Перейти к основному содержимому

Узлы аутентификации

На каждом виртуальном сервере можно задать, какие целевые ресурсы будут доступны учетным записям из этого виртуального сервера. Для этого необходимо назначить серверу узлы аутентификации. Каждому узлу соответствует свой IP-адрес.

Когда пользователь обращается к целевому ресурсу, агент этого ресурса обращается к сервису аутентификации. Сервис определяет узел аутентификации по IP-адресу и направляет запрос к связанному с узлом виртуальному серверу. Этот запрос обрабатывается в соответствии с политиками, заданными на этом виртуальном сервере.

Добавление и изменение

Чтобы добавить новый узел аутентификации или изменить существующий:

  1. Войдите в консоль с учетными данными оператора виртуального сервера.

  2. Выберите сервер на вкладке Виртуальные серверы.

  3. Выберите вкладку второго ряда Настройки.

  4. Раскройте панель Узлы аутентификации.

  5. Нажмите кнопку Добавить или Изменить.

  6. Введите или измените условное имя узла аутентификации и его IP-адрес.

    Важно

    Если между узлом аутентификации и сервером аутентификации используется трансляция сетевых адресов (NAT), то в качестве IP-адреса узла аутентификации указывайте интерфейс маршрутизатора NAT, через который приходят запросы на сервер аутентификации.

  7. Нажмите Сохранить.

Разделение доступа к узлам

По умолчанию узел аутентификации доступен только пользователям виртуального сервера, в котором этот узел добавлен. Однако иногда требуется предоставить узел аутентификации также пользователям из дочерних аккаунтов. В этом случае указывайте аккаунты, пользователям которых будет доступна аутентификация через этот узел.

Примечание

Поделиться узлами аутентификации может только менеджер аккаунта виртуального сервера, в который добавлены эти узлы, с дополнительной ролью оператора этого виртуального сервера.

Однако пользователи из разных виртуальных серверов могут иметь совпадающие логины (так как виртуальные серверы управляются автономно), и для того чтобы различать этих пользователей и определять нужный виртуальный сервер, сервис MFA поддерживает два режима разделения узлов.

С помощью суффикса/префикса

При таком способе разделения домен добавляется к идентификатору пользователя до или после него. Каждый домен сопоставляется со своим аккаунтом. В качестве домена можно использовать суффиксы UPN, домены Windows NT или любые другие произвольно выбранные администратором строки.

Чтобы предоставить пользователям других виртуальных серверов доступ к узлу аутентификации по суффиксу/префиксу:

  1. Войдите в консоль с учетными данными оператора виртуального сервера.
  2. На вкладке Виртуальные серверы выберите сервер, узлами которого нужно поделиться.
  3. Выберите вкладку второго ряда Настройки.
  4. Раскройте панель Узлы аутентификации и выберите узел.
  5. Справа от имени узла нажмите Изменить и перейдите на вкладку Общие узлы.
  6. Перенесите из списка Доступные аккаунты в список Разделить узел аутентификации с те аккаунты, пользователи которых смогут использовать этот узел аутентификации.
  7. В левом верхнем углу нажмите Изменить и выберите Общий узел с разделителем.
  8. Выберите символ разделителя из списка.
  9. Выберите положение идентификатора (пример: До доменаuser@domain1.ru, После доменаDOMAIN1\user).
  10. Последовательно выберите аккаунты, пользователям которых вы хотите предоставить доступ.
  11. Задайте название домена аутентификации для каждого из этих аккаунтов и нажмите Добавить.

Без суффикса/префикса

Этот способ используется, если пользователи сопоставляются с виртуальными серверами не по доменам, а только по логинам. Так как в сервисе MFA могут быть учетные записи с совпадающими логинами, то при этом способе нужная учетная запись пользователя определяется порядком перебора виртуальных серверов аккаунтов, совместно использующих узел аутентификации.

Чтобы предоставить пользователям других виртуальных серверов доступ к узлу аутентификации без суффикса/префикса:

  1. Войдите в консоль с учетными данными оператора виртуального сервера.
  2. На вкладке Виртуальные серверы выберите сервер, узлами которого нужно поделиться.
  3. Выберите вкладку второго ряда Настройки.
  4. Раскройте панель Узлы аутентификации и выберите узел.
  5. Справа от имени узла нажмите Изменить и перейдите на вкладку Общие узлы.
  6. Перенесите из списка Доступные аккаунты в список Разделить узел аутентификации с те аккаунты, пользователи которых смогут использовать этот узел аутентификации.
  7. В левом верхнем углу нажмите Изменить и выберите Общий узел.
  8. Определите порядок, в котором сервер аутентификации будет перебирать виртуальные серверы при поиске пользователя.
  9. Нажмите Сохранить.