выше (для локального аккаунта).
    
    {% note info %}
    
    Информацию о дате последней верификации пользователя с помощью фактора MFA можно посмотреть на вкладке **Обзор** страницы с информацией о пользователе в интерфейсе Yandex Identity Hub в Cloud Center.
    
    {% endnote %}

* Требования к периодичности повторных проверок дополнительного фактора аутентификации.

    После истечения заданного времени пользователю потребуется повторно аутентифицироваться с использованием дополнительного фактора.

[Создать](../operations/mfa/create-policy.md) политику MFA можно в интерфейсе [Yandex Identity Hub](https://kz.center.yandex.cloud/organization) в Cloud Center.

Чтобы политика MFA применялась к определенным учетным записям пользователей, в целевые группы политики требуется [явно добавить](../operations/mfa/add-users.md) нужных пользователей или [группы](groups.md), в которые входят эти пользователи. При необходимости отдельных пользователей или группы можно [исключить из действия политики](../operations/mfa/excluded-audience.md), не удаляя их из целевых групп.

{% note info %}

В целевые группы политики MFA вы можете добавлять [пользовательские аккаунты](../../iam/concepts/users/accounts.md) любого типа, но применяться политика будет только к [федеративным](../../iam/concepts/users/accounts.md#saml-federation) и [локальным](../../iam/concepts/users/accounts.md#local) аккаунтам пользователей.

Если участниками группы, добавленной в политику MFA, являются пользователи с аккаунтами различных типов, эта политика будет применяться только к пользователям с федеративными и локальными аккаунтами.

{% endnote %}

Политика MFA может находиться в активном (`Active`) и неактивном (`Inactive`) статусе. 

Активную политику можно временно [деактивировать](../operations/mfa/deactivate-reactivate-policy.md#deactivate-policy), в результате чего она перейдет в статус `Inactive`, а к пользовательским аккаунтам, добавленным в целевые группы политики, перестанут применяться требования этой политики по использованию дополнительного фактора аутентификации. Неактивную политику можно повторно [активировать](../operations/mfa/deactivate-reactivate-policy.md#reactivate-policy), и ее требования вновь начнут применяться к добавленным пользовательским аккаунтам.

Если пользователь добавлен в целевые группы одновременно нескольких политик MFA, к его аккаунту будут применяться наиболее строгие из заданных в этих политиках требований как по факторам аутентификации, так и по срокам и периодичности прохождения проверок дополнительного фактора.

Управлять политиками MFA может пользователь, которому назначена [роль](../security/index.md#organization-manager-editor) `organization-manager.editor` или выше.

## Факторы MFA {#mfa-factors}

При первой аутентификации в Yandex Cloud федеративные и локальные пользователи, добавленные в целевые группы политики MFA, должны настроить дополнительную защиту своего аккаунта, пройдя _верификацию_ — подтвердив свою личность дополнительным способом (фактором) аутентификации. Факторы аутентификации, которые будет применять пользователь, зависят от возможностей устройства пользователя, а также от настроек строгости факторов, заданных в политике MFA:

* `Любые методы`. В этом варианте пользователи должны будут выбрать один из следующих стандартов дополнительного фактора аутентификации:

    * [WebAuthn](https://en.wikipedia.org/wiki/WebAuthn) ([FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2)). Дополнительным фактором аутентификации будут выступать, например, аппаратные ключи, такие как [Рутокен](https://www.rutoken.ru/) или [YubiKey](https://developers.yubico.com/Passkeys/), аутентификаторы [Passkeys](https://www.passkeys.com/), платформенные аутентификаторы, такие как [Windows Hello](https://www.microsoft.com/en-us/windows/tips/windows-hello), и т.п. Подробнее о [поддержке WebAuthn браузерами и операционными системами](mfa.md#webauthn-support).

        {% note warning %}

        Расширения браузера, у которых есть возможность управлять вводом паролей, могут вызывать ошибки при вводе дополнительных факторов. При возникновении ошибок рекомендуется отключать такие расширения.

