Сколько счетов может быть у ип: Можно ли иметь два или несколько расчетных счетов ИП и ООО

Содержание

Можно ли иметь два или несколько расчетных счетов ИП и ООО

Согласно законодательству РФ, любой индивидуальный предприниматель или ООО вправе одновременно вести 2 и более счетов. Иногда это удобно для бизнеса, а в некоторых случаях — острая необходимость. Владельцы своего дела могут открыть несколько счетов как в одном банке, так и в разных.

В статье мы разберём, можно ли и каким образом вести учёт при наличии счетов в разных банках, как открыть второй и последующие счета, а также рассмотрим ситуации, в которых бизнесменам может пригодиться нескольких счетов.

Сколько расчетных счетов может иметь организация

Посмотрите короткое видео и сразу станет все понятно:

Закон обязывает всех юридических лиц заводить расчётные счета. Это необходимо не только для взаимодействия с деловыми партнёрами, но и для оплаты обязательных платежей в бюджет. К тому же, операции по счёту — важный источник информации о деятельности ООО для налогового органа.

Начинающие бизнесмены часто задумываются, сколько они вправе открыть счетов в банке.

Налоговый Кодекс не запрещает юридическим лицам иметь несколько расчётных счетов. Их может быть и 2, и 3, и 100 — в зависимости от удобств для ведения бизнеса. Какое количество счетов будет открыто — решает руководитель, и если он считает, что одним счётом не обойтись, то никто не может запретить ему открыть их 5.

Нет ограничений и по количеству банков, в которых открываются счета. Для примера, вы можете открыть два счёта в одной кредитной организации и ещё 10 в трёх других банках.

Главное, подобрать для себя оптимальные тарифы на открытие расчетного счета и его обслуживание.

Возможно, при регистрации собственного бизнеса, вы выбрали наиболее низкий тариф в малоизвестном банке в целях экономии бюджета компании. Но вот на выгодное сотрудничество новый контрагент соглашается только, если вы откроете счёт в крупном банке на условиях аккредитива. Чтобы не потерять большую прибыль и долгосрочное взаимодействие с деловым партнёром, многие юридические лица открывают счета в требуемом банке.

При этом, открытие счёта в новом банке никак не влияет на имеющийся, и закрывать старый счёт вы не обязаны. Здесь важно исходить из целесообразности ведения нескольких счетов и их влияния на ежемесячные расходы фирмы.

Может ли ИП иметь два или несколько расчетных счетов

Если вы открыли ИП, то наверняка знаете, что вести расчётный счёт вам не обязательно. Нормативные акты разрешают обходиться без него, однако расширение границ бизнеса чаще всего требует наличия банковского счёта. А в некоторых случаях мало и одного.

ИП вправе заводить 2 и более счета. Они могут быть открыты в одном банке в рамках единого пакета услуг либо в разных кредитных организациях. Закон не запрещает вести операции сразу по нескольким счетам, что в некоторых случаях весьма удобно. Главное, вести учёт грамотно, и своевременно оплачивать налоги, а также платежи во внебюджетные фонды.

Большинство банковских тарифов на обслуживание для ИП предполагают наличие лишь одного расчётного счёта. Открыть дополнительный вы сможете, подключив специальный пакет услуг, в который включено управление несколькими счетами. Если все счета у вас открыты в одном банке, то контролировать операции по ним можно будет в личном кабинете на сайте кредитной организации.

Наличие нескольких счетов в разных банках усложняет процесс контроля за движением денежных средств. Чаще всего для этих целей нанимается отдельный работник, который тщательно следит за операциями по имеющимся счетам и своевременно контролирует руководителя о произошедших изменениях.

Как вести учет с несколькими расчетными счетами

Если организация либо ИП открыли несколько счетов, то необходимо внимательно учитывать доходы и расходы по каждому из счетов. Внутренняя отчётность компании должна быть построена таким образом, чтобы было ясно, с какого счёта поступали или тратились средства. Это важно не только в плане документарного порядка, но и при сдаче отчётности в налоговый орган.

Самым лучшим инструментом на сегодняшний день является интернет-бухгалтерия. Вы можете внести в систему сколько угодно счетов и все операции будут автоматически обрабатываться. Кроме того, в автоматическом режиме будет формироваться налоговая и бухгалтерская отчетность.

Если представители ФНС решат совершить визит в вашу организацию с целью проведения проверки, то у них не должно возникнуть вопросов о ведении учёта по разным счетам. Если вы считаете, что налоговый орган будет проверять операции только по одному счёту, то вы ошибаетесь. Любые статьи расходов и доходов должны быть документально подтверждены.

При отсутствии каких-то бумаг, вам могут назначить штраф. Поэтому лучше своевременно позаботиться о грамотном учёте операций по всем счетам. Если счета открыты в разных банках, то это усложняет задачу. Важно не запутаться в собственных расчётах и чётко разграничить, какие операции будут проводиться по одному счёту, а какие — по другому. Для этого и нужно пользоваться специальными сервисами учета.

Что нужно для открытия расчетного счета

Если вы только зарегистрировали собственный бизнес, то самое время позаботиться об открытии расчётного счёта.

Для начала, выберите нужный банк в нашем рейтинге.

Открыть счет можно двумя способами:

1

Через сайт выбранного банка

. (Более удобный) Большинство современных кредитных организаций, обслуживающих юридических лиц и ИП, предоставляют своим клиентам зарезервировать номер счёта в режиме онлайн. Для это нужно пройти простую регистрацию на сайте банка, после чего с вам свяжется специалист и предложит подъехать в банк для оформления документов.

2

Обратившись в отделение банка. В этом случае вы должны прийти уже с готовым списком документов, выбрать один из предлагаемых банком пакетов услуг на обслуживание счёта и подписать договор.

Чтобы пройти процедуру открытия счёта, понадобится предоставить пакет документов. Он зависит от организационной формы компании, внутренней политики банка и выбранного тарифа. Если вы открываете через некоторое время второй счёт в этом же банке, то кредитная организация вправе повторно запросить часть документов.

При открытии второго счёта в другом банке, вам понадобится собрать новый пакет документов, который может отличаться от требований банка, в котором у вас уже открыт счёт. Некоторые документы имеют свой срок годности, а потому их придётся предоставить вторично.

Советы по выбору второго и последующих расчетных счетов

К этому вопросу нужно подойти ответственно, ведь несколько счетов — это увеличенная оплата за обслуживание, что не во всех случаях выгодно. Мы хотим поделиться с вами советами по эффективному выбору последующих счетов. Следуя им, ваша организация понесёт минимальные затраты, а ведение бизнеса будет более удобным.

Итак, советы по выбору второго и последующих расчётных счетов:

1

Для выбора банка пользуйтесь рейтингом расчетных счетов. Так вы можете сравнить все банковские организации и выбрать идеальный вариант для себя.

2

При открытии счёта в другом банке, постарайтесь найти акции или скидки на тарифы банка (многие крупные банки проводят различные программы, направленные на приток новых клиентов. Они снижают стоимость обслуживания или предлагают в первые месяцы ведение счёта бесплатно. Это значительно сократит ваши расходы).

ТОП-3 банка, где с бесплатным открытием счета и бесплатным обслуживанием;

  1. Банк для предпринимателей «Точка» — первые 3 месяца обслуживание бесплатно;
  2. Тинькофф Банк — первые 2 месяца обслуживание бесплатно;
  3. Модульбанк — есть бесплатный тариф, где полностью бесплатное обслуживание на постоянной основе!

3

Чтобы открытие счёта не заняло много времени, резервируйте его онлайн. Для этого нужно зайти на сайт банка и вбить немного сведений о своей компании. Некоторые банки делают счёт активным сразу же после регистрации (пример таких банков выше). Правда, список операций по нему сильно ограничен. Также кредитные организации предоставляют услугу выездной регистрации документов: к вам приезжает менеджер, вы подписываете договор и пользуетесь счётом без посещения банка.

Зачем ИП или организациям несколько счетов

Ситуаций, в которых бизнесмену может понадобиться несколько счетов, довольно много, и, чаще всего, они связаны с удобством расчётов. Мы приведём наиболее распространённые случаи в таблице.

Ситуация Комментарий
Уплата налогов по разным системам налогообложения Если в вашем бизнесе задействованы две системы обложения налогами, например, ОСНО и ЕНВД, то проще разделить их учёт по разным счетам. Это облегчит процесс сдачи отчётности и предотвратит путаницу в уплате налогов.
Разные торговые точки К примеру, фирма имеет несколько филиалов. Чтобы потоки денежных средств не смешивались, лучше для каждой точки продаж или оказания услуг открыть свой счёт. Так будет удобнее выдавать заработную плату сотрудникам и контролировать прибыль.
В разных банках по разному выгодно! В каком-то банке выгоднее стоимость обслуживания счета, в каком-то есть процент на остаток по счету и можно выгодно хранить деньги. В некоторых банках наиболее выгодно производить валютные операции, а где-то просто дешевле платежные поручения.
Блокировка счёта по решению государственных органов Некоторые предприниматели уверены, что если налоговая заблокировала один счёт за несвоевременную уплату налогов, то можно спокойно пользоваться другим. Это ошибочное мнение. Закон не ограничивает государственные структуры в блокировке счетов и наложении ареста по ним. Следовательно, в подобных ситуациях наличие нескольких счетов никак не спасёт неплательщика обязательств.

Сколько расчетных счетов может быть у ИП

Бизнес в настоящее время – это прекрасная возможность самореализации. Но чтобы вести дела успешно, необходимо знать некоторые нюансы. К примеру, одним из важных вопросов будет следующий: сколько расчетных счетов может быть у ИП?

То, что расчетный счет необходим предпринимателю, не вызывает никаких сомнений. Счет сделает финансовые операции намного удобнее, т.к. исключит многочасовые очереди и походы в банк, предлагая вместо них безналичный расчет. Все, что вам нужно, – это осуществить платеж по готовому образцу в интернете.

Отчетность и расходы на обслуживание

Индивидуальный предприниматель имеет право открывать и использовать в своей деятельности несколько расчетных счетов одновременно. Причем они могут находиться в совершенно разных регионах, так что место постановки на учет не имеет значения. Открывая второй расчетный счет, вовсе не обязательно закрывать первый. Также не требуется и производить все финансовые операции исключительно с нового счета.

Индивидуальный предприниматель имеет право открывать и использовать в своей деятельности несколько расчетных счетов одновременно.

Нужно отметить, что, согласно статье 5 Федерального закона № 52-ФЗ от 2 апреля 2014 года, обязанность уведомлять налоговую инспекцию, Пенсионный фонд и Фонд социального страхования об открытии или закрытии расчетного счета снята с предпринимателей.

Когда предприниматель имеет два и более расчетных счета, ему, конечно же, хочется знать, предусмотрена ли какая-либо отчетность по ним и в какую сумму обойдется их банковское обслуживание. Поэтому нужно коснуться и этих вопросов.

Во-первых, отчитываться по безналичным операциям, а точнее, сдавать различные декларации, не нужно. А во-вторых, затраты на обслуживание расчетного счета, в которые входят также комиссии за переводы и платежи поставщикам, учитываются в расходах на упрощенной системе налогообложения по дате списания средств с расчетного счета. Подтверждением данной операции являются банковские ордера и выписка по счету. Значит, накладные или какие-либо акты получать не нужно.

Как открыть счет?

Неважно, сколько счетов вы планируете иметь. Каждый из них нужно открывать только в надежных банках. Стоит помнить о том, что перечень требуемых документов может меняться в зависимости от обслуживающей компании. Но все же примерный список будет выглядеть так:

  1. Оригинал или заверенная копия свидетельства о регистрации ИП.
  2. Документ, подтверждающий, что вы состоите на налоговом учете.
  3. Оригиналы или нотариально заверенные копии паспортов тех, кто присутствовал при открытии счета.
  4. Расписка, подтверждающая различие между адресом прописки и фактическим местом проживания, если это имеет место.

Также несколько бумаг вам предоставит ваш банк. Это будут следующие документы:

  • заявление на открытие счета;
  • карточка с подписями и оттисками печати соглашения банковского счета;
  • соглашение об удаленном обслуживании.

Подводя итог всему вышесказанному, хочется отметить, что в современном бизнесе практически невозможно обойтись без расчетного счета. Он делает работу предпринимателей проще и создает условия для более комфортного осуществления платежей. Поэтому, если вы еще не открыли расчетный счет в банке, поспешите сделать это. Тем более что количество открываемых счетов не ограничено.

Сколько расчетных счетов может иметь ИП или юридическое лицо?

Юридическое лицо по действующему законодательству обязуется открыть расчетный счет в банке. А если в процессе работы ИП, ООО необходимо два, три р/с? Не нарушит ли юридическое лицо закон, если заведет еще один счет в банке?

Сколько счетов может иметь ИП?

Операции по р/с — источник информации для проверяющих инстанций. Поэтому юридические лица интересуются, сколько расчетных счетов быть у ООО? ИП, ООО, организации разрешается открыть от двух шт. — закон не ограничивает юрлиц. Руководитель самостоятельно решает, сколько счетов открыть для проведения операций. По банкам ограничений тоже нет.

Итак, согласно действующей нормативной базе, предприятию разрешается открыть 2,3…20 р/с. Но такой возможности у организаций ранее не было.

Несколько р/с юридического лица

В каких случаях нужно 2 расчетных счета юридического лица? Индивидуальные предприниматели и ООО чаще используют два р/с для удобства проведения взаиморасчетов. Есть несколько распространенных ситуаций.

Когда необходимо два и более р/с? Описание ситуации
ООО, ИП платит налоги, обязательные сборы по двум системам Если у предприятия две системы налогообложения (ОСНО, ЕНВД), то рациональнее разделить учет по р/с. Такая система учета целесообразнее, избавляет от путаницы.
Несколько филиалов Когда у ООО от двух, трех торговых точек, подразделений, то лучше для каждого филиала, вида деятельности открыть отдельный р/с. Это улучшает контроль дохода, оптимизирует выплату з/п сотрудникам.
Различия в тарифах банков, условиях комплексного обслуживания клиентов В одном банковском учреждении выгодно оформить зарплатный проект, в другом — торговый эквайринг, в третьем — выгодные проценты на остаток по р\с — указывает на целесообразность нескольких р/с в финансово-кредитных организациях.
Блокировка р/с по решению налоговой Индивидуальные предприниматели считают, что при неуплате налогов, блокировке средств в одном банке, можно открыть еще один в другом банковском учреждении. Поэтому открывают изначально 2-3 р/с. Но этот подход — ошибочный, по решению налоговых органов блокируются сразу все р/с в разных банках.

 

Преимущества и недостатки нескольких р/с

Плюсы Минусы
Свобода выбора, независимость от условий одной организации. Если возрастет тариф, а в другом банке останется прежним, то рациональнее перейти на РКО в другое финансово-кредитное учреждение. Дополнительные затраты на РКО
Упрощение взаиморасчетов с несколькими контрагентами. С главными партнерами ведутся расчеты в отдельном банке — экономия комиссии, усиление деловых связей. Усложнение учета, контроля денежных потоков. ООО нанимают отдельного сотрудника для выполнения таких функций.
Удобство при наличии нескольких филиалов.
Усложнение вариантов хищения информации конкурентами.

 

Индивидуальным предпринимателям, руководителям ООО при выборе банковского учреждения для открытия р/с, РКО стоит учитывать такие критерии:

  • Акционеры. Преимущество отдается финансово-кредитным учреждениям с государственной долей капитала, международным организациям — повышается надежность для клиентов.
  • Рейтинговый список. Специальные агентства, СМИ составляют ТОП по критериям — стоит учесть.
  • Открытость информации. На официальном сайте банковского учреждения публикуется отчетность, сведения о составе правления.
  • Стоимость услуг. Учитывается оплата за РКО и услуг, которые понадобятся в будущем.

 

Заключение

По действующему законодательству юрлицу разрешается открывать два, пять, десять расчетных счетов, причем в разных финансово-кредитных организациях. Некоторые юр. лица используют это для проведения незаконных операций. Не рекомендуется открывать р/с для нелегальных переводов. При выявлении противозаконных действий заблокируют средства на двух, четырех , семи р/с в полном объеме.

Каким должно быть количество расчетных счетов у ИП и организации?

Каким должно быть количество расчетных счетов у ИП или ООО? Мнения в этом вопросе отличаются. Одни утверждают, что для удобства работы и отсутствия проблем с контролирующими органами хватит и одного аккаунта. Другие уверяют, что число р/с в финансовом учреждении не ограничено, а ИП или компании вправе открывать столько счетов, сколько требуется для работы. Рассмотрим эти вопросы подробно.

Читайте также — Как зарезервировать расчетный счет, и для чего это нужно?

Теория

Для начала вспомним, что такое расчетный счет. В законодательстве прописано, что р/с — вид банковского аккаунта, который открывается  ИП и компаниями. Количество цифр в номере расчетного счета — 20. С их помощью удается идентифицировать вид валюты и счета. Номера аккаунтов, которые открыты в разных банках, иногда совпадают. Чтобы избежать путаницы, стоит использовать полный набор сведений — номер корсчета, БИК и иные реквизиты.

Какое количество расчетных счетов может открыть ИП?

Необходимость р/с для индивидуального предпринимателя доказана практикой, ведь это открывает дополнительные возможности для получения заказов. Число аккаунтов для представителей ИП не ограничено законодательно — они вправе использовать столько р/с, сколько считают необходимым. Количество расчетных счетов в банках часто достигает 3-5 и более. Удобство и в том, что уведомлять ПФР, ФСС и ФНС об открытии не требуется — это обязательство банка.

При оформлении 2-х и более р/с индивидуальному предпринимателю стоит учесть:

  • В сдаче различных деклараций нет потребности.
  • Расходы на услугу (в том числе комиссии за транзакции) учитываются в статье затрат на УСН по дню снятия денег. В роли подтверждения сделки выступают ордера и выписки.
  • В получении накладных или актов нет нужды.

Минус в том, что повышаются расходы на ведение и содержание р/с, ведь платить придется за каждый аккаунт отдельно.

Какое количество расчетных счетов может открыть организация?

В отношении юридических лиц ситуация не меняется. Рассматривая вопрос, какое количество расчетных счетов вправе открывать организация, стоит отметить отсутствие подобных лимитов. Потребность в оформлении группы р/с часто возникает при ведении деятельности в разных направлениях, которые не пересекаются друг с другом. Кроме того, открытие нескольких аккаунтов требуется, если у юридического лица работают филиалы или отдельные подразделения.

В 90-х годах прошлого века действовал закон, согласного которого предприятиям разрешалось открывать только один р/с. Этот указ Президента продержался до1995 года. С того момента на вопрос, какое количество расчетных счетов может открыть организация, юристы смело отвечают, что это число не ограничивается законодательством. Компания вправе оформлять неограниченное число р/с, не передавая информацию в уполномоченные органы (как и в случае с ИП, эти вопросы берут на себя банки).

