[Документация Yandex Cloud](../../../index.md) > [Yandex Identity Hub](../../index.md) > [Пошаговые инструкции](../index.md) > Аутентификация > Управление политиками аутентификации > Изменить политику аутентификации

# Изменить политику аутентификации

{% note info %}

Функциональность находится на стадии [Preview](../../../overview/concepts/launch-stages.md).

{% endnote %}

[Политики аутентификации](../../concepts/authentication-policy.md) — это инструмент Yandex Identity Hub, позволяющий гибко настраивать доступ [пользователей](*user_accounts) и [групп пользователей](*user_groups) к [приложениям](*applications) Yandex Identity Hub, запрещая или разрешая аутентификацию в зависимости от условий, заданных в области применения политики.

[*user_groups]: Пользователей Yandex Identity Hub можно объединять в группы, что упрощает управление доступом в Yandex Cloud. Подробнее читайте в разделе [Группы пользователей](../../concepts/groups.md).

[*applications]: SAML- и OIDC-приложения Yandex Identity Hub позволяют пользователям Yandex Cloud аутентифицироваться в сервисах сторонних поставщиков услуг. Подробнее читайте в разделе [Приложения в Yandex Identity Hub](../../concepts/applications/index.md).

[*user_accounts]: В Yandex Cloud используются аккаунты пользователей на Яндексе, а также федеративные и локальные пользовательские аккаунты. Подробнее читайте в разделе [Аккаунты в Yandex Cloud](../../../iam/concepts/users/accounts.md).

[*organization]: Организация — это высший ресурс в иерархии ресурсной модели Yandex Cloud, который объединяет ресурсы всех остальных сервисов, а также используется для управления пользователями и параметрами их аутентификации и авторизации. Подробнее читайте в разделе [Организация](../../concepts/organization.md).

Управлять политиками аутентификации может пользователь, которому назначена [роль](*org_manager_admin) `organization-manager.admin` или выше.

[*org_manager_admin]: Роль `organization-manager.admin` позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, пользователями и их группами, а также правами доступа пользователей к организации и ресурсам в ней. Подробнее читайте в разделе [Управление доступом в Yandex Identity Hub](../../security/index.md#organization-manager-admin).

Чтобы изменить политику аутентификации:

{% list tabs group=instructions %}

- Интерфейс Cloud Center {#cloud-center}

  1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
  1. На панели слева выберите ![shield](../../../_assets/console-icons/shield.svg) **Настройки безопасности** и перейдите на вкладку **Политики аутентификации**.
  1. В строке с нужной политикой аутентификации нажмите значок ![ellipsis](../../../_assets/console-icons/ellipsis.svg) и выберите ![pencil](../../../_assets/console-icons/pencil.svg) **Редактировать**.
  1. (Опционально) В поле **Имя** измените [имя](*policy_name) политики.
  1. (Опционально) В поле **Описание** измените описание политики.
  1. (Опционально) В поле **Метки** задайте [метки](*labels) для политики.
  1. (Опционально) Отключите или включите опцию **Политика активна**, чтобы соответственно деактивировать или активировать политику.
  1. (Опционально) Настройте **Условия** политики:

      {% note info %}
      
      Условия, заданные в политике, при проверке возможности аутентификации пользователя применяются с логикой `И`.
      
      {% endnote %}

      1. В блоке **Пользователи и группы** укажите пользователей или группы, в отношении которых будет применяться политика:
         
         1. В поле **Включать** выберите:
         
             * `Всех пользователей` — чтобы создаваемая политика аутентификации применялась ко всем пользователям [организации](*organization).
             * `Выбранных` — чтобы политика применялась к выбранным пользователям и/или группам пользователей.
         
                 Нажмите кнопку **Добавить**, чтобы выбрать определенных пользователей или группы пользователей, к которым будет применяться политика. При необходимости воспользуйтесь строкой поиска.
         1. (Опционально) В поле **Исключать** нажмите кнопку **Добавить**, чтобы указать определенных пользователей или группы пользователей, к которым не будет применяться политика.
         
             {% note info %}
         
             Одинаковые пользователи или группы не могут быть заданы одновременно в списках включения и исключения.
         
             {% endnote %}
      1. В блоке **Приложения** укажите [приложения](*applications), аутентификацией в которых будет управлять создаваемая политика:
         
         1. В поле **Включать** выберите:
         
             * `Все приложения` — чтобы создаваемая политика применялась к аутентификации пользователей во всех приложениях организации.
             * `Выбранных` — чтобы политика применялась к аутентификации только в выбранных приложениях.
         
                 В появившемся поле выберите нужные приложения. При необходимости воспользуйтесь строкой поиска по имени или идентификатору приложения.
         1. (Опционально) В поле **Исключать** выберите приложения, к аутентификации в которых не будет применяться политика.
         
             {% note info %}
         
             Одинаковые приложения не могут быть заданы одновременно в списках включения и исключения.
         
             {% endnote %}
      1. В блоке **Сети и IP-адреса** задайте IP-адреса, с которых создаваемая политика будет разрешать или запрещать аутентификацию пользователей:
         
         1. В поле **Включать** выберите:
         
             * `Любые сети` — чтобы создаваемая политика применялась к событиям аутентификации пользователей с любых IP-адресов.
             * `Выбранных` — чтобы создаваемая политика применялась к событиям аутентификации с IP-адресов, относящихся к заданным диапазонам.
         
                 В появившемся поле введите один или несколько диапазонов IPv4- или IPv6-адресов в нотации [CIDR](https://ru.wikipedia.org/wiki/Бесклассовая_адресация).
         1. (Опционально) В поле **Исключать** задайте диапазоны IP-адресов, к событиям аутентификации с которых не будет применяться политика.
         
             {% note info %}
         
             Одинаковые диапазоны IP-адресов не могут быть заданы одновременно в списках включения и исключения.
         
             {% endnote %}
      1. В блоке **Результат** выберите действие, которое будет применено к событию аутентификации, соответствующему заданным в политике условиям.
         
         В настоящее время политики аутентификации позволяют только запрещать аутентификацию.
      1. Нажмите кнопку **Сохранить**.

{% endlist %}

#### Полезные ссылки {#see-also}

* [Приложения в Yandex Identity Hub](../../concepts/applications/index.md)
* [Политики аутентификации в Yandex Identity Hub](../../concepts/authentication-policy.md)
* [Создать политику аутентификации](create.md)
* [Активировать и деактивировать политику аутентификации](activate-deactivate.md)
* [Удалить политику аутентификации](delete.md)

[*policy_name]: Требования к имени:
* длина — от 3 до 63 символов;
* может содержать строчные буквы латинского алфавита, цифры и дефисы;
* первый символ — буква, последний — не дефис.

[*labels]: Метки — это пары `ключ:значение`, которые можно использовать для разделения ресурсов на логические группы. Подробнее читайте в разделе [Метки ресурсов сервисов](../../../resource-manager/concepts/labels.md).