        {% endnote %}

    * [TOTP](https://ru.wikipedia.org/wiki/TOTP). Дополнительным фактором аутентификации будут выступать одноразовые коды, генерируемые специальными приложениями-аутентификаторами.
    * [SMS](https://ru.wikipedia.org/wiki/SMS). Дополнительным фактором аутентификации будут выступать одноразовые коды, отправляемые в коротких сообщениях на заданный номер мобильного телефона.

        {% note info %}
        
        Функциональность SMS в качестве фактора аутентификации находится на стадии [Preview](../../overview/concepts/launch-stages.md) и доступна только клиентам с [тарифицируемым лимитом](../pricing.md#prices) пользователей Yandex Identity Hub. Чтобы получить доступ, обратитесь в [техническую поддержку](https://kz.center.yandex.cloud/support) или к вашему аккаунт-менеджеру.
        
        {% endnote %}

* `Любые, кроме SMS`. В этом варианте пользователь должен будет использовать факторы аутентификации по стандартам [WebAuthn](https://en.wikipedia.org/wiki/WebAuthn) или [TOTP](https://ru.wikipedia.org/wiki/TOTP).
* `Устойчивые к фишингу`. В этом варианте пользователь должен будет использовать только факторы аутентификации по стандарту [WebAuthn](https://en.wikipedia.org/wiki/WebAuthn) как наиболее безопасные.

Пользователи должны повторно подтверждать свою личность с помощью выбранного дополнительного фактора аутентификации с периодичностью, [заданной](../operations/mfa/create-policy.md) в поле **Время жизни** настроек политики MFA.

При необходимости администратор организации может [удалять](../operations/mfa/manage-verification.md#remove-mfa-factor) существующие факторы аутентификации пользователей. Это может потребоваться, например, если пользователь утратил доступ к приложению-аутентификатору или потерял аппаратный ключ, которые использовались для подтверждения личности.

## Поддержка WebAuthn браузерами и операционными системами {#webauthn-support}

Для работы WebAuthn требуется поддержка со стороны браузера и операционной системы. В таблице указаны браузеры и версии операционных систем, с которых начинается поддержка WebAuthn. В более поздних версиях поддержка также присутствует.

#|
|| **Браузер** | **Android 14** | **iOS 16** | **Windows 10** | **macOS 13 (Ventura)** | **Desktop Linux** ||
|| **Chromium**^1^ | Полная поддержка | Полная поддержка | Полная поддержка^2^ | Полная поддержка | Только аппаратные ключи ||
|| **Safari** | Нет информации | Полная поддержка | Нет информации | Полная поддержка | Нет информации ||
|| **Firefox** | Полная поддержка^3^ | Полная поддержка | Полная поддержка^2^ | Полная поддержка^4^ | Только аппаратные ключи ||
|#

^1^ Информация относится также к Яндекс Браузеру, Google Chrome, Opera, Vivaldi, Brave и Microsoft Edge, которые работают на базе [Chromium](https://ru.wikipedia.org/wiki/Chromium).
^2^ Для платформенных аутентификаторов только с Windows Hello.
^3^ На отдельных устройствах могут быть ограничения по биометрии.
^4^ Платформенные методы (Touch ID) работают с ограничениями из‑за особенностей движка Gecko.

#### Полезные ссылки {#see-also}

* [Создать политику MFA](../operations/mfa/create-policy.md)
* [Изменить политику MFA](../operations/mfa/update-policy.md)
* [Применить политику MFA к пользователям](../operations/mfa/add-users.md)
* [Управлять исключениями политики MFA](../operations/mfa/excluded-audience.md)
* [Активировать и деактивировать политику MFA](../operations/mfa/deactivate-reactivate-policy.md)
* [Удалить политику MFA](../operations/mfa/delete-policy.md)
* [Удалить MFA-фактор и сбросить дату верификации](../operations/mfa/manage-verification.md)
* [Двухфакторная аутентификация: защита от взлома в эпоху цифровых угроз](https://yandex.cloud/ru/blog/2fa)
* [Чеклист безопасности аутентификации и авторизации](../../security/domains/iam-checklist.md)