Плюсы и минусы

Перед открытием нового р/с организации и предпринимателю стоит внимательно изучить плюсы и минусы содержания большого числа аккаунтов.

Преимущества:

  • Быстрое управление финансами. Если в одном банке возникли технические проблемы с переводом, можно воспользоваться услугами другого финансового учреждения, где также открыт р/с.
  • Снижение риска потери денег. Наличие большого количества расчетных счетов для организации не запрещено законодательством, поэтому компания вправе воспользоваться услугами разных банков и снизить риск потери средств при банкротстве учреждения.
  • Конфиденциальность. Получить информацию о фирме труднее.

Минусы:

  • Увеличение статьи расходов. Не секрет, что открытие и ведение р/с стоит денег, а вероятность получения льгот снижается.
  • Возможны трудности в управлении финансами, которые распределены между группой банков. Кроме того, сложнее рассчитывать расходы.

Итоги

В действующем законодательстве нет информации, какое количество расчетных счетов может иметь организация или ИП. Предприниматель самостоятельно решает, сколько р/с ему требуется для ведения деятельности и в каких финансовых учреждениях.

Расчетный счет — что такое текущий и расчетный счет для ИП

07.10.2020

11001

Автор: Редакция Myfin.by

Фото: Myfin.by

Расчетный счет — банковский счет, предназначенный для хранения денежных средств и проведения приходно-расходных операций (пополнение счета, безналичное перечисление на другие счета, выдача наличных средств).

Последние новости:

Расчетный счет обычно не открывается ради получения пассивного дохода (в отличие от депозитов) или просто для хранения сбережений. Цель расчетного счета — обеспечивать быстрый доступ к средствам по первому требованию. Владелец вправе в любое время пополнять счет и списывать с него средства.

В одном банке (либо в разных) можно открыть несколько счетов (например, в 2–3 валютах и для разных целей).

Сейчас расчетным чаще называют счет юридического лица; понятие «текущий счет» применимо в большей мере к счетам физических лиц.

Номер расчетного счета также является частью реквизитов юридического лица или предпринимателя. Примером расчетного счета в РБ может стать счет Национальной библиотеки Беларуси:

р/с № BY59АКВВ36329000032145100000 в филиале 510 ОАО «АСБ Беларусбанк», ул. К. Маркса, 16.

Обратим внимание, что расчетный счет всегда указывается вместе с названием и кодом банковского учреждения, в котором он открыт.

Расчетный счет для ИП

Каждому юридическому лицу и большинству индивидуальных предпринимателей нужен расчетный счет. Это необходимо для получения и отправки безналичных платежей. Иногда наличие расчетного счета продиктовано законодательными нормами.

Так банковский расчетный счет обязателен для любого юридического лица.

А вот ИП может не открывать счет, если он:

Выбор расчетного счета

Выбирать вариант РКО приходится и начинающим предпринимателям, и опытным коммерсантам. Те, кто уже имел опыт расчетно-кассового обслуживания, обычно имеют критерии для выбора: кому-то нужен тариф с малой комиссией за проведение платежей, кто-то ищет способ меньше платить за снятие наличных с расчетного счета и т.д. Однако в начале бизнеса таких предпочтений может еще не быть, потому выбирают вариант открытия счета с наименьшими затратами.

Приведенная ниже таблица содержит первичную информацию для сравнения тарифов на открытие расчетного счета, она будет полезна выбирающим вариант расчетно-кассового обслуживания, с сортировкой по возрастанию обязательной платы за ведение счета.

Открыть счет в рублях во всех банках Беларуси можно бесплатно. За открытие валютного счета в некоторых банках предусмотрена плата.К началу страницы

Банки открывают счета организациям, индивидуальным предпринимателям и предоставляют им право использовать корпоративные электронные средства платежа для переводов электронных денежных средств только при предъявлении свидетельства о постановке на учет в налоговом органе.

Банк сообщает в налоговый орган по месту своего нахождения информацию об открытии или о закрытии счета, вклада (депозита), об изменении реквизитов счета, вклада (депозита) организации, индивидуального предпринимателя, физического лица, не являющегося индивидуальным предпринимателем, о предоставлении права или прекращении права организации, индивидуального предпринимателя использовать корпоративные электронные средства платежа для переводов электронных денежных средств, а также об изменении реквизитов корпоративного электронного средства платежа в электронной форме в течение трех дней со дня соответствующего события.

Порядок сообщения банком указанных сведений устанавливается Центральным банком Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов.

Формы и форматы сообщений устанавливаются федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов.

В Минюсте России 03.07.2020 зарегистрирован приказ ФНС России от 28.05.2020 № ЕД-7-14/[email protected] «Об утверждении форм и формата сообщений банка налоговому органу, предусмотренных пунктом 11статьи 86 Налогового кодекса Российской Федерации, в электронной форме» (регистрационный номер 58831). Документ опубликован на официальном интернет-портале правовой информации http://www.pravo.gov.ru, 06.07.2020.

Приказ учитывает изменения, внесенные Федеральным законом от 29.09.2019 № 325-ФЗ «О внесении изменений в части первую и вторую Налогового кодекса Российской Федерации» в пункт 11 статьи 86 Налогового кодекса Российской Федерации в части установления для банков обязанностей по сообщению в налоговый орган по месту своего нахождения о предоставлении права или прекращении права физического лица использовать персонифицированные электронные средства платежа для переводов электронных денежных средств, о предоставлении права или прекращении права физического лица, в отношении которого в соответствии с законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма проведена упрощенная идентификация, использовать неперсонифицированные электронные средства платежа для переводов электронных денежных средств, а также об изменении реквизитов таких электронных средств платежа.

Дата вступления в силу приказа – 06.01.2021.

Счета за пределами территории РФ

В соответствии с ч. 2 ст. 12 и ч. 10 ст. 28 Федерального закона от 10.12.2003 №173-ФЗ «О валютном регулировании и валютном контроле» резиденты обязаны уведомлять налоговые органы об открытии (закрытии) счета (вклада), об изменении реквизитов счета (вклада) в банке и иной организации финансового рынка, расположенных за пределами территории Российской Федерации, о наличии счета в банке за пределами территории Российской Федерации, открытого в соответствии с разрешением, действие которого прекратилось.

Переводы юридическими лицами — резидентами средств на свои счета (во вклады), открытые в банках за пределами территории Российской Федерации, со своих счетов (с вкладов) в уполномоченных банках осуществляются при предъявлении уполномоченному банку при первом переводе уведомления налогового органа по месту учета юридического лица — резидента об открытии счета (вклада) с отметкой о принятии указанного уведомления, за исключением операций, требуемых в соответствии с законодательством иностранного государства и связанных с условиями открытия указанных счетов (вкладов).

Порядок уведомления о счетах (ЮЛ, ИП, ФЛ)

Резидент уведомляет налоговый орган по месту своего учета об открытии (закрытии) счетов (вкладов) и об изменении реквизитов счетов (вкладов) в банках и иных организациях финансового рынка, расположенных за пределами территории Российской Федерации, не позднее одного месяца со дня соответственно открытия (закрытия) или изменения реквизитов таких счетов (вкладов) по форме, утвержденной федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов.

Форма уведомления и форматы утверждены Приказом ФНС России от 24.04.2020 № ЕД-7-14/[email protected] «Об утверждении форм, форматов уведомлений об открытии (закрытии) счета (вклада), об изменении реквизитов счета (вклада) в банке и иной организации финансового рынка, расположенных за пределами территории Российской Федерации, и способа их представления резидентом налоговому органу, формы уведомления о наличии счета в банке за пределами территории Российской Федерации, открытого в соответствии с разрешением, действие которого прекратилось» (Зарегистрирован в Минюсте России 04.06.2020, регистрационный номер 58591).

Требования к порядку открытия счетов (вкладов) в банках и иных организациях финансового рынка, расположенных за пределами территории Российской Федерации, установленные статьей 12 Федерального закона от 10.12.2003 №173-ФЗ «О валютном регулировании и валютном контроле», не применяются к уполномоченным банкам, которые открывают счета (вклады) в банках и иных организациях финансового рынка, расположенных за пределами территории Российской Федерации, проводят по ним валютные операции и представляют отчеты в порядке, установленном Центральным банком Российской Федерации, и к физическим лицам — резидентам, срок пребывания которых за пределами территории Российской Федерации в течение календарного года в совокупности составит более 183 дней, а также к физическим лицам — резидентам, указанным в абзаце первом пункта 4 статьи 207 Налогового кодекса Российской Федерации, в случае признания федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов, таких физических лиц не являющимися налоговыми резидентами Российской Федерации в соответствующем налоговом периоде.К началу страницы

В соответствии с положениями статьи 6 Федерального закона от 28.06.2014 № 173-ФЗ «Об особенностях осуществления финансовых операций с иностранными гражданами и юридическими лицами, о внесении изменений в Кодекс Российской Федерации об административных правонарушениях и признании утратившими силу отдельных положений законодательных актов Российской Федерации» иностранные организации финансового рынка, расположенные за пределами территории Российской Федерации, обязаны сообщать о реквизитах открытых у них счетов (вкладов) граждан Российской Федерации и юридических лиц, которые прямо или косвенно контролируются гражданами Российской Федерации. Сообщать необходимо ежегодно в срок до 30 сентября года, следующего за годом, в течение которого указанные счета (вклады) были открыты.

Формы указанных сообщений утверждены приказом Федеральной налоговой службы от 09.11.2015 № ММВ-7-14/[email protected] «Об утверждении форм сообщений иностранными организациями финансового рынка, расположенными за пределами территории Российской Федерации, о реквизитах открытых у них счетов (вкладов) граждан Российской Федерации и юридических лиц, которые прямо или косвенно контролируются гражданами Российской Федерации» (зарегистрирован в Министерстве юстиции Российской Федерации 02.К началу страницы

Пунктом 8 статьи 69 Федерального закона от 02.10.2007 № 229-ФЗ «Об исполнительном производстве» (далее – Закон № 229-ФЗ) предусмотрено, что если сведений о наличии у должника имущества не имеется, то судебный пристав-исполнитель запрашивает эти сведения у налоговых органов, иных органов и организаций, исходя из размера задолженности, определяемого в соответствии с частью 2 указанной статьи. Взыскатель при наличии у него исполнительного листа с неистекшим сроком предъявления к исполнению вправе обратиться в налоговый орган с заявлением о представлении этих сведений.

Обратиться за получением указанных сведений взыскатель может в любой территориальный налоговый орган, в том числе в ИФНС России (либо УФНС России) по месту своего нахождения.

Перейти Информация о налоговых органах размещена на настоящем сайте ФНС России, электронный сервис Адреса и платежные реквизиты вашей инспекции

При обращении в налоговый орган с запросом о получении информации о счетах должника для подтверждения своих прав на получение указанной информации необходимо одновременно предъявить подлинник или заверенную в установленном законодательством Российской Федерации порядке (нотариусом или судом, выдавшем взыскателю исполнительный лист) копию исполнительного листа с неистекшим сроком предъявления к исполнению.К началу страницы

Заявителю — гражданину (физическому лицу), организации сведения о его (ее) банковских счетах могут быть предоставлены налоговыми органами на основании положений Федерального закона от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации» (далее – Закон № 149-ФЗ). В соответствии с пунктами 2 и 3 статьи 8 Закона № 149-ФЗ:

  • гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы;
  • организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.

При этом статьей 6 Федерального Закона № 149-ФЗ установлено, что обладатель информации, в данном случае Федеральная налоговая служба, которая осуществляет полномочия обладателя информации от имени Российской Федерации, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа, а также при осуществлении своих прав обязана соблюдать права и законные интересы иных лиц, ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

В силу положений статьи 84 и статьи 102 Налогового кодекса Российской Федерации сведения о налогоплательщике с момента постановки на учет в налоговом органе являются налоговой тайной, которая не подлежит разглашению налоговыми органами, их должностными лицами, за исключением случаев, предусмотренных федеральным законом.

Порядок доступа к конфиденциальной информации налоговых органов (далее – Порядок) утвержден приказом МНС России от 03.03.2003 № БГ-3-28/96 «Об утверждении порядка доступа к конфиденциальной информации налоговых органов» (зарегистрирован в Минюсте России 26.03.2003, регистрационный № 4334) (далее – приказ № БГ-3-28/96).

В соответствии с пунктом 11 Порядка запрос о предоставлении конфиденциальной информации (далее — запрос) оформляется и направляется в письменном виде на бланках установленной формы фельдсвязью, почтовыми отправлениями, курьерами, нарочными или в электронном виде по телекоммуникационным каналам связи с реквизитами, позволяющими идентифицировать факт обращения пользователя в налоговый орган. Подпись должностного лица, имеющего право направлять запросы в налоговые органы, подтверждается печатью канцелярии пользователя.

При направлении запросов по телекоммуникационным каналам связи подпись заявителя подтверждается электронной цифровой подписью.

Гражданин для получения сведений о своих банковских счетах вправе лично обратиться с запросом, составленным в произвольной форме, предъявив документ, удостоверяющий личность; подать заявление, через сервис «Личный кабинет налогоплательщика для физических лиц» (раздел: «обращение в свободной форме») или направить запрос по телекоммуникационным каналам связи, подписанный своей усиленной квалифицированной электронной подписью, отвечающей требованиям Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».

Запросы, по форме и содержанию не отвечающие требованиям Порядка, исполнению не подлежат.

Обратиться за получением сведений о своих банковских счетах заявитель может в любой территориальный налоговый орган, в том числе по месту своего нахождения (жительства (пребывания)).

При обращении с запросом заявителю необходимо принять во внимание тот факт, что сведения о счетах (вкладах) физических лиц представляются банками в налоговые органы в соответствии с пунктом 1 статьи 86 Налогового кодекса Российской Федерации (в редакции Федерального закона от 28.06.2013 № 134-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям») с 1 июля 2014 года. Информацией о ранее открытых физическими лицами счетах в банках (если такие счета не закрывались либо по ним не было изменений) налоговые органы не располагают. Также налоговые органы не располагают информацией о движении денежных средств по счетам. Такую информацию заявитель может запросить у банка, в котором открыт счет.


ФНС начала штрафовать банки за отказ блокировать личные счета индивидуальных предпринимателей

С такой проблемой столкнулись «Уралсиб» и ВТБ, пишет РБК. Финансовые организации настаивают, что действуют в интересах клиентов, и планируют оспаривать решения налоговой службы

Фото: Антон Вергун/ТАСС

Федеральная налоговая служба начала штрафовать банки, отказывающиеся блокировать личные счета индивидуальных предпринимателей, которые не выплачивают налоги, страховые взносы и штрафы. Подобные штрафы уже получили ВТБ и «Уралсиб», сообщает РБК со ссылкой на представителей финансовых организаций.

По данным агентства, банки отказались взыскивать деньги с личных счетов предпринимателей, предложив налоговикам действовать через приставов. Финансовые организации также намерены оспаривать решения налоговой службы.

В Налоговом кодексе РФ отмечается, что при наличии проблем с уплатой налогов со стороны физлица, которое является индивидуальным предпринимателем, его счет может быть заблокирован, а деньги списаны. Но это касается только счета, связанного с бизнесом, разъясняет начальник правового управления Ассоциации банков России Сергей Клименко:

— Налоговая пытается обратить взыскание на счета, которые не связаны с предпринимательской деятельностью, то есть те счета, которые являются счетами только физлица, пускай он даже и предприниматель. Порядок взыскания в этом случае также прописан: в течение года с момента, когда наступил срок уплаты налогов, налоговая выносит решение, на основании которого готовится постановление, его передают приставам, и пристав уже ищет иное имущество предпринимателя, которое не связано с предпринимательской деятельностью. То есть весь порядок прописан, просто налоговая не хочет этим заниматься, ей проще отправить соответствующий документ напрямую в банк и требовать его исполнения.

— Если бы банк исполнил требование ФНС так, как она этого хочет, он бы нарушил Налоговый кодекс РФ?

— Да. Банки же не просто не исполняют [предписание], они отвечают налоговому органу, что не могут исполнить, и обосновывают причину. Там идет переписка: крупные банки получают примерно по 300 тысяч обращений в год. Но здесь банки даже не ведут речь о том, что они в первую очередь пострадают. Они говорят о том, что они, заблокировав счета физических лиц, просто лишат их средств к существованию. Здесь и неуплата кредитов, которые были просрочены, и просто деньги на еду и на все остальное.

Банки готовы работать на любых условиях, если они будут узаконены. Кроме того, должна быть создана система обмена информацией между кредитными организациями и ФНС, говорит вице-президент банка «Открытие» Сергей Селезнев:

Сергей Селезнев вице-президент банка «Открытие»

В Минфине говорят, что имущество индивидуального предпринимателя не отделяется от его личного имущества, поэтому задолженность по налогам бизнесмена можно гасить за счет его личных денег. Эту позицию поддерживает и Центробанк. При этом в ФНС отмечают, что привлечение банков к ответственности — единичные случаи. В беседе с РБК представитель налоговой службы отметил, что эта практика является постоянной и «не отличается от применявшейся в предыдущие годы».

Добавить BFM.ru в ваши источники новостей?

Настроить Norton Password Manager для других пользователей на вашем компьютере

Для настройки Norton Password Manager у каждого пользователя должна быть учетная запись Norton и онлайн-хранилище. Если у пользователя есть существующая учетная запись Norton, ее можно использовать для создания онлайн-хранилища. В противном случае вы можете создать новые учетные записи Norton для других пользователей.

Настройка Norton Password Manager из Norton

  1. Запустите Нортон.

    Если вы видите окно My Norton, рядом с полем «Безопасность устройства» щелкните.

  2. В главном окне дважды щелкните.

  3. Щелкните.

  4. Если вы видите запрос на ввод пароля онлайн-хранилища, значит, пользователь уже вошел в систему. Щелкните.

  5. Щелкните.

  6. В зависимости от ситуации выполните одно из следующих действий:

    • Если учетная запись Norton уже существует, введите адрес электронной почты и пароль и щелкните.

    • Если у пользователя нет учетной записи Norton, щелкните. Следуйте инструкциям на экране, чтобы создать учетную запись Norton.

  7. В открывшемся окне введите пароль и щелкните.

    Пароль хранилища и отличается от пароля учетной записи Norton.

  8. В поле Создание нового хранилища: подтвердите пароль, введите пароль еще раз и щелкните.

  9. В поле Создание нового хранилища: подсказка пароля введите подсказку для пароля и нажмите.

  10. Щелкните.

Настройте Norton Password Manager из расширения браузера

  1. Откройте ваш браузер.

  2. Щелкните значок в правом верхнем углу браузера.

  3. На экране входа в Norton Password Manager щелкните.

  4. В зависимости от ситуации выполните одно из следующих действий:

    • Если учетная запись Norton уже существует, введите адрес электронной почты и пароль и щелкните.

    • Если у пользователя нет учетной записи Norton, щелкните. Следуйте инструкциям на экране, чтобы создать учетную запись Norton.

  5. В окне Хранилище не обнаружено щелкните.

  6. В окне Create your vault введите свой пароль и щелкните.

  7. Введите пароль еще раз и щелкните.

  8. Введите подсказку, напоминающую пароль, и щелкните.

  9. В окне «Установка завершена» щелкните.

Это решение облегчило мне решение моей проблемы.

да Нет

Помогите нам улучшить это решение.

Спасибо за помощь в улучшении этого опыта.

Чем бы вы хотели заняться сейчас?

Найдите решения, выполните поиск или свяжитесь с нами.

DOCID: v80744567
Операционная система: Windows
Последнее изменение: 07.09.2020

Понимание того, как планы экономии применяются к использованию AWS

Если у вас есть активные планы сбережений, они автоматически применяются в соответствии с критериями использования AWS. уменьшить ваш счет.

Расчет счетов по сберегательным планам

Планы сбережений

применяются к вашему использованию после того, как зарезервированные инстансы (RI) Amazon EC2 будут применяемый.

Ваши текущие планы сбережений сгруппированы и применяются в соответствии с критериями использования. Планы экономии инстансов EC2 применяются до Compute Планы экономии , потому что планы экономии имеют более широкий применимость.

В группе консолидированных счетов применяются планы сбережений сначала к использованию учетной записи владельца, а затем к использованию других учетных записей.Это происходит Только если у вас включен общий доступ.

Мы рассчитываем процент вашей потенциальной экономии от каждой комбинации приемлемого использования. Этот процент сравнивает ставки сберегательных планов с вашими текущими ставками по требованию. Ваши планы сбережений сначала применяются к вашему максимальному проценту сбережений.Если есть несколько использований с равные проценты сбережений, планы сбережений применяются к первому использованию с наименьшим Планы сбережений ставка. Планы сбережений продолжают применяться до тех пор, пока не закончатся неиспользования, или ваш приверженность исчерпана. Любое оставшееся использование оплачивается по тарифам по запросу.

Пример сберегательного плана

Ставки в этих примерах являются только иллюстративными. В этом примере у вас есть следующее использование за один час:

  • 4x r5.4xlarge Linux, экземпляры с общей арендой в us-east-1, работает в течение полного часа

  • 1x m5.24xlarge Windows, экземпляр с выделенной арендой в us-east-1, работает полный час

  • 400 vCPU и 1600 ГБ использования Fargate в us-west-1

  • 1 миллион запросов на 512 МБ (0.5 ГБ) памяти использования AWS Lambda в us-east-2, продолжительностью 3 секунды каждый

Тариф по запросу тарифный план по экономии ресурсов Процент экономии (по запросу) План экономии инстансов EC2 рейтинг Процент экономии (по запросу)
r5.4xlarge Linux $ 1,00 $ 0,70 30% 0,60 $ 40%
ВЦП Fargate 0 руб.04 0,03 доллара США 25% НЕТ НЕТ
Fargate GB 0 руб.004 0,003 $ 25% НЕТ НЕТ
м5.24xlarge Окна 10,00 $ $ 8,20 18% 7,80 долл. США 22%
Длительность лямбда (за ГБ / сек) 0 руб.000015 0,0000 руб. 1275 15% НЕТ НЕТ
Лямбда-запросы (на 1 млн запросов) 0 руб.20 0,20 долл. США 0% НЕТ НЕТ

В этом примере предполагается, что планы сбережений с частичной предоплатой сроком на один год соответствуют конфигурация вашего использования.Ставки и проценты дисконта являются гипотетическими для упрощение.

Сценарий 1: Сберегательные планы применяются ко всем видам использования

Вы приобретаете годовой частичный авансовый план экономии вычислительных ресурсов за 50 долларов США.00 / час обязательство.

Ваш план сбережений покрывает все ваше использование, потому что приумножает каждый из ваших использование эквивалентных планов экономии вычислительных ресурсов составляет 47,13 долларов США. Это все еще меньше, чем в Обязательство в размере 50 долларов США в час.

Без планов сбережений с вас будет взиматься плата по тарифам по требованию в размере 59 долларов.10.

Сценарий 2: планы сбережений применимы к некоторому использованию

Вы приобретаете годовой частичный авансовый план экономии вычислительных ресурсов с Обязательство в размере 2,00 долл. США в час.

В любой час ваши сберегательные планы применяются к вашему использованию, начиная с максимальной скидки процент (30 процентов).

Ваши обязательства в размере 2,00 долл. США в час используются для покрытия примерно 2,9 единиц этого использование. Остальные 1,1 единицы оплачиваются по ставкам по требованию, в результате чего 1,14 доллара США на оплату по запросу для r5 .

Фаргейт m5.24xlarge и лямбда также оплачиваются по Ставки по запросу, в результате чего взимается плата по запросу в размере 55,10 долларов США. Всего по запросу плата за это использование составляет 56,24 доллара.

Сценарий 3: Планы сбережений применяются к определенному использованию в разных товары

Вы приобретаете годовой частичный авансовый план экономии вычислительных ресурсов с 19 долларов.60 часов в час.

Ваши планы сбережений сначала применяются к r5.4xlarge , потому что он имеет самый высокий процент скидки (30 процентов).

План сбережений

применяется к использованию Fargate следующим, потому что он имеет следующий по величине процент скидки (25 процентов).Планы экономии применяются к памяти (ГБ) перед вычислением (vCPU), потому что у него более низкая частота сберегательных планов. Почасовая оплата в размере 19,60 долларов США. является выполнено, а оставшееся использование оплачивается по ставкам по требованию.

Использование m5.24xlarge и Lambda по требованию 32 доллара.70.

Сценарий 4: применяются планы экономии и зарезервированные инстансы EC2 к использованию

Вы приобретаете годовой частичный авансовый план экономии вычислительных ресурсов с 18 долларов.Обязательство 20 / час. У вас есть два зарезервированных инстанса EC2 (RI) для r5.4xlarge Общая аренда Linux в us-east-1.

Во-первых, RI охватывает два экземпляра r5.4xlarge . Затем Ставка сберегательных планов применяется к оставшимся r5.4xlarge и Fargate. использование, которое исчерпывает почасовые обязательства в размере 18 долларов США.20.

Плата за использование m5.24xlarge и Lambda по требованию составляет 32,70 доллара США.

Сценарий 5: Несколько планов сбережений применяются к использование

Вы приобретаете годовой частичный авансовый план сбережений для семьи инстансов EC2 за семейство r5 в us-east-1 с ценой 3 доллара.00 / час обязательство. Вы тоже иметь годовой частичный авансовый план экономии вычислительных ресурсов из расчета 16,80 долларов США в час обязательство.

Ваш план сбережений для семьи инстансов EC2 ( r5 , us-east-1) покрывает все использования r5.4xlarge из-за умножения использования на EC2 Стоимость плана семейных сбережений Instance составляет 2 доллара США.40. Это меньше, чем 3 доллара США в час. обязательство.

Далее, план экономии вычислительных ресурсов применяется к использованию Fargate, потому что он имеет самый высокий процент скидки (25 процентов) от оставшегося использования. Планы сбережений применить к памяти (ГБ) перед вычислением (vCPU), потому что у памяти более низкие планы экономии ставка.Часовое обязательство в размере 16,80 долларов США выполнено, а оставшееся использование оплачено. по тарифам по требованию.

Плата за использование m5.24xlarge и Lambda по требованию составляет 32,70 доллара США.

Для получения дополнительной информации см. Общие сведения о консолидированных счетах у пользователя AWS Billing and Cost Management. Направляющая .

Понимание ваших рекомендаций по сберегательным планам

Чтобы помочь вам сэкономить деньги, AWS предоставляет индивидуальные рекомендации по планам сбережений на основе о твоем прошлом использование. Вы можете использовать эти рекомендации, чтобы понять, что можно сэкономить, как обязательство будет использоваться и многое другое.

Просмотр рекомендаций по сберегательным планам

Вы можете просмотреть рекомендации для своей учетной записи AWS. Если вы используете AWS Organizations, ты может просматривать рекомендации на уровне учетной записи управления или учетной записи участника.Ты может получить доступ к вашему рекомендации по просмотру следующих сводных показателей.

  • Ежемесячные расходы по запросу — Расчетная стоимость по запросу расходовать в зависимости от вашего использования за выбранный период времени.Сюда входят все активные планы сбережений, которыми вы владеете на момент расчета. Это значение представляет Какие ваши расходы по запросу будут ежемесячно зависеть от вашего прошлого использования и текущие обязательства по Сберегательному плану.

  • Расчетные ежемесячные расходы — Прогнозируемые расходы на основе обязательств по рекомендованным сберегательным планам.Это значение состоит из рекомендуемое обязательство и любое использование, которое, по прогнозам, останется по запросу из-за ежечасные вариации в использовании.

  • Расчетная ежемесячная экономия — Ежемесячная чистая сумма экономии, основанная на использовании за выбранный период времени, если вы приобрели рекомендованные планы сбережений.

Рекомендуемый план сбережений Таблица показывает подробную разбивку вашего Выбор планов сбережений.

Вы также можете получить рекомендации по своим сберегательным планам через API AWS Cost Explorer.

Понимание ваших расчетов рекомендаций

В рекомендациях плана сбережений

рассматривается использование за выбранный период времени. Основан на использования, мы рассчитываем, сколько бы вы заплатили, если бы вы приобрели дополнительный Обязательства по плану сбережений на этот период времени.Мы определяем и рекомендуем обязательство стоимость, которую мы оцениваем, приведет к наибольшей экономии.

  • Рекомендации не прогнозируют ваше использование.Рекомендации основаны от вашего исторического использования за выбранный период ретроспективного анализа. Будь уверен выберите период ретроспективного анализа, который отражает ваше будущее использование. Рекомендации не учитывать любые поставленные в очередь или запланированные покупки, потому что рекомендации на основе использования в период ретроспективного анализа. Рекомендации также генерируется для немедленных покупок, а не для будущих покупок.

    Рекомендации рассчитаны на основе вашего RI и плана сбережений. скидка обмена предпочтений. Чтобы просмотреть или изменить свой предпочтениях, см. Отключение зарезервированные экземпляры и скидки на использование планов экономии Руководство пользователя AWS Billing and Cost Management .

  • Рекомендации на уровне управленческого счета рассчитаны с учетом использование во всех аккаунтах в вашей организации AWS, у которых есть RI или Включено совместное использование скидок сберегательных планов, чтобы рекомендовать обязательство, которое максимизирует сбережения по счетам.Рекомендации по учетным записям участников рассчитываются по индивидуальный уровень учетной записи, чтобы максимизировать экономию для каждого изолированного учетная запись.

  • Рекомендации генерируются для клиентов, у которых средний спрос по запросу. потратить 0 долларов.10 / час в течение периода ретроспективного анализа (7, 30 или 60 дней). если ты недавно приобрели сберегательный план, или, если срок действия вашего сберегательного плана недавно истек, он может не отражаться в ваших рекомендациях на срок до до 24 часов.

  • Рекомендации по планам экономии инстансов

    и EC2 созданы с использованием одного и того же набор использования.Вы можете приобрести как планы экономии вычислительных ресурсов, так и планы экономии инстансов EC2. Планы по охватывают ваше использование, но эти два набора рекомендаций не предназначены для взятые вместе одновременно.

  • Рекомендации рассчитываются с использованием ставок планов сбережений, указанных в разделе «Ценообразование с планами сбережений».

Рекомендации по настройке вашего сберегательного плана

Вы можете настроить рекомендации для своих планов сбережений, используя параметры, отображаемые на вашем Рекомендации по покупке стр.

Возможности индивидуальной настройки

Вы можете настроить свои рекомендации, изменив свой выбор в разделе Параметры рекомендаций . Вы можете использовать следующие разделы для своих параметров.

  • Тип сберегательного плана — Тип План сбережений.Выберите Compute или Amazon EC2 Экземпляр .

  • Срок действия накопительного плана — Срок действия вашего обязательства в годы.Выберите 1 год или 3 года .

  • Способ оплаты — Вариант оплаты для вашего Рекомендации по сберегательным планам.Выберите All-Upfront , Частичная предоплата или Нет аванс .

  • На основе прошлого — период ретроспективного анализа и связанное использование, рекомендации будут использованы для расчета вашего экономия.

  • Фильтр по — Возможность просмотра какого элемента аккаунты, для которых вы видите рекомендации. Вы можете просмотреть рекомендации для все идентификаторы учетных записей участников с уровня учетной записи управления.Если ты член учетной записи, вы можете видеть только свой собственный идентификатор учетной записи.

Рекомендации по настройке вашего сберегательного плана

  1. Откройте консоль AWS Cost Management по адресу https: // console.aws.amazon.com/cost-management/home.

  2. На панели навигации в разделе Сберегательные планы выберите Рекомендации .

  3. Для типа сберегательного плана выберите либо EC2 Экземпляр или Вычислить .

  4. Выберите срок Сберегательного плана .

  5. Выберите вариант оплаты .

  6. Введите количество дней для на основе последних .

  7. (только на уровне учетной записи управления) Выберите Связанные учетные записи и выберите идентификаторы учетных записей, для которых вы хотите получить рекомендации.

  8. (Необязательно) Чтобы приобрести планы, установите флажок рядом с желаемым планы, и выберите Добавить планы сбережений в корзину .

Ваши рекомендации меняются по мере того, как вы настраиваете свой выбор.Вы увидите больше всего оптимальный вариант представлен вам в Наша рекомендация раздел.

Загрузка рекомендаций по сберегательным планам

Вы можете загрузить свои рекомендации по сберегательным планам в формате CSV.Форматы CSV полезно просматривать или делиться рекомендациями.

Чтобы загрузить рекомендации по сберегательным планам

  1. Откройте консоль AWS Cost Management по адресу https: // console.aws.amazon.com/cost-management/home.

  2. На панели навигации выберите Сберегательные планы .

  3. На левой панели выберите Рекомендации .

  4. В разделе Рекомендуемые планы сбережений выберите Загрузить CSV .

Сведения о поле CSV

  • Идентификатор учетной записи — Уникальный идентификатор для учетная запись участника.

  • ID предложения — уникальный идентификатор для Цены на планы сбережений, использованные для выработки рекомендаций.

  • Почасовая оплата покупки — рекомендуемый план сбережений почасовых обязательств, основанный на выбранном параметры.

  • Ориентировочная стоимость планов сбережений — Ориентировочная сумма стоимость рекомендованных вами планов сбережений после покупки за выбранный период времени (7, 30 или 60 дней).

  • Ориентировочная стоимость по запросу — Ориентировочная общая Стоимость по требованию после покупки рекомендованных планов сбережений сверх выбранного период времени (7, 30 или 60 дней).

  • Текущие средние почасовые расходы по запросу — средние почасовые расходы по запросу за выбранное время период.

  • Текущие минимальные почасовые расходы по запросу — минимальные почасовые расходы по требованию, наблюдаемые в течение выбранного времени период.

  • Текущие максимальные почасовые расходы по запросу — The максимальные почасовые расходы по запросу, наблюдаемые в течение выбранного времени период.

  • Расчетная средняя загрузка — Ожидаемая процент использования рекомендованного плана сбережений, основанный на вашем текущие приемлемые затраты по запросу.

  • Предполагаемая сумма ежемесячной экономии — предполагаемая экономия, которая будет получена в результате покупки вашего плана сбережений, на основе вашего прошлое использование и планы сбережений, которые у вас уже есть.

  • Предполагаемый процент экономии — Сумма вашей Обязательство по сберегательному плану избавит вас от ваших текущих сберегательных планов Затраты по требованию.

  • Ориентировочная рентабельность инвестиций — Ориентировочная рентабельность вложение Сберегательного плана. Это рассчитывается исходя из вашего расчетного экономию и разделив ее на стоимость Сберегательного плана.

Duo Administration — Управление администраторами

Обратная связь

Была ли эта страница полезной? Сообщите нам, как мы можем сделать это лучше.

Обзор

Создавайте, управляйте и удаляйте учетные записи администратора Duo из панели администратора Duo.

Учетные записи администратора

Duo отличаются от учетных записей пользователей Duo, которые конечные пользователи используют для входа в службы и приложения, защищенные Duo, с двухфакторной аутентификацией. Дополнительные сведения об администрировании учетных записей Duo для конечных пользователей см. В разделе «Управление пользователями Duo».

Нет автоматического импорта или инициализации администраторов. См. Документацию по Admin API, чтобы узнать о методах программного создания администраторов и управления ими.

Доступ к панели администратора Duo

Браузер, используемый для доступа к панели администратора, должен поддерживать TLS 1.2, что по умолчанию делает большинство современных браузеров. Если вас беспокоит совместимость, обновите свой браузер или проверьте реализацию SSL в своем браузере здесь: https://www.ssllabs.com.

Для доступа к панели администратора Duo:

  1. Перейдите в панель администратора Duo по адресу https://admin.duosecurity.com.

  2. Введите адрес электронной почты учетной записи администратора. Если вы входите в систему с личного компьютера или устройства, вы можете выбрать опцию Сохранить мой адрес электронной почты для следующего раза .Не делайте этого, если вы используете общий киоск или общедоступный компьютер.

  3. Следующий шаг зависит от того, имеет ли ваша организация интегрированные учетные записи администраторов Duo с внешним поставщиком удостоверений единого входа (IdP), и опыт отличается, когда вход в систему SSO требуется, и когда он является необязательным.

    Пароль только для входа

    В вашей организации не настроен вход SAML для администраторов, поэтому параметры единого входа не представлены. Введите пароль администратора и нажмите Войти .

    Требуется вход в систему через систему единого входа

    Ваша организация предпочитает, чтобы администраторы входили в систему с помощью системы единого входа. Нажмите кнопку Перейти к поставщику удостоверений , чтобы перейти к поставщику удостоверений (IdP) вашей организации, где вы войдете в систему с учетными данными основного пользователя.

    Вход через систему единого входа Дополнительно

    Вы можете выбрать способ входа. При нажатии кнопки «Вход с использованием единого входа» осуществляется переход к поставщику идентификационной информации организации для выполнения первичной аутентификации.

    Если вы создали пароль для панели администратора Duo, вы можете использовать его вместо SSO. Щелкните Войти с использованием пароля , чтобы открыть форму ввода пароля. Введите пароль администратора и нажмите Войти .

    Если вы отметили опцию Сохранить мой адрес электронной почты для следующего раза , мы также сохраним ваши предпочтения для входа и не будем снова предлагать вам выбирать между единым входом или аутентификацией по паролю. Вы можете переключаться между методами, щелкая ссылку, чтобы использовать другой вариант.

  4. После успешной аутентификации через систему единого входа или путем ввода правильного пароля администратора Duo вы должны подтвердить свою личность, используя второй фактор. Завершите проверку входа в систему, выбрав один из доступных методов.

    • Duo Push : одобрите запрос подтверждения входа, отправленный на ваш смартфон с помощью приложения Duo Mobile. Вы должны активировать свою учетную запись администратора для Duo Mobile отдельно от своей учетной записи, чтобы использовать push-аутентификацию Duo в панели администратора.См. Инструкции в разделе Использование Duo Push для аутентификации администратора.
    • Text Me : Получите SMS-сообщение с одноразовым паролем. Введите это в поле Пароль и нажмите Отправить . Этот пароль действителен в течение пяти минут.
    • Позвони мне : ответ на телефонный звонок с одноразовым паролем. Введите это в поле Пароль и нажмите Отправить . Этот пароль действителен в течение пяти минут.
    • Код доступа : введите одноразовый код доступа, полученный через SMS или телефонный звонок, сгенерированный Duo Mobile или аппаратный токен.

    Доступные методы двухфакторной аутентификации могут различаться в зависимости от настроек методов аутентификации администратора в вашей организации. Если, например, ваша организация отключила метод «Телефонный обратный звонок», вы не увидите параметр двухфакторной аутентификации «Позвони мне» при входе в систему.

Забыли пароль

Если вы забыли свой пароль, щелкните ссылку Забыли пароль , отображаемую после ввода адреса электронной почты. Введите адрес электронной почты, который вы используете для входа в учетную запись администратора Duo, и нажмите Отправить .Проверьте свою электронную почту, чтобы найти ссылку для сброса пароля.

Мы также отправим вам уведомление по электронной почте, как только вы измените свой пароль. Если вы получили уведомление об изменении пароля и не инициировал это изменение, обратитесь к владельцу Duo вашей организации или в службу поддержки Duo.

Блокировка учетной записи

Ввод неправильного пароля или кода доступа для вашей учетной записи администратора или разрешение push или телефонного звонка на запрос подтверждения 2FA увеличивает количество неудачных попыток входа в систему.После десяти неудачных попыток входа ваша учетная запись администратора будет заблокирована. Duo отправит вам электронное письмо, содержащее ссылку, по которой вы можете сразу разблокировать свою учетную запись. В противном случае ваша учетная запись администратора будет автоматически разблокирована через 24 часа.

Если у вас нет доступа к электронной почте и вы не можете ждать 24 часа, пока ваша учетная запись разблокируется, вы можете попросить помощи у другого администратора Duo в вашей организации. См. Раздел «Разблокировка администратора» для получения дополнительной информации о разблокировке учетной записи администратора вручную.

Роли администратора Duo

Администраторам

Duo может быть назначена одна из следующих ролей управления:

  • Владелец : роль владельца предоставляет полный доступ ко всем действиям, объектам и настройкам в панели администратора Duo. Только администраторы с ролью Владелец могут создавать, обновлять или удалять других администраторов. Для создания приложений Admin API и Account API и управления ими требуются права владельца.

  • Администратор : Администратор имеет полный доступ для создания, обновления и удаления пользователей, устройств, настроек, политик и приложений (за исключением типов приложений Admin API и Account API).Администратор не может просматривать или обновлять платежную информацию или совершать покупки, а также не может создавать, просматривать или изменять каких-либо других администраторов.

  • Диспетчер приложений : роль диспетчера приложений может добавлять защищенные приложения, обновлять и удалять приложения (за исключением типов приложений Admin API и Account API). Менеджеры приложений также могут просматривать ограниченную информацию о пользователях и устройствах. В планах Duo Beyond и Duo Access менеджеры приложений могут назначать существующие настраиваемые политики приложениям и группам, но не могут создавать политики или редактировать параметры политик.

  • Диспетчер пользователей : Диспетчер пользователей может создавать, обновлять и удалять пользователей, телефоны, токены и коды обхода. Диспетчер пользователей также может настраивать и запускать синхронизацию каталогов.

  • Служба поддержки : администраторы службы поддержки могут просматривать и обновлять существующие телефоны, токены и коды обхода, запускать однопользовательскую синхронизацию для обновления или создания известного пользователя из исходного каталога, изменять статус пользователя с «Заблокировано» на «Активен» и может отправлять пользователям активации Duo Mobile.Администраторы службы поддержки не могут создавать или удалять пользователей, изменять имена пользователей, псевдонимы или адреса электронной почты, выполнять полную синхронизацию каталогов или экспортировать информацию в текстовый файл. Вы можете ограничить возможность администраторов службы поддержки создавать коды обхода для пользователей в настройках службы поддержки.

  • Биллинг : роль биллинга позволяет просматривать и обновлять платежную информацию, покупки аппаратных токенов и телефонных кредитов, а также управлять субсчетами. Эта роль может иметь доступ только к информационной панели и странице выставления счетов.

  • Только для чтения : администраторы, которым назначена роль только для чтения, могут просматривать (но не изменять) основную информацию о пользователях, группах, телефонах, токенах и приложениях, а также просматривать и загружать отчеты. Администраторы с правами только для чтения не могут получить доступ к страницам биллинга и синхронизации каталогов.

Роль владельца Роль администратора Роль диспетчера приложений Роль диспетчера пользователей Роль службы поддержки Биллинговая роль Роль только для чтения
Просмотр и загрузка журналов
Управление устройствами 2FA и кодами обхода
Управляйте пользователями и группами
Управлять приложениями
Создавать и редактировать политики
Изменить глобальные настройки
Просмотр и управление биллингом
Управление другими администраторами

Администратор Duo ​​с любой ролью может обновить свой пароль и изменить телефон, используемый для проверки входа (изменить номер телефона или активировать Duo Push).

Узнайте больше о делегировании прав администратора с назначением ролей в Duo Administrative Roles.

Администраторы листинга

Требуется роль: Владелец

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели. В списке показаны имена, роли, адреса электронной почты и номера телефонов администраторов.

    Нажмите кнопку Reports в правом верхнем углу экрана журнала и выберите CSV , JSON или PDF , чтобы загрузить список администраторов.Вы также можете выбрать URL , чтобы получить прямую ссылку на текущее представление администратора. Если вы отфильтровали свое текущее представление (например, введя текст для поиска в поле), отчет будет включать только отфильтрованные результаты.

  2. При щелчке по имени администратора отображаются сведения об этом пользователе, включая назначенную ему роль.

Вы можете перейти непосредственно к сведениям своей учетной записи администратора, нажав Изменить профиль в правом верхнем углу панели администратора Duo.

Добавить администратора

Требуется роль: Владелец

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните элемент меню Добавить администратора или кнопку Добавить администратора в крайнем правом углу.

  3. Введите имя и адрес электронной почты нового администратора Duo. Введенный здесь адрес электронной почты является именем нового администратора для входа в систему, поэтому он должен быть уникальным.

  4. Выберите желаемую роль полномочий для нового администратора, и если вы используете функцию административных единиц, вы также можете назначить назначения административных единиц новому администратору сейчас.

  5. (Необязательно) Введите номер телефона для вторичной аутентификации. Это номер, который Duo использует для двухфакторной аутентификации по SMS или телефонному звонку в панели администратора. Если вы не укажете номер телефона при создании нового администратора, этот новый администратор добавит информацию о своем телефоне, когда завершит настройку своей учетной записи администратора.

    При желании назначьте аппаратный токен для вторичной аутентификации новому администратору. Это необходимо сделать из панели администратора; новый администратор не может назначить себе аппаратный токен во время настройки учетной записи.

  6. Если оставить «Автоматически отправлять ссылку для настройки учетной записи по электронной почте». Параметр «» отмечен, это означает, что по завершении этого процесса ваш новый администратор немедленно получит электронное письмо со ссылкой и инструкциями по завершению настройки учетной записи. Если вы не выберете этот параметр, вы сможете отправить электронное письмо с настройкой позже из панели администратора, или вы также можете скопировать ссылку настройки из панели администратора после создания администратора, чтобы отправить ее по электронной почте или с помощью текстового сообщения. сообщение.

  7. Нажмите кнопку Добавить администратора для завершения.

Невозможно сгенерировать QR-код активации на странице сведений об администраторе, пока администратор не завершит первоначальную настройку и активацию с помощью ссылки настройки. После создания ссылка на установку истекает через семь дней. Ссылки настройки не обновляются автоматически, вам нужно будет создать и отправить новую, если истечет срок действия предыдущей.

Статус нового администратора отображается как «Ожидает активации», пока этот администратор не завершит настройку и активацию учетной записи, и он не сможет войти в панель администратора Duo.После завершения настройки и активации администратор получает статус «Активен» и может войти в панель администратора Duo.

Новые возможности настройки администратора

Когда новый администратор Duo ​​получает и щелкает ссылку настройки администратора, ему предлагается завершить процесс настройки:

  1. Если пароль администратора будет храниться в Duo, он нажмет Создать пароль , чтобы установить свой пароль. Пароли должны состоять не менее чем из двенадцати символов, а также могут потребовать сочетания типов символов в зависимости от настроек политики паролей администратора.Новые пароли будут проверяться на соответствие обычным паролям, именам пользователей и другой информации учетной записи, чтобы гарантировать уникальность.

    Если вы используете единый вход с собственным поставщиком удостоверений (IdP) для входа в панель администратора Duo, новый администратор нажимает «Создать учетную запись с помощью единого входа » и входит в систему с помощью своего IdP с основным именем пользователя и паролем.

  2. После установки пароля или входа в систему через внешний IdP новому администратору отображается штрих-код для активации Duo Push, если Duo Push является разрешенным методом аутентификации администратора.Администратор сканирует штрих-код с помощью Duo Mobile на своем смартфоне или может пропустить этот шаг активации, если у него нет смартфона.

    Если вы или новый администратор ввели номер телефона администратора, который уже используется другим существующим администратором, новый администратор не увидит штрих-код активации Duo Push. Телефоны, общие для администраторов, не могут быть активированы для push-уведомлений.

  3. Если вы ввели номер телефона администратора во время создания, новый администратор может подтвердить, что это правильный резервный номер телефона для входа в панель администратора Duo, или ввести правильный резервный номер телефона, если это не так.Если вы не ввели номер телефона для создания нового администратора лечения, новый администратор может ввести свой номер телефона.

    Если новый администратор пропустил активацию Duo Push, ему потребуется подтвердить право собственности на введенный номер телефона, введя код доступа, полученный в текстовом сообщении или по телефону.

  4. Новый администратор может войти в панель администратора Duo с только что установленным паролем (или после входа в систему через систему единого входа), используя Duo Push или телефонный звонок / SMS, в зависимости от того, какие методы аутентификации были настроены.

После того, как администратор завершит настройку новой учетной записи, его статус учетной записи администратора изменится с Ожидает активации на Активен , когда вы просматриваете их профиль в панели администратора Duo.

Повторно отправьте ссылку для настройки

Если вы решили не отправлять новому администратору ссылку настройки автоматически при добавлении учетной записи этого администратора, вы можете вернуться в панель администратора, чтобы отправить ссылку позже.

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора.

  3. Прокрутите до раздела «Ссылка для настройки» сведений об администраторе и нажмите кнопку Отправить электронное письмо , чтобы отправить администратору ссылку для настройки по электронной почте.

    Вы также можете нажать кнопку Копировать справа от ссылки активации администратора, а затем вставить ее в собственное сообщение электронной почты, текстовое сообщение или сообщение прямого чата, чтобы передать ссылку настройки новому администратору.

Вы также можете аннулировать текущую ссылку активации и создать новую с помощью опции Удалить и сделать недействительной установочную ссылку .После удаления существующей ссылки вы можете создать новую ссылку активации, щелкнув Создать ссылку для установки , которую затем можно отправить по электронной почте, в текстовом виде и т. Д. Администратору.

Изменение прав администратора

Для переназначения роли администратора:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора.

  3. Выберите новую роль для этого администратора из списка разрешений и нажмите кнопку Сохранить изменения .

Изменение статуса администратора

Требуется роль: Владелец

Отключите администратора, чтобы он не мог войти в панель администратора Duo. Если вы настроили параметр «Неактивные администраторы» таким образом, что Duo отключает учетные записи для администраторов, которые не входили в систему в течение указанного количества дней, вы можете снова включить их, обновив статус администратора.

Администратор должен завершить настройку и активацию своей учетной записи, прежде чем вы сможете их отключить.Администраторов Duo с ролью «Владелец» нельзя отключить.

Для изменения статуса администратора:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора.

  3. Выберите желаемый статус для этого администратора: Активен или Отключен .

Удаление администратора

Требуется роль: Владелец

Для удаления администратора:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора.

  3. Нажмите кнопку Удалить администратора , чтобы удалить этого пользователя. Вам будет предложено подтвердить свое действие. Вы не можете удалить текущего авторизованного администратора.

Изменение пароля администратора

Если администратор Duo ​​забыл свой пароль, он может выполнить автоматический сброс, используя ссылку «Забыли пароль» на странице входа в панель администратора Duo.

Хотя администраторы-владельцы не могут напрямую изменить пароль другого администратора на что-то новое, вы можете принудительно изменить пароль для администратора при следующем входе в систему:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора, чтобы просмотреть подробности.

  3. Включите параметр Требовать от администратора смены пароля при следующем входе в систему. Параметр .

  4. Нажмите кнопку Сохранить изменения . При следующем входе в систему этому администратору будет предложено установить новый пароль, и как только он изменит свой пароль, он получит электронное письмо, подтверждающее изменение.

Чтобы изменить собственный пароль из панели администратора:

  1. Войдите в панель администратора Duo.

  2. Щелкните свое имя в верхнем левом углу страницы и затем щелкните Изменить профиль .

  3. Введите и подтвердите свой новый пароль. Пароли должны состоять не менее чем из двенадцати символов, а также могут потребовать сочетания типов символов в зависимости от настроек политики паролей администратора. Новые пароли будут проверяться на соответствие обычным паролям, именам пользователей и другой информации учетной записи, чтобы гарантировать уникальность.

Мы отправим вам уведомление по электронной почте, как только вы измените свой пароль.Если вы получили уведомление о смене пароля, а вы не обновили пароль , обратитесь к владельцу Duo своей организации или в службу поддержки Duo.

Обновление дополнительных методов аутентификации администратора

Требуется роль: Владелец

Все администраторы должны использовать двухфакторную аутентификацию для доступа к панели администратора Duo. Номер телефона может быть указан при создании администратора Duo, или администратор вводит свой номер телефона во время настройки учетной записи администратора. Это номер, который Duo использует для двухфакторной аутентификации по SMS или телефонному звонку в панели администратора.Этот номер телефона (и добавочный номер, если необходимо) отображается в поле «Дополнительная проверка подлинности → Номер телефона» на странице сведений об администраторе. Вы можете обновить номер телефона администратора в любое время.

Для обновления номера телефона администратора:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора, чтобы просмотреть подробности.

  3. Прокрутите страницу до раздела «Вторичная аутентификация».Введите новый номер телефона, затем нажмите кнопку Сохранить изменения .

Назначить токен для аутентификации администратора

Требуется роль: Владелец

У клиентов планов

Duo Beyond, Access и MFA есть возможность назначить аппаратный токен администратору, чтобы разрешить аутентификацию токена с паролем при входе в панель администратора Duo. Администраторы могут использовать аппаратные токены, приобретенные у Duo, и аппаратные токены с одноразовым паролем (OTP) сторонних производителей, такие как YubiKey OTP или любые другие токены, совместимые с OATH HOTP.Вы можете продолжать использовать другие методы аутентификации для панели администратора Duo, такие как Duo Push и коды доступа, полученные по SMS или по телефону.

Чтобы привязать токен к существующему администратору:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора, чтобы просмотреть подробности.

  3. Щелкните раскрывающееся меню, чтобы просмотреть список доступных аппаратных токенов.Вы также можете найти токен, введя серийный номер.

    Щелкните токен, чтобы выбрать его, а затем нажмите Сохранить изменения внизу страницы.

  4. На странице свойств администратора отображается только что добавленный токен. Щелкните ссылку Удалить справа, чтобы удалить аппаратный токен из учетной записи администратора.

    Перед удалением токена из Duo необходимо удалить аппаратный токен из всех подключенных учетных записей администратора.

Использовать Duo Push для аутентификации администратора

Администраторы

Duo также могут использовать Duo Mobile для вторичной аутентификации с помощью Duo Push. Эта «аутентификация в одно касание» безопасна и удобна. Посмотрите, как работает Duo Push, а затем загрузите приложение Duo Mobile, чтобы начать работу. Если вы не активировали Duo Push для своей учетной записи администратора в процессе настройки, вы можете сделать это после входа в панель администратора.

Чтобы активировать Duo Push для своей учетной записи администратора:

  1. Установите Duo Mobile на свое мобильное устройство.

  2. Войдите в панель администратора Duo и нажмите Изменить профиль , как показано в верхнем правом углу страницы.

  3. Прокрутите вниз до раздела «Вторичная аутентификация» и щелкните ссылку Активировать рядом с Duo Push.

  4. Откройте Duo Mobile на своем устройстве. Нажмите на знак плюса ( + ), чтобы добавить новую учетную запись, и отсканируйте QR-код, отображаемый на экране вашего компьютера. Если на вашем мобильном устройстве нет камеры, щелкните ссылку под QR-кодом, чтобы отправить ссылку активации по электронной почте на ваше мобильное устройство.

  5. Ваша учетная запись администратора активирована. Выйдите из панели администратора Duo, затем введите свое имя пользователя и пароль и нажмите Duo Push , чтобы попробовать.

    После нажатия Duo Push кнопка указывает, что на ваше устройство был отправлен запрос на вход.

    Теперь утвердите запрос Duo Push, когда он поступит на ваше устройство, и вы полностью аутентифицируетесь и войдете в систему.

Чтобы отправить (или повторно отправить) активацию Duo Mobile другому администратору:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя администратора, чтобы просмотреть подробности.

  3. Прокрутите вниз до раздела «Вторичная аутентификация» и щелкните ссылку Duo Push Activate или Reactivate , чтобы сгенерировать штрих-код активации Duo Mobile.

  4. Щелкните ссылку Отправить этот штрих-код по ссылке , чтобы отправить штрих-код активации на адрес электронной почты этого администратора. Ссылка и адрес сообщения используют тот же адрес электронной почты, что и имя пользователя этого администратора.

Разблокировка администратора

Требуется роль: Владелец

Учетная запись администратора Duo блокируется после десяти неудачных первичных или вторичных попыток входа. Пользовательский интерфейс панели администратора Duo уведомляет администратора о достижении максимального количества разрешенных сбоев аутентификации. Duo также отправляет электронное письмо заблокированному администратору, содержащее ссылку, которую он может использовать для разблокировки своей учетной записи, а также уведомление для всех владельцев учетной записи.

Если заблокированный администратор не имеет доступа к электронной почте, то другой администратор в той же учетной записи с ролью администратора владельца может сбросить счетчик неудачных попыток аутентификации.В противном случае блокировка администратора истекает через 24 часа после последнего сбоя.

Для сброса счетчика неудачных попыток аутентификации:

  1. Войдите в панель администратора Duo как владелец и щелкните Администраторы на левой боковой панели.

  2. Щелкните имя заблокированного администратора, чтобы просмотреть подробности.

  3. Прокрутите вниз до раздела «Блокировка» и нажмите кнопку Сбросить попытки аутентификации . Изменение вступает в силу немедленно.

Восстановление доступа к учетной записи администратора

Если вы уже пытались сбросить пароль или разблокировать свою учетную запись, но не можете войти в свою учетную запись панели администратора Duo, обратитесь к другому администратору Duo вашей организации, чтобы восстановить доступ. Любое изменение учетной записи администратора, например повторная отправка ссылки активации или обновление дополнительных устройств аутентификации администратора, требует роли Владелец. Мы рекомендуем создать как минимум двух административных пользователей с ролью Владелец для каждой учетной записи для избыточного доступа к панели администратора.

Если в вашей учетной записи нет других администраторов с ролью «Владелец», обратитесь в службу поддержки Duo, чтобы начать процесс восстановления.

Настройки входа администратора

Требуется роль: Владелец

Методы аутентификации администратора

Администраторы

Duo могут использовать любой доступный двухфакторный метод для входа в панель администратора Duo. Вы можете ограничить, какие типы аутентификаторов могут использовать администраторы Duo на странице Настройки входа администратора .

Чтобы ограничить разрешенные методы аутентификации для администраторов Duo:

  1. Войдите в панель администратора Duo как владелец и перейдите к Администраторы Параметры входа администратора на левой боковой панели.

  2. Прокрутите страницу до раздела Admin Authentication Methods .

  3. Отмените выбор методов аутентификации, которые не должны использоваться администраторами Duo. При настройке разрешенных методов убедитесь, что у администраторов Duo есть хотя бы один из разрешенных факторов, связанных с их учетными записями. Мы не позволим вам отключить метод аутентификации, который вы использовали для входа в панель администратора, в качестве защиты от случайного отказа себе в доступе.Если вы хотите ограничить только что использованный метод, вам необходимо выйти и снова войти, используя другой метод двухфакторной аутентификации, который вы планируете оставить включенным.

    Например, если вы отключите все методы, кроме аппаратных токенов и Yubikey AES, то любой администратор без назначенного токена или Yubikey не сможет войти в панель администратора Duo. Вы должны оставить хотя бы один метод включенным.

  4. Нажмите кнопку Сохранить внизу страницы. Вам нужно будет подтвердить свой выбор, чтобы применить изменение.

Факторы с ограничениями отображаются серым цветом в подсказке двухфакторной аутентификации на панели администратора Duo. Таким образом, если вы отключили код доступа для SMS и обратный вызов по телефону (оставив разрешенными коды доступа Duo Push, Duo Mobile, аппаратные токены и Yubikeys), кнопки «SMS мне» и «Позвони мне» станут неактивными, и только «Duo Push» и код доступа. запись может быть использована.

Изменение разрешенных методов не приведет к автоматическому выходу из системы любого администратора, который уже вошел в систему с фактором, который вы теперь отключили, но при следующем входе в панель администратора Duo им потребуется использовать один из разрешенных факторов. .

Неактивные администраторы

Неактивное управление администратором доступно в планах Duo Beyond, Duo Access и Duo MFA.

Вы можете захотеть автоматически отключить доступ для входа в систему для администраторов Duo, если они не входят в систему в течение определенного времени. Для этого щелкните переключатель рядом с Отключить администраторов после установленного периода бездействия и введите максимальное количество дней, в течение которых администратору будет разрешено оставаться неактивным. Администраторы Duo, которые не входят в систему в течение указанного периода, автоматически отключают свои учетные записи.

Этот параметр не влияет на администраторов с ролью «Владелец». Владельцы никогда не будут отключены за бездействие.

Администратор Duo ​​с ролью Владелец может включить другого администратора, который стал отключенным, просмотрев свойства этого администратора в панели администратора Duo и изменив статус этого администратора с Отключено на Активно .

Система единого входа с SAML

Единый вход для администратора

доступен в планах Duo Beyond, Duo Access и Duo MFA.

Если у вас есть поставщик удостоверений SAML 2.0 (IdP) в вашей среде, вы можете настроить вход в систему единого входа (SSO) для администраторов Duo в панели администратора Duo. При использовании SAML для входа администратора Duo вы будете перенаправлены на страницу входа вашего IdP, чтобы указать свое имя пользователя и пароль для системы единого входа. После успешной проверки пароля вы будете отправлены обратно на страницу входа в панель администратора Duo для выполнения двухфакторной аутентификации перед получением доступа.

Duo не поддерживает синхронизацию пользователей с помощью SAML для учетных записей администраторов.Все учетные записи администратора Duo необходимо создавать вручную или через Admin API, независимо от того, будут они входить в систему через систему единого входа или нет.

При настройке поставщика системы единого входа вам необходимо отправить адрес электронной почты администратора Duo в качестве NameID, и этот адрес электронной почты должен совпадать с адресом электронной почты администратора в Duo.

Настроить SAML SSO

Требуется роль: Владелец

Для включения единого входа администратора:

Требуется роль: Владелец

  1. Войдите в панель администратора Duo.

  2. Щелкните Administrators на левой боковой панели, а затем щелкните Admin Login Settings .

  3. Прокрутите до раздела Single Sign-On with SAML Configuration на странице «Настройки входа администратора».

  4. Включите систему единого входа, изменив параметр «Аутентификация с помощью SAML». Возможные варианты этой настройки:

    • Отключено — Вход через систему единого входа недоступен; все администраторы Duo входят в систему с именем пользователя и паролем (по умолчанию).
    • Дополнительно — Доступен вход через систему единого входа; Администраторы Duo могут выбрать вход через SAML или с помощью имени пользователя и пароля.
    • Обязательно — Доступен вход через систему единого входа; Администраторы Duo с ролью Владелец могут входить в систему через SAML или с помощью имени пользователя и пароля. Все остальные роли администратора должны входить в систему через SAML.

При выборе варианта Дополнительно или Обязательно Опция аутентификации SAML открывает доступ к остальной части формы конфигурации единого входа.Вам нужно будет ввести или загрузить информацию о своем провайдере идентификации SAML в разделе SAML Identity Provider Settings , а затем предоставить информацию метаданных из панели администратора Duo своему IdP.

См. Инструкции для предпочтительного поставщика удостоверений или используйте настраиваемого поставщика удостоверений , если вашего нет в списке.

Если вы еще не настроили систему единого входа Duo, вам необходимо сначала сделать это и настроить его с источником аутентификации, прежде чем вы сможете настроить единый вход администратора.

Новое приложение панели администратора Duo настроит единый вход администратора для учетной записи Duo, в которой было создано приложение.

Duo Single Sign-On не поддерживает зашифрованные утверждения.

Настройте приложение панели администратора Duo в Duo
  1. Войдите в панель администратора Duo и перейдите к Приложениям .

  2. Щелкните «Защита приложения» и найдите в списке приложений запись для панели администратора Duo с типом защиты «2FA с SSO, размещенным на Duo (единый вход)».Нажмите «Защитить» в крайнем правом углу, чтобы начать настройку панели администратора Duo. См. Раздел Защита приложений для получения дополнительной информации о защите приложений в Duo и дополнительных параметрах приложения.

  3. Панель администратора Duo использует атрибут почты при аутентификации. Мы сопоставили атрибут моста с атрибутами источника аутентификации, поддерживаемыми системой единого входа Duo, следующим образом:

    Атрибут моста Active Directory IdP SAML
    <адрес электронной почты> почта Электронная почта

    Если вы используете нестандартный атрибут электронной почты для источника аутентификации, установите флажок Пользовательские атрибуты и введите имя атрибута, который вы хотите использовать вместо него.

  4. Нажмите Настроить единый вход в Duo для этой панели администратора. рядом с «Установить единый вход для панели администратора». Появится всплывающее окно, информирующее вас о том, что при продолжении автоматически настроится и включится система единого входа в панели администратора с принудительной активизацией в панели администратора Duo. Любая предыдущая конфигурация будет отменена. Нажмите Подтвердите . Вы будете перенаправлены на страницу «Настройки входа администратора».

  5. В верхней части страницы «Параметры входа администратора» вы должны увидеть баннер, информирующий вас о том, что система единого входа в панели администратора включена.Теперь вы готовы войти в панель администратора Duo, используя систему единого входа Duo.

Если вы еще не развернули Duo Access Gateway для SSO, вам нужно сначала сделать это и настроить его с источником аутентификации, прежде чем вы сможете настроить SSO администратора.

Duo Access Gateway не поддерживает зашифрованные утверждения.

Развертывание или обновление шлюза Duo Access
  1. Установите Duo Access Gateway на сервере в вашей демилитаризованной зоне. Следуйте нашим инструкциям по развертыванию сервера, настройке параметров шлюза Duo Access и добавлению основного источника аутентификации.

  2. Добавьте атрибут из таблицы ниже, который соответствует атрибуту почты Duo в поле «Атрибуты» при настройке источника аутентификации Active Directory или OpenLDAP в консоли администратора Duo Access Gateway. Например, если вашим источником аутентификации является Active Directory, введите mail в поле «Атрибуты».

    Атрибут Duo Active Directory OpenLDAP
    Почтовый атрибут почта почта

    Если ваша организация использует другой атрибут каталога, кроме перечисленных здесь, введите вместо этого имя этого атрибута. Если вы уже настроили список атрибутов для другого поставщика облачных услуг, добавьте дополнительные атрибуты, которых еще нет в списке, через запятую.

  3. После завершения начальных шагов настройки Duo Access Gateway щелкните Applications в левой части консоли администратора Duo Access Gateway.

  4. Прокрутите страницу приложений до раздела Метаданные . Это информация, которую необходимо предоставить панели администратора Duo при настройке аутентификации SAML для панели администратора Duo.Щелкните ссылку Загрузить метаданные XML , чтобы получить файл метаданных DAG (загруженный файл называется «dag.xml»).

Создание приложения панели администратора Duo в Duo
  1. Войдите в панель администратора Duo из консоли сервера Duo Access Gateway и перейдите к Приложениям .

  2. Нажмите «Защита приложения» и найдите в списке приложений запись для панели администратора Duo с типом защиты «2FA с SSO, размещенная на собственном сервере (Duo Access Gateway)».Нажмите «Защитить» в крайнем правом углу, чтобы начать настройку панели администратора Duo. См. Раздел Защита приложений для получения дополнительной информации о защите приложений в Duo и дополнительных параметрах приложения.

  3. Новое приложение SAML панели администратора Duo предполагает, что вы настраиваете систему единого входа администратора для той же учетной записи Duo, в которой вы создали это новое приложение SAML.

    Если вы хотите, чтобы это новое SAML-приложение панели администратора Duo обеспечивало аутентификацию SSO для другой учетной записи Duo, введите URL-адрес SAML из раздела «Метаданные для настройки с помощью шлюза Duo Access» раздела «Единый вход с помощью SAML. «Конфигурация» на странице «Настройки входа администратора» в панели администратора Duo для другой учетной записи Duo, например.грамм. https://admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678 .

  4. Панель администратора Duo использует атрибут Почта при аутентификации. Мы сопоставили атрибут Mail с атрибутами источника аутентификации, поддерживаемыми Duo Access Gateway, следующим образом:

    Атрибут Duo Active Directory OpenLDAP IdP SAML Google Лазурный
    Почтовый атрибут почта почта почта электронная почта почта

    Если вы используете нестандартный атрибут электронной почты для источника аутентификации, установите флажок Пользовательские атрибуты и введите имя атрибута, который вы хотите использовать вместо него.

  5. Нажмите Сохранить конфигурацию , чтобы создать загружаемый файл конфигурации.

  6. В это время вы можете настроить дополнительные параметры для своего нового SAML-приложения панели администратора Duo — например, изменить имя приложения со значения по умолчанию, включить самообслуживание или назначить групповую политику — или вернуться и изменить политики и настройки приложения. после завершения настройки системы единого входа. Если вы все же обновите какие-либо настройки, нажмите кнопку Сохранить изменения , когда закончите.

  7. Щелкните ссылку Загрузить файл конфигурации , чтобы получить настройки SAML-приложения панели администратора Duo (в виде файла JSON).

    Важно! Этот файл содержит информацию, которая однозначно идентифицирует это приложение для Duo. Защитите этот файл так же, как и любую другую конфиденциальную информацию или парольную информацию. Ни при каких обстоятельствах не передавайте его посторонним и никому по электронной почте!

Добавьте приложение панели администратора Duo в шлюз Duo Access
  1. Вернитесь на страницу приложений сеанса консоли администратора Duo Access Gateway.

  2. Нажмите кнопку Выбрать файл в разделе «Добавить приложение» на странице и найдите файл JSON приложения SAML панели администратора Duo, который вы скачали из панели администратора Duo ранее. Нажмите кнопку Загрузить после выбора файла конфигурации JSON.

  3. Добавлено SAML-приложение панели администратора Duo.

Настроить панель администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на Duo Access Gateway .

  4. Измените «Метод конфигурации» на из файла .

  5. Нажмите кнопку Выбрать файл рядом с «Файл метаданных» и выберите файл метаданных dag.xml , который вы загрузили с сервера Duo Access Gateway ранее.

  6. Нажмите кнопку Сохранить внизу страницы.

Загрузите метаданные из панели администратора Duo
  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на ADFS .

  4. Установите флажок рядом с Требовать шифрования утверждений SAML , если вы хотите использовать шифрование.

  5. Прокрутите страницу вниз и нажмите Сохранить .

  6. Прокрутите до «Загрузить XML-файл» в разделе «Метаданные для настройки с помощью ADFS» и щелкните ссылку duo_saml_metadata.xml , чтобы загрузить копию файла метаданных.Имя загруженного файла — duo_saml_metadata.xml . Этот файл метаданных создается для вашей учетной записи клиента Duo и должен использоваться для завершения настройки системы единого входа до истечения 30 дней с момента загрузки. После использования файла метаданных для настройки единого входа срок действия конфигурации не истекает.

    Если вы используете зашифрованные утверждения, важно сохранить конфигурацию единого входа перед загрузкой метаданных Duo, чтобы убедиться, что она включает информацию, необходимую для шифрования.

Добавление проверяющей стороны панели администратора Duo в AD FS
  1. Войдите на свой сервер AD FS как администратор домена или член локальной группы администраторов сервера и откройте консоль AD FS Management .

  2. Щелкните значок стрелки рядом с полем Доверительные отношения в левой части страницы, чтобы раскрыть его параметры. Пропустите этот шаг, если вы используете AD FS 4.

  3. Щелкните правой кнопкой мыши Доверительные отношения проверяющей стороны и выберите Добавить доверие проверяющей стороны… из раскрывающегося списка. Появится новое окно.

  4. Просмотрите информацию на странице «Добро пожаловать» и нажмите Start . В AD FS 4 оставьте выбранным по умолчанию «Утверждения с учетом» и нажмите Начать .

  5. Выбрать Импортировать данные о проверяющей стороне из файла на «странице выбора источника данных». Нажмите кнопку Обзор рядом с полем «Местоположение файла метаданных федерации» и выберите duo_saml_metadata.xml , который вы скачали из панели администратора Duo ранее. Нажмите Далее .

  6. На странице «Укажите отображаемое имя» введите имя, например «Система единого входа в панели администратора Duo», чтобы облегчить идентификацию этой проверяющей стороны позже, в поле «Отображаемое имя » и нажмите Далее .

  7. На странице «Настроить многофакторную аутентификацию сейчас?» Выберите Я не хочу сейчас настраивать параметры многофакторной аутентификации для этого отношения доверия с проверяющей стороной. и нажмите Далее . В AD FS 4 эта страница называется «Выбор политики контроля доступа». Выберите политику управления доступом для этого приложения из списка. Самый простой вариант — выбрать политику по умолчанию «Разрешить всем» или, если вы хотите ограничить доступ к панели администратора Duo, выберите встроенную или настраиваемую политику управления доступом, которая соответствует вашим потребностям. После выбора политики управления доступом нажмите Далее .

  8. Нажмите Далее на странице «Все готово для добавления доверия».

  9. Оставьте установленным флажок «Открыть диалоговое окно« Редактировать правила утверждений »для этого отношения доверия с проверяющей стороной при закрытии мастера» и нажмите Закрыть . Этот параметр называется «Настроить политику выдачи утверждений для этого приложения». в AD FS 4. Появится новое окно.

Настройка проверяющей стороны панели администратора Duo в AD FS
  1. На странице «Изменить правила утверждений для …» щелкните Добавить правило … . Появится новое окно.

  2. На странице «Выбор шаблона правила» выберите Отправить атрибуты LDAP как утверждения в раскрывающемся списке и нажмите Далее .

  3. На странице «Настройка правила» введите Электронная почта с идентификатором имени в поле Имя правила утверждения .

  4. Выберите Active Directory из раскрывающегося списка Хранилище атрибутов .

  5. Щелкните раскрывающееся меню в разделе Атрибут LDAP и выберите Адреса электронной почты .

  6. Щелкните раскрывающееся меню под заголовком Тип исходящей заявки и выберите Имя ID .

  7. Нажмите Готово . Вы вернетесь на страницу «Редактировать правила заявлений для …».

  8. Щелкните Применить и щелкните ОК . Страница закроется, и вы вернетесь в консоль управления AD FS.

  9. Duo требует, чтобы AD FS подписывал как утверждение SAML, так и сообщение. AD FS подписывает утверждение только по умолчанию, но это поведение можно изменить с помощью команды set-adfsrelyingpartytrust PowerShell.

    Запустите PowerShell на сервере AD FS от имени администратора и введите следующую команду:

      set-adfsrelyingpartytrust -targetname "Имя проверяющей стороны вашей панели администратора Duo" -samlresponsesignature messageand assertion  
  10. Откройте веб-браузер и перейдите по адресу https: // Your-AD-FS-Server / FederationMetadata / 2007-06 / FederationMetadata.xml . При этом на ваш компьютер будет загружен XML-файл метаданных FederationMetadata.xml , который вы позже загрузите в панель администратора Duo.

Настроить панель администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на ADFS .

  4. Измените «Метод конфигурации» на из файла .

  5. Нажмите кнопку Выбрать файл рядом с «Файл метаданных» и выберите файл метаданных FederationMetadata.xml , который вы загрузили с сервера AD FS ранее.

  6. Нажмите кнопку Сохранить внизу страницы.

Для настройки единого входа администратора Duo с помощью Azure требуется ввести информацию из панели администратора Duo на портал Azure AD и наоборот. Для настройки единого входа с помощью настраиваемого SAML-приложения требуется подписка Azure Premium.

Azure AD не поддерживает зашифрованные утверждения.

Запустите конфигурацию панели администратора Duo
  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на Azure .

  4. Прокрутите страницу вниз до раздела «Метаданные для настройки с помощью Azure». Вам нужно будет ввести идентификатор и URL-адрес ответа на портале администратора Azure в следующем наборе шагов.

Настройка приложения панели администратора Duo в Azure
  1. На другой вкладке или в окне браузера войдите на портал Azure как глобальный администратор. Перейдите к Azure Active Directory .

  2. Перейдите к колонке Корпоративные приложения и щелкните ссылку Новое приложение .

  3. Щелкните плитку Приложение без галереи в колонке «Добавить приложение».

  4. Введите имя в колонке «Добавить собственное приложение» и нажмите кнопку Добавить внизу. Далее в этих инструкциях предполагается, что вы назвали приложение Duo Admin Panel .

  5. Перейдя на страницу приложения «Панель администратора Duo» в Azure, щелкните элемент управления Единый вход (или нажмите Настроить единый вход (обязательно) на странице «Быстрый запуск» для вашего Корпоративное приложение панели администратора Azure Duo).

  6. Измените режим единого входа в колонке «Единый вход» на SAML . Это открывает дополнительные параметры конфигурации.

  7. Щелкните значок Изменить (карандаш) в разделе «Базовая конфигурация SAML» на странице «Настройка единого входа с помощью SAML».

  8. Вернитесь в панель администратора Duo и скопируйте идентификатор из раздела «Метаданные для настройки в Azure» на странице «Параметры входа администратора».Вставьте идентификатор из Duo в поле «Идентификатор (идентификатор объекта)» на странице «Базовая конфигурация SAML» Azure.

    Идентификатор панели администратора Duo выглядит так: https://admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678/metadata .

  9. Скопируйте URL-адрес ответа из раздела «Метаданные для настройки в Azure» на странице «Параметры входа администратора» в панели администратора Duo. Вставьте URL-адрес ответа из Duo в поле URL-адрес ответа (служба потребителей утверждений) в Azure.

    URL-адрес ответа панели администратора Duo выглядит так: https://admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678/acs .

  10. Оставьте все остальные поля пустыми, нажмите Сохранить и закройте редактор «Базовая конфигурация SAML».

  11. Прокрутите вниз до раздела «Пользовательские атрибуты и утверждения» и щелкните значок карандаша Изменить .

  12. Щелкните по уникальному идентификатору пользователя (идентификатор имени) обязательному требованию.

  13. На странице «Управление заявкой» для заявки «nameidentifier» используйте раскрывающийся список, чтобы изменить атрибут Источник на user.onpremisessamaccountname и нажмите Сохранить .

  14. Убедитесь, что существует утверждение атрибута электронной почты с именем утверждения http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name и значением user.mail . Щелкните существующее утверждение http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name и на странице «Управление заявкой» для этого утверждения используйте раскрывающийся список, чтобы изменить атрибут источника пользователю.почта .

    Если эта претензия не существует, щелкните Добавить новую претензию и введите следующую информацию:

    Имя название
    Пространство имен http://schemas.xmlsoap.org/ws/2005/05/identity/claims
    Источник Выбрать атрибут
    Атрибут источника user.mail

    Нажмите Сохранить .

  15. Закройте редактор «Атрибуты пользователя и утверждения».

  16. Прокрутите вниз до раздела «Сертификат подписи SAML» и щелкните значок карандаша Изменить .

  17. Измените параметр подписи на Подписать ответ и утверждение SAML . Нажмите Сохранить и закройте редактор «Сертификат подписи SAML».

  18. Щелкните ссылку Загрузить рядом с Federation Metadata XML в разделе SAML Signing Certificate , чтобы загрузить файл метаданных единого входа Azure.Загруженный XML-файл имеет то же имя, что и ваше приложение единого входа в Azure, например Duo Admin Panel.xml . Создание файла метаданных в Azure может занять несколько минут после создания нового приложения.

Не пробуйте пока тестировать систему единого входа!

Полная конфигурация панели администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings , если они больше не выбраны.

  3. Измените «Поставщик удостоверений» на Azure .

  4. Измените «Метод конфигурации» на из файла .

  5. «Файл метаданных» — это метаданные XML SAML, которые вы ранее загрузили с портала Azure.Нажмите кнопку Выбрать файл , чтобы выбрать файл Duo Admin Panel.xml (или как вы назвали свое приложение единого входа в Azure).

  6. Нажмите кнопку Сохранить внизу страницы.

Проверить единый вход и назначить приложение
  1. Вернитесь на страницу конфигурации SAML панели администратора Azure Duo. Теперь вы можете протестировать систему единого входа. Если проверка прошла успешно, переходите к следующему шагу. Если нет, просмотрите предыдущие шаги настройки.

  2. Щелкните элемент управления Пользователи и группы на странице приложения «Панель администратора Duo» и назначьте это приложение тем администраторам Duo, которые войдут в панель администратора Duo с помощью системы единого входа.

Для настройки единого входа администратора Duo с помощью Google необходимо ввести информацию из панели администратора Duo в консоль администратора Google и наоборот.

Google не поддерживает зашифрованные утверждения.

Запустите конфигурацию панели администратора Duo
  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на Google .

  4. Прокрутите страницу вниз до раздела «Метаданные для настройки с помощью Google». Вам нужно будет ввести Entity ID и URL-адрес ACS на портале администратора Azure в следующем наборе шагов.

Настроить приложение панели администратора Duo в Google
  1. На другой вкладке или в окне браузера войдите в консоль администратора Google как пользователь с ролью «Суперадминистратор» или правами «Настройки безопасности». Перейдите к приложениям SAML Apps .

  2. На странице «Приложения SAML» щелкните желтый знак плюса в правом нижнем углу, чтобы начать создание нового приложения SAML.

  3. На шаге 1 страницы «Включить систему единого входа для приложения SAML» нажмите НАСТРОЙКА МОЕ СОБСТВЕННОЕ ПОЛЬЗОВАТЕЛЬСКОЕ ПРИЛОЖЕНИЕ внизу.

  4. На шаге 2 страницы «Информация об IdP Google» нажмите кнопку IDP Metadata Download в разделе «Вариант 2». Нажмите Далее .

  5. На шаге 3 страницы «Основная информация для вашего пользовательского приложения» введите имя и описание для нового приложения. Далее в этих инструкциях предполагается, что вы назвали приложение Duo Admin Panel . Загружать логотип необязательно. Нажмите Далее .

  6. Вернитесь в панель администратора Duo и скопируйте Entity ID из раздела «Метаданные для настройки с помощью Google» на странице «Настройки входа администратора».Вставьте идентификатор объекта из Duo в поле Идентификатор объекта на странице шага 4 «Сведения о поставщике услуг».

    Идентификатор объекта панели администратора Duo выглядит так: https://admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678/metadata .

  7. Скопируйте URL ACS из раздела «Метаданные для настройки с помощью Google» на странице «Настройки входа администратора» в панели администратора Duo. Вставьте URL-адрес ACS из Duo в поле URL-адрес ACS на странице шага 4 «Сведения о поставщике услуг».

    URL ACS панели администратора Duo выглядит так: https://admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678/acs .

    Не устанавливайте флажок рядом с параметром «Подписанный ответ».

  8. Оставьте для «ID имени» значение «Основная информация» и «Основной адрес электронной почты». Измените формат идентификатора имени на EMAIL . Нажмите кнопку «Далее.

  9. Нажмите Завершить на странице шага 5 «Сопоставление атрибутов», поскольку сопоставление не требуется.Приложение единого входа в панели администратора Duo создано, но будет отключено для всех, пока вы его не включите. Нажмите ОК в диалоговом окне подтверждения.

  10. Щелкните значок настроек на странице приложения панели администратора Duo и выберите, чтобы включить его: ВКЛ для всех или ВКЛ для некоторых организаций , а затем выберите подразделения, содержащие администраторов Duo, которые войдут в панель администратора Duo с SSO. Подтвердите новое назначение в диалоговом окне подтверждения.

Полная конфигурация панели администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings , если они больше не выбраны.

  3. Измените «Поставщик удостоверений» на Google .

  4. Измените «Метод конфигурации» на из файла .

  5. «Файл метаданных» — это метаданные SAML XML IDP, которые вы загрузили ранее из консоли администратора Google.Нажмите кнопку Выбрать файл , чтобы выбрать файл GoogleIDPMetadata-yourdomain.com.xml .

  6. Нажмите кнопку Сохранить внизу страницы.

Для настройки единого входа администратора Duo с помощью Okta требуется ввести информацию из панели администратора Duo на портале администратора Okta и наоборот.

Запустите конфигурацию панели администратора Duo
  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на Okta .

  4. Прокрутите страницу вниз до раздела «Метаданные для настройки с помощью Okta». Вам нужно будет ввести URL-адрес SAML на портале администратора Okta в следующем наборе шагов.

Настройте приложение панели администратора Duo в Okta
  1. Войдите в Okta как администратор.Нажмите кнопку Admin в правом верхнем углу экрана.

  2. На странице «Панель мониторинга» щелкните пункт меню Приложения вверху. На странице «Приложения» нажмите кнопку Добавить приложение .

  3. Введите Duo Admin Panel в строку поиска на странице «Добавить приложение». Выберите приложение Okta «Панель администратора Duo», нажав кнопку Добавить .

  4. На странице «Добавить панель администратора Duo» установите флажки рядом с Не отображать значок приложения для пользователей и Не отображать значок приложения в параметрах приложения Okta Mobile и нажмите кнопку Готово, .

  5. На странице приложения Okta «Панель администратора Duo» щелкните вкладку Войти в систему , а затем нажмите кнопку Изменить .

  6. Щелкните ссылку метаданных поставщика удостоверений в разделе «СПОСОБЫ ВОЙТИ» на странице. Будет загружен файл метаданных . Вам нужно будет предоставить Duo информацию из этого файла для завершения установки.

  7. Прокрутите страницу вниз до раздела «РАСШИРЕННЫЕ НАСТРОЙКИ РЕГИСТРАЦИИ».Вернитесь в панель администратора Duo и скопируйте URL-адрес SAML из раздела «Метаданные для настройки с помощью Okta» на странице «Настройки входа администратора». Вставьте URL-адрес SAML из Duo в поле URL-адрес SAML в разделе «РАСШИРЕННЫЕ ПАРАМЕТРЫ ВХОДА» для приложения Okta панели администратора Duo.

    URL-адрес SAML панели администратора Duo выглядит так: https://admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678 .

  8. Нажмите кнопку Сохранить .

  9. Щелкните вкладку Assignments на странице приложения Okta «Панель администратора Duo». Назначьте приложение панели администратора Duo пользователям или группам Okta, которые будут использовать систему единого входа Okta для входа в панель администратора Duo. Убедитесь, что имена пользователей для этих пользователей являются адресами электронной почты, соответствующими их имени пользователя для входа в систему администратора Duo.

Полная конфигурация панели администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings , если они больше не выбраны.

  3. Измените «Поставщик удостоверений» на Okta .

  4. Измените «Метод конфигурации» на Вставьте .

  5. Откройте файл метаданных , который вы загрузили с Okta, в текстовом редакторе. Скопируйте все содержимое этого файла и вставьте его в поле метаданных XML в разделе «Параметры поставщика удостоверений SAML».

  6. Нажмите кнопку Сохранить внизу страницы.

Для настройки единого входа администратора Duo с помощью OneLogin требуется ввести информацию из панели администратора Duo на портал администратора OneLogin и наоборот.

Запустите конфигурацию панели администратора Duo
  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на OneLogin .

  4. Прокрутите страницу до раздела «Метаданные для настройки с помощью OneLogin». Вам нужно будет ввести URL-адрес SAML на портале администратора OneLogin в следующем наборе шагов.

Настройка приложения панели администратора Duo в OneLogin
  1. На другой вкладке или в окне браузера войдите в OneLogin как пользователь с правами администратора и нажмите Администрирование вверху, чтобы получить доступ к порталу конфигурации.Перейдите к ПРИЛОЖЕНИЯ Добавить приложения .

  2. Введите Duo Admin Panel в поле поиска «Найти приложения». Он должен возвращать только один результат приложения SAML 2.0 под названием «Панель администратора Duo». Щелкните приложение панели администратора Duo, чтобы создать его.

  3. На странице «Конфигурация» щелкните переключатель Видимо на портале , чтобы выключить его.

  4. Нажмите Сохранить вверху экрана.

  5. Перейдя на страницу приложения панели администратора Duo в OneLogin, щелкните вкладку Configuration в верхней части экрана.

  6. Вернитесь в панель администратора Duo и скопируйте URL-адрес SAML из раздела «Метаданные для настройки с помощью OneLogin» на странице «Настройки входа администратора». Вставьте URL-адрес SAML из Duo в поле Имя хоста в поле URL-адрес SAML рядом с полем «Сведения о приложении».

    URL-адрес SAML панели администратора Duo выглядит так: https: // admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678 .

  7. Нажмите кнопку Сохранить на странице конфигурации приложения OneLogin.

  8. Щелкните вкладку SSO вверху экрана.

  9. Измените «Алгоритм подписи SAML» на SHA-256 и нажмите СОХРАНИТЬ .

  10. Вернуться на вкладку SSO . Щелкните ссылку Просмотреть подробности под «Сертификатом X.509».

  11. На странице «Стандартный сертификат прочности (2048-бит)» в разделе «Сертификат X.509» выберите X.509 PEM из раскрывающегося списка и нажмите ЗАГРУЗИТЬ . Будет загружен файл onelogin.pem , который вы позже загрузите в панель администратора Duo.

  12. Щелкните стрелку назад слева от «Сертификата стандартной надежности (2048-бит)», чтобы вернуться к настройкам приложения OneLogin в панели администратора Duo. Снова щелкните SSO в верхней части экрана.

  13. Вам нужно будет предоставить информацию со страницы «SSO» OneLogin в панели администратора Duo, поэтому оставьте эту страницу открытой.

Полная конфигурация панели администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings , если они больше не выбраны.

  3. Измените «Поставщик удостоверений» на OneLogin .

  4. Оставьте для параметра «Метод конфигурации» значение Ручной ввод .

  5. Скопируйте URL-адрес эмитента со страницы единого входа OneLogin и вставьте его в поле «Идентификатор объекта » или «Идентификатор эмитента» панели администрирования Duo.

    Пример: https://app.onelogin.com/saml/metadata/123456

  6. Скопируйте конечную точку SAML 2.0 (HTTP) со страницы системы единого входа OneLogin и вставьте ее в поле URL-адреса службы утверждения или URL-адреса единого входа на панели администратора Duo.

    Пример: https://your-org.onelogin.com/trust/saml2/http-post/sso/123456

  7. «Сертификат» — это сертификат OneLogin, который вы скачали ранее. Нажмите кнопку «Выбрать файл », чтобы выбрать файл onelogin.pem . Загрузите сертификат.

  8. Нажмите кнопку Сохранить внизу страницы.

Не забудьте назначить новое приложение OneLogin «Панель администратора Duo» пользователям, которые будут входить в панель администратора Duo с помощью системы единого входа.

Для настройки единого входа администратора Duo с помощью PingOne требуется ввести информацию из панели администратора Duo в PingOne и наоборот.

PingOne не поддерживает зашифрованные утверждения.

Запустите конфигурацию панели администратора Duo
  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на PingOne .

  4. Прокрутите вниз до раздела «Метаданные для настройки с помощью PingOne» и щелкните ссылку duo_saml_metadata.xml , чтобы загрузить копию файла метаданных. Имя загруженного файла — duo_saml_metadata.xml . Этот файл метаданных создается для вашей учетной записи клиента Duo и должен использоваться для завершения настройки системы единого входа до истечения 30 дней с момента загрузки. После использования файла метаданных для настройки единого входа срок действия конфигурации не истекает.

Настройте приложение панели администратора Duo в PingOne
  1. На другой вкладке или в окне браузера войдите в портал администрирования PingOne по адресу https://admin.pingone.com.

  2. Перейдите на страницу «Приложения» и щелкните раскрывающееся меню Новое приложение . Выберите вариант «Новое приложение SAML».

  3. Введите имя , описание и категорию для приложения панели администратора Duo.

  4. Нажмите кнопку Выбрать файл рядом с полем «Загрузить метаданные». Выберите файл duo_saml_metadata.xml , который вы скачали из панели администратора Duo ранее. При загрузке файла необходимые поля заполняются за вас.

  5. Загрузите метаданные PingOne IdP, щелкнув ссылку «Метаданные SAML». Загрузить . Этот файл метаданных понадобится вам для завершения настройки панели администратора Duo.

  6. Нажмите Перейти к следующему шагу .Никаких других атрибутов не требуется, поэтому нажмите Сохранить и опубликовать , а затем нажмите Завершить на следующей странице.

Полная конфигурация панели администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings , если они больше не выбраны.

  3. Измените «Поставщик удостоверений» на PingOne .

  4. Измените «Метод конфигурации» на из файла .

  5. «Файл метаданных» — это метаданные XML SAML, которые вы ранее загрузили с PingOne. Нажмите кнопку Выбрать файл , чтобы выбрать файл метаданных PingOne.

  6. Нажмите кнопку Сохранить внизу страницы.

Для настройки единого входа администратора Duo с помощью PingFederate необходимо ввести информацию из панели администратора Duo в PingFederate и наоборот.

Запустите конфигурацию панели администратора Duo
  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на PingFederate .

  4. Установите флажок рядом с Требовать шифрования утверждений SAML , если вы хотите использовать шифрование.

  5. Прокрутите страницу вниз и нажмите Сохранить .

  6. Прокрутите вниз до раздела «Метаданные для настройки с помощью PingFederate». Вам нужно будет скопировать информацию отсюда и вставить в PingFederate для завершения настройки единого входа. Если вы используете зашифрованные утверждения, важно сохранить конфигурацию единого входа перед настройкой PingFederate. Убедитесь, что метаданные Duo содержат информацию, необходимую для шифрования.

Настройте приложение панели администратора Duo в PingFederate
  1. На другой вкладке или в окне браузера войдите в консоль администратора PingFederate.

  2. Перейдите на страницу «IdPConfiguration» в разделе «SP CONNECTIONS» и щелкните Create New .

  3. На странице «Подключение SP — Тип подключения» в разделе «Шаблон подключения» убедитесь, что BROWSER SSO PROFILES — единственный отмеченный параметр. Нажмите Далее .

  4. На странице «Подключение SP — Параметры подключения» в разделе «SSO браузера» убедитесь, что BROWSER SSO является единственным отмеченным параметром. Нажмите Далее .

  5. В «SP Connection — Import Metadata» рядом с «METADATA» выберите URL .

    Вернитесь в панель администратора Duo и скопируйте URL-адрес метаданных из раздела «Метаданные для настройки с помощью PingFederate» на странице «Настройки входа администратора». Вставьте URL-адрес метаданных из Duo в поле NEW URL .

    URL-адрес метаданных панели администратора Duo выглядит так: https://admin-abcd1234.duosecurity.com/saml/D1ABCDEFGh22345678/metadata .

  6. Оставьте СУЩЕСТВУЮЩЕЕ ИМЯ URL по умолчанию и ВКЛЮЧИТЬ АВТОМАТИЧЕСКУЮ ПЕРЕЗАГРУЗКУ и нажмите Загрузить метаданные . Страница перезагрузится и сообщит: «Метаданные успешно загружены». Нажмите Далее .

  7. Просмотрите информацию на странице «Соединение SP — сводка метаданных» и нажмите Далее .

  8. На странице «SP Connection — General Info» некоторые поля уже должны быть заполнены информацией из метаданных Duo.Вы можете заполнить другую дополнительную информацию. Нажмите Далее .

  9. На странице «SP Connection — Browser SSO» нажмите Configure Browser SSO .

  10. На странице «Подключение SP — SSO браузера — Профили SAML» в разделе «Профили единого входа (SSO)» установите флажки рядом с IDP-INITIATED SSO и SP-INITIATED SSO . Не устанавливайте флажки в полях «Профили с одним выходом из системы (SLO)». Нажмите Далее .

  11. На странице «SP Connection — Browser SSO — Assertion Lifetime» вы можете изменить время, в течение которого подтверждение SAML для PingFederate остается действительным.Если вы не знакомы с SAML, мы рекомендуем оставить эти настройки по умолчанию. Нажмите Далее .

  12. На странице «SP Connection — Browser SSO — Assertion Creation» нажмите Configure Assertion Creation .

  13. На странице «Подключение SP — SSO браузера — Создание утверждения — Сопоставление идентификаторов» выберите СТАНДАРТ и нажмите Далее .

  14. На странице «SP Connection — Browser SSO — Assertion Creation — Attribute Contract» убедитесь, что в разделе «Subject Name Format» urn: oasis: names: tc: SAML: 1.1: nameid-format: unspecified Выбрано . Оставьте для всех остальных параметров на странице значения по умолчанию. Нажмите Далее .

  15. На странице «Подключение SP — SSO браузера — Создание утверждения — Сопоставление источника аутентификации» щелкните Сопоставить новый экземпляр адаптера .

  16. На странице «Подключение SP — Система единого входа в браузере — Создание утверждения — Сопоставление адаптера IdP — Экземпляр адаптера» рядом с «Экземпляр адаптера» выберите источник аутентификации, который вы хотите использовать для проверки учетных данных пользователей, выполняющих вход в панель администратора Duo. через SAML.Для панели администратора Duo требуется атрибут IdP из исходного каталога, значение которого совпадает с адресом электронной почты существующего пользователя-администратора Duo. Нажмите Далее .

  17. На странице «Подключение SP — SSO браузера — Создание утверждения — Сопоставление адаптера IdP — Метод сопоставления» в разделе «Контракт адаптера» выберите параметр ИСПОЛЬЗОВАТЬ ТОЛЬКО ЗНАЧЕНИЯ КОНТРАКТА АДАПТЕРА В УТВЕРЖДЕНИИ SAML и нажмите Далее .

  18. На странице «Подключение SP — SSO браузера — Создание утверждения — Сопоставление адаптера IdP — Выполнение атрибутивного контракта» рядом с «SAML_SUBJECT» щелкните раскрывающийся список под «Источник» и выберите Адаптер .Страница перезагрузится. В разделе «Значение» выберите имя атрибута, который содержит значение адреса электронной почты. Нажмите Далее .

  19. Для параметров «Подключение SP — SSO браузера — Создание утверждения — Сопоставление адаптера IdP — Критерии выдачи» можно оставить значения по умолчанию, если вы не хотите ограничить объем доступа пользователей к этому поставщику услуг. Пожалуйста, обратитесь к документации PingFederate для получения дополнительной информации. Нажмите Далее .

  20. На странице «Подключение SP — SSO браузера — Создание утверждения — Сопоставление адаптера IdP — Сводка» проверьте правильность информации и нажмите Готово .

    Вы вернетесь на страницу «SP Connection — Browser SSO — Assertion Creation». Нажмите Далее .

  21. На странице «SP Connection — Browser SSO — Assertion Creation» нажмите Done и затем нажмите Next .

  22. На странице «SP Connection — Browser SSO — Protocol Settings» нажмите Configure Protocol Settings .

  23. На странице «SP Connection — Browser SSO — Protocol Settings — Assertion Consumer Service URL» уже должен быть «URL конечной точки», заполненный из метаданных Duo.Нажмите Далее .

  24. На странице «Подключение SP — SSO браузера — Настройки протокола — Допустимые привязки SAML» убедитесь, что выбраны только POST и REDIRECT . Снимите все флажки со всех остальных опций. Нажмите Далее .

  25. На странице «Подключение SP — SSO браузера — Настройки протокола — Политика подписи» убедитесь, что ТРЕБУЕТ ПОДПИСАТЬ ЗАПРОСЫ ПОДПИСАТЬ ПРИ ПОЛУЧЕНИИ ЧЕРЕЗ ПРИВЯЗКИ ПОСЛЕДОВАТЕЛЬНОЙ ИЛИ ПЕРЕПРАВИЛЬНОЙ СВЯЗИ не отмечен, а ВСЕГДА ПОДПИСАН НА УТВЕРЖДЕНИЕ SAML .Нажмите Далее .

  26. На странице «SP Connection — Browser SSO — Protocol Settings — Encryption Policy» выберите NONE и нажмите Next.

  27. На странице «SP Connection — Browser SSO — Protocol Settings — Summary» просмотрите информацию и нажмите Готово .

  28. На странице «SP Connection — Browser SSO — Protocol Settings» нажмите Next .

  29. На странице «SP Connection — Browser SSO — Summary» нажмите Done .

  30. На странице «SP Connection — Browser SSO» нажмите Next .

  31. На странице «Подключение SP — Учетные данные» нажмите Настроить учетные данные .

  32. На странице «Подключение SP — Учетные данные — Настройки цифровой подписи» выберите сертификат подписи SAML IdP из раскрывающегося списка рядом с СЕРТИФИКАТ ПОДПИСИ .

    Установите флажки рядом с ВКЛЮЧИТЬ СЕРТИФИКАТ В ЭЛЕМЕНТ ПОДПИСИ и ВКЛЮЧИТЕ СЫРОЧНЫЙ КЛЮЧ В ЭЛЕМЕНТ ПОДПИСИ .

    Выберите RSA SHA256 из раскрывающегося списка рядом с «Алгоритм подписи» и нажмите Готово.

  33. На странице «Подключение SP — Учетные данные» нажмите Далее .

  34. На странице «SP Connection — Activation & Summary» рядом с «Connection Status» выберите ACTIVE .

  35. Прокрутите страницу вниз и нажмите Сохранить . Вы вернетесь на главную страницу.

  36. Щелкните Конфигурация сервера в меню слева.

  37. В разделе «Административные функции» выберите Экспорт метаданных .

  38. На странице «Экспорт метаданных — роль метаданных» выберите Я ПРОВАЙДЕР ИДЕНТИФИКАЦИИ (IDP) и нажмите Далее .

  39. На странице «Экспорт метаданных — режим метаданных» выберите ИСПОЛЬЗОВАТЬ СОЕДИНЕНИЕ ДЛЯ ГЕНЕРАЦИИ МЕТАДАННЫХ и нажмите Далее .

  40. На странице «Экспорт метаданных — метаданные подключения» в раскрывающемся списке выберите поставщика услуг панели администратора Duo, который вы настроили ранее в PingFederate.Нажмите Далее .

  41. На странице «Экспорт метаданных — подпись метаданных» выберите сертификат подписи IdP SAML, который вы выбрали при настройке поставщика услуг панели администратора Duo ранее в раскрывающемся списке.

    Установите флажки рядом с ВКЛЮЧИТЬ СЕРТИФИКАТ В ЭЛЕМЕНТ ПОДПИСИ и ВКЛЮЧИТЕ СЫРОЧНЫЙ КЛЮЧ В ЭЛЕМЕНТ ПОДПИСИ .

    Выберите RSA SHA256 из раскрывающегося списка рядом с «Алгоритм подписи» и нажмите Далее .

  42. Просмотрите информацию на странице «Экспорт метаданных — Экспорт и сводка». Щелкните Экспорт , чтобы загрузить XML-файл поставщика удостоверений PingFederate. После получения файла нажмите Готово .

Полная конфигурация панели администратора Duo
  1. Вернитесь в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings , если они больше не выбраны.

  3. Измените «Поставщик удостоверений» на PingFederate .

  4. Измените «Метод конфигурации» на из файла .

  5. «Файл метаданных» — это XML-файл поставщика удостоверений PingFederate, который вы загрузили ранее из консоли PingFederate. Нажмите кнопку Выбрать файл , чтобы выбрать файл метаданных PingFederate.

  6. Нажмите кнопку Сохранить внизу страницы.

Для настройки единого входа администратора Duo с помощью Shibboleth требуется ввести информацию из панели администратора Duo в Shibboleth и наоборот.

Duo Конфигурация панели администратора
  1. Получите XML-файл метаданных для своего поставщика идентификационной информации Shibboleth.

    Если вы не можете получить XML-файл метаданных, соберите следующую информацию: EntityID , URL-адрес единого входа для привязки HTTP-Redirect и сертификат подписи для вашего Shibboleth IdP.

  2. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  3. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  4. Измените «Поставщик удостоверений» на Shibboleth .

  5. Если у вас есть XML-файл метаданных Shibboleth IdP, измените «Метод конфигурации» на из файла .Нажмите Выбрать файл , чтобы выбрать XML-файл метаданных Shibboleth IdP.

    Если у вас нет XML-файла метаданных Shibboleth IdP, измените «Метод конфигурации» на «Ввод вручную» и введите «EntityID» из Shibboleth как Entity ID и «URL-адрес единого входа для HTTP-перенаправления. привязка »из Shibboleth как URL-адрес единого входа .

    Нажмите . Выберите файл рядом с полем Сертификат и выберите файл сертификата подписи Shibboleth IdP.

  6. Установите флажок рядом с Требовать шифрования утверждений SAML , если вы хотите использовать шифрование.

  7. Прокрутите страницу вниз и нажмите Сохранить .

  8. Прокрутите до «Загрузить XML-файл» в разделе «Метаданные для настройки с помощью Shibboleth» и щелкните ссылку duo_saml_metadata.xml , чтобы загрузить копию файла метаданных. Имя загруженного файла — duo_saml_metadata.xml .Этот файл метаданных создается для вашей учетной записи клиента Duo и должен использоваться для завершения настройки системы единого входа до истечения 30 дней с момента загрузки. После использования файла метаданных для настройки единого входа срок действия конфигурации не истекает.

    Если вы используете зашифрованные утверждения, важно сохранить конфигурацию единого входа перед загрузкой метаданных Duo, чтобы убедиться, что она включает информацию, необходимую для шифрования.

Настройте приложение панели администратора Duo в Shibboleth
  1. Добавьте duo_saml_metadata.xml , который вы загрузили из панели администратора Duo в конфигурацию Shibboleth, и создайте новый поставщик метаданных , указывающий на него.

  2. При необходимости добавьте новый профиль проверяющей стороны для панели администратора Duo. Убедитесь, что профиль, который будет использоваться для панели администратора, имеет поток SAML2.SSO auth , и включите urn: oasis: names: tc: SAML: 2.0: nameid-format: постоянный формат nameID , если это не ‘ t включен.

  3. Определите почтовый атрибут urn: oid: 0.9.2342.100.100.1.3 и выпустите его. Это значение будет использоваться для идентификации администраторов в панели администратора Duo, поэтому оно должно совпадать с адресами электронной почты администратора, настроенными в панели администратора.

  4. При необходимости включите Создание постоянного NameID .

Если ваш поставщик удостоверений SAML 2.0 не указан по имени, используйте Custom Identity Provider . Вам нужно будет проконсультироваться с документацией вашего поставщика IdP, чтобы узнать, как добавить настраиваемого поставщика услуг, и использовать эти инструкции для настройки приложения панели администратора Duo.

При настройке своего IdP для приложения панели администратора Duo обязательно отправьте адрес электронной почты пользователей в качестве постоянного идентификатора имени в утверждении SAML.

Обратитесь к поставщику IdP, чтобы определить, поддерживает ли он зашифрованные утверждения.

  1. Перейдите в раздел «Единый вход с конфигурацией SAML» на странице «Настройки входа администратора» в панели администратора Duo.

  2. Выберите опцию Optional или Required «Аутентификация с помощью SAML», чтобы открыть SAML Identity Provider Settings .

  3. Измените «Поставщик удостоверений» на Пользовательский поставщик удостоверений .

  4. Если ваш поставщик удостоверений предоставляет метаданные XML для настройки поставщика услуг, вы можете загрузить или скопировать их со своего IdP и ввести их в панели администратора Duo, изменив метод конфигурации на Из файла или Вставить при необходимости и либо загрузите файл XML, либо вставьте информацию о метаданных в предоставленное поле.Переходите к шагу 7.

  5. Если ваш поставщик удостоверений не предлагает свои метаданные в формате XML, измените метод конфигурации на Ручной ввод .

    Введите идентификатор объекта или идентификатор эмитента и URL-адрес клиентской службы утверждения или URL-адрес единого входа , полученный от вашего IdP.

  6. Загрузите сертификат подписи вашего поставщика удостоверений, выберите его для загрузки в Duo с помощью кнопки Выбрать файл и загрузите сертификат своего IdP.

  7. Настройте параметры безопасности для своего поставщика удостоверений в разделе «Дополнительные параметры SAML». Большинство IdP не требуют изменений. Перед изменением этих параметров проверьте поддержку подписи SHA и требования подписи у своего поставщика удостоверений, поскольку они снижают безопасность для входа в систему с единым входом.

  8. Если ваш поставщик удостоверений поддерживает зашифрованные утверждения SAML, установите флажок рядом с Требовать шифрования утверждений SAML .

  9. По завершении нажмите кнопку Сохранить внизу страницы.

  10. Скопируйте информацию метаданных для приложения поставщика услуг панели администратора Duo и предоставьте ее поставщику удостоверений. Если ваш IdP поддерживает загрузку или вставку файла метаданных XML, вы можете загрузить файл duo_saml_metadata.xml из Duo и загрузить или скопировать его на свой IdP. Этот файл метаданных создается для вашей учетной записи клиента Duo и должен использоваться для завершения настройки системы единого входа до истечения 30 дней с момента загрузки. После использования файла метаданных для настройки единого входа срок действия конфигурации не истекает.

    Если вы используете зашифрованные утверждения, важно сохранить конфигурацию единого входа перед загрузкой метаданных Duo, чтобы убедиться, что она включает информацию, необходимую для шифрования.

Тестовый вход в систему SSO

Система единого входа администратора при входе в систему после ввода имени пользователя различается в зависимости от того, установлено ли для параметра «Аутентификация с помощью SAML» значение «Необязательно» или «Требуется».

Требуется вход в систему через систему единого входа

Нажмите кнопку Перейти к поставщику удостоверений , чтобы перейти к поставщику удостоверений (IdP) вашей организации, где вы войдете в систему с учетными данными основного пользователя.

Вход через систему единого входа Дополнительно

При нажатии кнопки «Войти с помощью единого входа» Кнопка приведет вас к поставщику идентификационной информации вашей организации для завершения первичной аутентификации.

Если вы создали пароль для панели администратора Duo, вы можете использовать его вместо SSO. Щелкните Войти с использованием пароля , чтобы открыть форму ввода пароля. Введите пароль администратора и нажмите Войти .

После завершения входа в систему с помощью своего IdP или с помощью пароля вы будете отправлены обратно в Duo для завершения двухфакторной аутентификации и завершения входа в панель администратора.

Поиск и устранение неисправностей

Нужна помощь? Попробуйте поискать в статьях нашей базы знаний или в обсуждениях в сообществе. Для получения дополнительной помощи обратитесь в службу поддержки.

Санкт-Петербургская Библиотечная Система — Часто задаваемые вопросы

Как мне получить читательский билет?

Вы можете подать заявку на получение библиотечного билета онлайн, щелкнув «Заявление на получение библиотечного билета» на вкладке «Библиотечные услуги» выше. Вы получите временный номер карты, который вы можете использовать для запроса товаров или для доступа к некоторым нашим базам данных.Вы должны посетить один из наших отделений в течение 30 дней, чтобы получить постоянную карту. Если вы подадите заявку лично в одной из наших библиотек, вы сразу же получите свою карту. Вы должны иметь при себе удостоверение личности с фотографией и подтверждение текущего адреса. Для получения более подробной информации о нашей политике щелкните здесь.

Как продлить книги онлайн?

Вы можете проверить свою учетную запись и продлить подписку онлайн, перейдя по ссылке «Моя учетная запись / Продление» на вкладке «Библиотечные услуги» выше.Вам понадобится номер штрих-кода вашей библиотеки и ваш пароль. Щелкните ссылку Items Out прямо под логотипом в верхнем левом углу страницы. Вы получите список выписанных вам товаров, когда они должны быть сданы, и возможность продлить те, которые имеют право на продление. Вы также можете продлить по телефону 727-286-6894.

Должен ли я возвращать элементы моей библиотеки в ту же библиотеку, где они были извлечены?

Нет, вы можете вернуть библиотечные материалы в любую публичную библиотеку округа Пинеллас.

Где мне найти номер штрих-кода моей библиотеки?

Ваш штрих-код — это 14-значное число на обратной стороне вашей карты кооператива публичной библиотеки Пинеллас.

Что делать, если я не знаю свой пароль?

На экране входа в учетную запись вы увидите ссылку «Забыли пароль?» Если вы нажмете на эту ссылку, ваш пароль будет отправлен на адрес электронной почты в вашей учетной записи библиотеки. Если в вашей учетной записи нет адреса электронной почты, попробуйте указать свою фамилию, состоящую только из строчных букв, или последние четыре цифры номера телефона.Если ни одно из этих действий не сработает, вам придется попросить сотрудника одной из наших библиотек сбросить для вас пароль. К сожалению, это невозможно сделать по телефону.

Я знаю свой пароль, но все еще не могу войти в свою учетную запись. Что я должен делать?

Проверьте номер штрих-кода. Возможно, вы используете старую карту, которая больше не действительна в системе. Также убедитесь, что вы НЕ ставите пробелы при вводе 14-значного числа. Если вы по-прежнему не можете войти в систему, попросите сотрудника проверить вашу учетную запись.

Я получаю сообщение о том, что срок действия моей учетной записи истек. Что это обозначает?

Срок действия учетных записей библиотеки

периодически истекает, чтобы мы могли своевременно узнавать об изменении адреса и номера телефона. Чтобы ваша карта оставалась активной, вам необходимо обновить учетную запись. Два простых шага — это все, что нужно для завершения вашего продления: необходимо очистить непогашенный остаток, и сотрудники кратко проверит ваш идентификатор и вашу контактную информацию. Обратите внимание, что общедоступные компьютеры библиотеки не принимают номера библиотечных билетов с истекшим сроком действия.

Что мне делать, если я потерял читательский билет?

Пожалуйста, немедленно сообщите нам, позвонив или посетив любую из наших библиотек. Мы сделаем пометку в вашем аккаунте. Пока ваша карта не будет заменена, вам потребуется предъявить удостоверение личности с фотографией, если кто-то попытается ее использовать. Это гарантирует, что неавторизованные пользователи не будут проверять элементы в вашей учетной записи. Вы можете получить новую карту за 1 доллар США в любой из наших библиотек.

Могу ли я оплатить штрафы за библиотеку кредитной или дебетовой картой?

В настоящее время нет, но мы планируем предоставить эту возможность в будущем.

Как мне запросить товар, который мне нужен?

Вы можете разместить запросы на желаемые предметы, перейдя в каталог нашей библиотеки: https://pplc.ent.sirsi.net/client/en_US/stpetersburg/. В поле поиска введите заголовок и нажмите кнопку поиска. Откроется новая страница со списком элементов, соответствующих вашему запросу. Найдите тот, который вам нужен, затем нажмите на опцию «Разместить удержание». Вам будет предложено ввести номер штрих-кода и пароль вашей библиотеки, введите их и нажмите «Войти». Выберите библиотеку, в которой вы хотите забрать свои книги, и нажмите «Поместить удержание».Вы получите уведомление, когда товары станут доступны.

Что делать, если я не могу найти то, что хочу в каталоге библиотеки?

Для предметов, которые не принадлежат нашим библиотекам-участникам, вы можете попробовать нашу услугу межбиблиотечного абонемента. Мы будем искать библиотеки по всей стране. Если имеется копия, она будет отправлена ​​вам в указанное вами место получения. Эта услуга ограничена печатными материалами, только . Обратите внимание, что этот процесс может занять 4-6 недель. Таким же образом мы можем получить для вас копии журнальных статей.Пожалуйста, ознакомьтесь с нашей Политикой межбиблиотечного ссуды для получения дополнительной информации и для онлайн-запроса .

Принимаете ли вы книги в дар?

Все наши библиотеки с радостью принимают пожертвования и при желании могут предоставить вам квитанцию. Просто посетите наиболее удобную для вас библиотеку со своим пожертвованием.

Как долго я могу пользоваться библиотечным компьютером?

Обычно компьютеры в наших библиотеках дают вам 90-минутный сеанс, когда вы входите в систему.Это зависит от некоторых библиотек. Ваш сеанс может быть короче, если на компьютере есть резервирование. Вы будете уведомлены об этом, когда войдете в систему. В каждой библиотеке также есть 30-минутные компьютеры, обычно в зонах для детей или подростков. Когда у вас останется 10 минут на сеанс, вы получите уведомление о том, что ваше время почти истекло. Помните, что в конце сеанса компьютер будет автоматически перезагружен, и вся ваша работа будет потеряна. Обязательно выделите достаточно времени для печати документов, если это необходимо.Общее количество минут, разрешенных в день для каждого местоположения, составляет 90 минут. Если все компьютеры используются, когда вы приходите в библиотеку, сотрудник может за вас зарезервировать место, дав вам время позже в тот же день, когда компьютер будет доступен. Вы также можете сделать заказ на следующий день, если хотите. Для получения дополнительной информации ознакомьтесь с нашей Политикой доступа к компьютеру или обратитесь к сотруднику местной библиотеки.

Есть ли беспроводной доступ в зданиях вашей библиотеки?

Да, все наши библиотеки имеют беспроводной доступ.Для получения более подробной информации нажмите здесь

Я больше не получаю от вас напоминаний или других уведомлений по электронной почте.

Пожалуйста, проверьте фильтр спама или нежелательной почты в своей учетной записи электронной почты и убедитесь, что наши электронные письма не попадают туда. Также, если можете, добавьте [email protected] И [email protected] в свой список надежных отправителей. Если у вас по-прежнему возникают проблемы, напишите нам по электронной почте

Я должен получать уведомление по телефону о книгах, которые я запросил.Я не получаю это уведомление.

Сообщите сотруднику или напишите нам по электронной почте, и мы проверим это за вас.

Как мне получить копию некролога об одном из моих родственников? Я думаю, это появилось в вашей местной газете.

Я бы хотел поработать волонтером в библиотеке. Вы принимаете волонтеров? Как мне зарегистрироваться?

Мы принимаем и ценим добровольцев в наших библиотеках. Однако наша политика требует, чтобы вам было не менее 14 лет, чтобы стать волонтером города.Чтобы стать волонтером в Западной общественной библиотеке в кампусе Гиббса Санкт-Петербургского колледжа, вам должно быть 16 лет. Пожалуйста, позвоните или посетите библиотекаря в наиболее удобном для вас отделении, чтобы обсудить возможности. Список всех наших библиотек с дополнениями, номерами телефонов и часами работы можно найти здесь.

Schwab предложит фрактальные сделки компаний S&P 500, таких как Amazon, Apple

Charles Schwab опубликовал более подробную информацию о своей новой функции дробного инвестирования, которая, как сообщается, дебютирует 9 июня.

Инвесторы, получившие название Schwab Stock Slices, смогут торговать дробными акциями любой компании S&P 500 по цене от 5 долларов за штуку.

Традиционно, чтобы купить отдельную акцию, вам нужно было покрыть, по крайней мере, цену одной акции, которая может варьироваться от нескольких долларов до нескольких тысяч, в зависимости от компании. В результате многие не смогли инвестировать в дорогие компании, такие как Amazon, стоимость которой в настоящее время превышает 2300 долларов за акцию.

Но с помощью нового онлайн-инструмента инвесторы могут покупать до 10 различных «долек» акций за один заказ.Каждая акция будет стоить одну и ту же сумму денег независимо от цены на нее. Каждый кусочек считается отдельной инвестицией и может быть продан по отдельности.

Это означает, что если у вас было 30 долларов для инвестирования и вы хотели купить Amazon, Facebook и Google, вы могли бы купить акции на сумму 10 долларов для каждой компании, независимо от цены их акций, без комиссии. Это значительно снижает стоимость входа для тех, кто заинтересован в торговле отдельными акциями.

Эти «срезы», как их называет Шваб, доступны на брокерских счетах компании, детских и индивидуальных пенсионных счетах, и ими можно торговать в режиме реального времени в течение дня.

Другие брокерские компании, включая Fidelity, Robinhood и SoFi, также предлагают частичное инвестирование.

Когда пробовать дробное инвестирование

Если вы заинтересованы в инвестировании в дробные акции, сначала убедитесь, что вы вносите приличную сумму на пенсионный счет и инвестируете в недорогие фонды, которые отслеживают такие индексы, как S&P 500, а не Финансовые эксперты говорят, что они выбирают отдельные компании для инвестирования.

Если вы уже вносите вклад в различные фонды на своем пенсионном счете и хотите баловаться отдельными акциями, то такие предложения, как Schwab, могут быть возможностью купить дорогие компании или протестировать компанию, не тратя кучу капитала. авансом.

Но вашим главным приоритетом должны быть ваши пенсионные инвестиционные счета. Инвестирование в индексные фонды помогает диверсифицировать ваши активы, что полезно в случае спада в определенном секторе. Индексные фонды также рентабельны, и исследования время от времени показывают, что пассивно управляемые фонды работают лучше, чем активно управляемые фонды.

Дробное инвестирование не должно быть основой ваших пенсионных сбережений, но если вы хотите опираться на то, что у вас уже есть, это может быть хорошим дополнением.

Не пропустите: Robinhood позволит пользователям инвестировать всего лишь за 1 доллар — вот что это значит для вас

Понравилась эта история? Подпишитесь на CNBC Сделайте это на YouTube!

Что такое SAML и как работает аутентификация SAML

Из этой статьи вы узнаете, что такое SAML, как он работает и как настроить поставщика удостоверений SAML с помощью Auth0.

Что такое SAML

Прежде чем переходить к техническому жаргону, давайте рассмотрим пример, демонстрирующий , что такое SAML, и , почему это полезно.

Вы только начали работать в новой компании Wizova. Они предоставили вам рабочий адрес электронной почты и доступ к панели управления. После входа в эту панель управления вы увидите значки всех внешних сервисов, которые использует компания: Salesforce, Expensify, Jira, AWS и другие.

Вы щелкаете значок Salesforce, в фоновом режиме происходит какое-то волшебство, и, прежде чем вы это заметите, вы входите в Salesforce, даже не вводя никаких учетных данных!

Как вы могли догадаться, «волшебство» было на самом деле SAML в действии.Так что здесь происходит?

SAML означает Security Assertion Markup Language . Это открытый стандарт на основе XML для передачи идентификационных данных между двумя сторонами: поставщиком удостоверений (IdP) и поставщиком услуг (SP).

Поставщик удостоверений — Выполняет проверку подлинности и передает удостоверение пользователя и уровень авторизации поставщику услуг.

Поставщик услуг — доверяет провайдеру удостоверений и разрешает данному пользователю доступ к запрошенному ресурсу.

В приведенном выше сценарии поставщиком удостоверений будет IdP, который использует Wizova, Auth0 . Поставщик услуг — Salesforce . Сотрудник Wizova входит в личный кабинет Wizova с помощью Auth0. Они щелкают значок Salesforce, и Salesforce распознает, что пользователь хочет войти в систему через SAML. Salesforce отправляет сотрудника обратно в Auth0 с запросом SAML, который просит Auth0 аутентифицировать пользователя. Поскольку сотрудник уже прошел аутентификацию с помощью Auth0, Auth0 проверяет сеанс и отправляет пользователя обратно в Salesforce с ответом SAML.Salesforce проверяет этот ответ, и, если он выглядит хорошо, сотруднику предоставляется доступ!

Преимущества аутентификации SAML

  • Улучшенное взаимодействие с пользователем — Для доступа к нескольким поставщикам услуг пользователям достаточно войти в систему только один раз. Это позволяет ускорить процесс аутентификации и меньше ожидать от пользователя запоминания нескольких учетных данных для каждого приложения. В приведенном выше примере этот пользователь мог щелкнуть любой из других значков на своей панели инструментов и сразу войти в систему без необходимости вводить дополнительные учетные данные!

  • Повышенная безопасность — SAML обеспечивает единую точку аутентификации, которая происходит у безопасного поставщика удостоверений.Затем SAML передает идентификационную информацию поставщикам услуг. Эта форма аутентификации гарантирует, что учетные данные отправляются только IdP напрямую.

  • Слабое связывание каталогов — SAML не требует сохранения и синхронизации информации пользователя между каталогами.

  • Снижение затрат для поставщиков услуг — Благодаря SAML вам не нужно хранить информацию об учетной записи в нескольких службах. Поставщик удостоверений несет это бремя.

Как работает аутентификация SAML?

Теперь, когда вы ознакомились с общим обзором того, как работает аутентификация SAML, давайте рассмотрим некоторые технические детали, чтобы увидеть, как все это выполняется.

Аутентификация единого входа SAML обычно включает поставщика услуг и поставщика удостоверений. Поток процесса обычно включает этапы установления доверия, и этапы аутентификации .

Рассмотрим этот пример:

  • Наш поставщик удостоверений: Auth0
  • Наш поставщик услуг — это вымышленный сервис, Загадат

Примечание: Поставщиком удостоверений может быть любая платформа управления удостоверениями.

Теперь пользователь пытается получить доступ к Zagadat , используя аутентификацию SAML.

Это последовательность операций:

  • Пользователь пытается войти в Zagadat из браузера.
  • Zagadat отвечает, генерируя запрос SAML.

  • Браузер перенаправляет пользователя на URL-адрес системы единого входа, Auth0
  • Auth0 анализирует запрос SAML и аутентифицирует пользователя.Это может быть имя пользователя и пароль или даже вход в социальную сеть. Если пользователь уже аутентифицирован на Auth0, этот шаг будет пропущен. После аутентификации пользователя Auth0 генерирует ответ SAML.

  • Auth0 возвращает закодированный ответ SAML браузеру.
  • Браузер отправляет ответ SAML на адрес Zagadat для проверки.
  • Если проверка прошла успешно, пользователь войдет в систему Zagadat и получит доступ к ресурсам, которые ему разрешено просматривать / изменять.

Схема процесса SAML

Обратите внимание на атрибуты, выделенные в запросе и ответе SAML. Вот глоссарий этих параметров:

  • ID: Новый номер для идентификации
  • IssueInstant: Временная метка, указывающая время создания
  • AssertionConsumerServiceURL: Интерфейс URL SAML поставщика услуг, куда поставщик удостоверений отправляет токен аутентификации.
  • Эмитент: EntityID (уникальный идентификатор) поставщика услуг
  • InResponseTo: Идентификатор запроса SAML, который принадлежит этому ответу
  • Получатель: EntityID (уникальный идентификатор) поставщика услуг

Аутентификация SAML с Auth0

Когда дело доходит до реализации SAML, Auth0 чрезвычайно расширяем и может обрабатывать несколько сценариев:

В этом примере вы узнаете, как реализовать аутентификацию SAML с использованием Auth0 в качестве поставщика удостоверений .

«При внедрении SAML Auth0 может выступать в качестве поставщика удостоверений, поставщика услуг или и того, и другого!»

Твитнуть

Предварительные требования

  • Учетная запись Auth0 — Если у вас ее еще нет, вы можете зарегистрировать бесплатную учетную запись здесь.
  • Учетная запись поставщика услуг, поддерживающая SAML . Как правило, большинство поставщиков услуг требуют, чтобы у вас была бизнес-учетная запись или какой-либо платный план для настройки SAML.Если у вас нет учетной записи для тестирования, вы также можете использовать SAMLTest, чтобы убедиться, что ваш Auth0 IdP настроен правильно.

На следующем изображении показан список поставщиков услуг, которые Auth0 поддерживает «из коробки», но у вас также есть возможность настроить настраиваемого поставщика услуг на панели управления.

Настроить поставщика услуг

В этом руководстве Zendesk будет использоваться в качестве поставщика услуг, но вы можете использовать любой SP по вашему выбору.

Чтобы настроить выбранного поставщика услуг, выполните следующие шаги на панели управления Auth0:

  1. Нажмите SSO Integrations на боковой панели
  2. Нажмите красную кнопку в правом верхнем углу, Create SSO Integration
  3. Выберите поставщика услуг, которого вы хотите настроить.
  4. Введите имя и / или любую необходимую идентификационную информацию и нажмите Сохранить

5. Следуйте инструкциям в Tutorial для вашего конкретного поставщика услуг

.

Примечание: На этом шаге вам потребуется ввести некоторые значения на стороне поставщика услуг.

Вот как это выглядит для Zendesk .

Сначала зайдите в Центр администрирования на панели инструментов Zendesk и нажмите Security . Затем нажмите SSO , и вы найдете настройки конфигурации SAML. Здесь вы вставите значения из панели инструментов Auth0.

После копирования этих значений последним шагом является включение внешней аутентификации для пользователей, которые должны иметь возможность входить в систему с помощью SAML.Zendesk позволяет включить это для конечных пользователей, штатных пользователей или и того, и другого.

Проверить

Теперь, когда все настроено на обоих концах, пришло время проверить это! Посмотрите видео ниже, чтобы продемонстрировать, как должен выглядеть финальный поток.

Как видите, после перехода по URL-адресу Zendesk вы перенаправляетесь обратно к Auth0, провайдеру удостоверений, для входа в систему. После проверки подлинности Auth0 отправляет эту информацию обратно в Zendesk. Zendesk проверяет ответ, определяет его действительность и предоставляет вам доступ к панели управления Zendesk.

Примечание: Вы могли заметить, что на видео пользователь вошел в систему с помощью системы единого входа Google. Это можно включить в панели управления Auth0. В следующем разделе вы увидите, как это реализовать.

Если вы вернетесь на панель инструментов Auth0, вы увидите запись пользователя, который только что вошел в систему!

Примечание: Если вы хотите отладить ответ SAML, посетите http://samltool.io. Этот инструмент может декодировать ответ SAML и служит полезным ресурсом для отладки.

Включить единый вход (необязательно)

Теперь, когда ваш поставщик услуг настроен с использованием Auth0, ваши пользователи могут входить в систему, используя адрес электронной почты и пароль по умолчанию. Распространенный вариант использования, особенно с аутентификацией SAML, — это когда пользователи входят в систему с помощью единого входа (SSO) с поставщиком социальной сети.

Auth0 поддерживает несколько провайдеров социальной идентификации, которые можно включить одним нажатием кнопки.

На панели управления щелкните Connections > Social на боковой панели.Выберите поставщика, которого вы хотите использовать, и заполните данные, необходимые для этого поставщика.

Примечание. Убедитесь, что вы используете свои собственные ключи для выбранного провайдера. Вы можете использовать ключи разработчика Auth0 по умолчанию для тестирования, но они не должны использоваться в производственной среде.

После того, как вы выбрали социальные связи, которые хотите использовать, вернитесь к SP, который вы настроили в SSO Integrations . Выберите SP и в разделе Connections вы должны увидеть только что созданное социальное соединение.Нажмите на переключатель, чтобы включить его, и теперь ваши пользователи готовы войти в систему с любым из перечисленных подключений!

Другие конфигурации SAML Auth0

Auth0 можно адаптировать, когда дело доходит до конфигурации SAML. Вот еще несколько способов настройки Auth0:

.
  • Настроить Auth0 в качестве поставщика услуг в федерации SAML
  • Конфигурации SAML для интеграции единого входа, таких как Google Apps, Hosted Graphite, Litmos, Cisco Webex, Sprout Video, FreshDesk, Tableau Server, Datadog и др.
  • Настройте Auth0 для использования других поставщиков удостоверений, таких как Okta, OneLogin, PingFederate 7, SalesForce, SiteMinder и SSOCircle
  • Настройте Auth0 как поставщика услуг и поставщика удостоверений

Заключение

Вы узнали, как работает проверка подлинности SAML, какие преимущества предоставляет SAML, и как реализовать SAML с Auth0 в качестве поставщика удостоверений.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *