MFAZu einem Benutzerpool hinzufügen - Amazon Cognito
VoraussetzungenMFABenutzereinstellungenKonfigurieren der Multi-Faktor-Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MFAZu einem Benutzerpool hinzufügen

MFAfügt dem anfänglichen Etwas, das Sie wissen, einen Authentifizierungsfaktor hinzu, bei dem es sich normalerweise um einen Benutzernamen und ein Passwort handelt. Sie können SMS Textnachrichten, E-Mail-Nachrichten oder zeitbasierte Einmalkennwörter (TOTP) als zusätzliche Faktoren für die Anmeldung Ihrer Benutzer wählen.

Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit für die lokalen Benutzer in Ihrer Anwendung. Im Fall von Verbundbenutzern delegiert Amazon Cognito alle Authentifizierungsprozesse an den IdP und bietet ihnen keine zusätzlichen Authentifizierungsfaktoren an.

Anmerkung

Wenn sich ein neuer Benutzer zum ersten Mal bei Ihrer App anmeldet, gibt Amazon Cognito OAuth 2.0-Token aus, auch wenn Ihr Benutzerpool dies erfordertMFA. Der zweite Authentifizierungsfaktor bei der Erstanmeldung Ihres Benutzer ist die Bestätigung der Verifizierungsnachricht, die Amazon Cognito an ihn sendet. Falls Ihr Benutzerpool dies erfordertMFA, fordert Amazon Cognito Ihren Benutzer auf, einen zusätzlichen Anmeldefaktor zu registrieren, der bei jedem Anmeldeversuch nach dem ersten verwendet werden kann.

Mit der adaptiven Authentifizierung können Sie Ihren Benutzerpool so konfigurieren, dass als Reaktion auf ein erhöhtes Risiko ein zusätzlicher Authentifizierungsfaktor erforderlich ist. Weitere Informationen darüber, wie Sie Ihrem Benutzerpool eine adaptive Authentifizierung hinzufügen, finden Sie unter Erweiterte Sicherheitsfunktionen für den Benutzerpool.

Wenn Sie required für einen Benutzerpool MFA auf festlegen, müssen alle Benutzer den Vorgang abschließenMFA, um sich anzumelden. Um sich anzumelden, muss jeder Benutzer mindestens einen MFA Faktor einrichten. Wenn Sie MFA diese Option festlegenrequired, müssen Sie das MFA Setup in das Benutzer-Onboarding einbeziehen, damit sie sich in Ihrem Benutzerpool anmelden können.

Die gehostete Benutzeroberfläche fordert Benutzer zur Einrichtung auf, MFA wenn Sie dies als erforderlich MFA festlegen. Wenn Sie in Ihrem Benutzerpool MFA die Option „optional“ festlegen, werden die Benutzer auf der gehosteten Benutzeroberfläche nicht aufgefordert. Um mit optional arbeiten zu könnenMFA, müssen Sie in Ihrer App eine Oberfläche erstellen, die Ihre Benutzer auffordert, auszuwählen, was sie einrichten möchtenMFA, und sie dann durch die API Eingaben führt, um ihren zusätzlichen Anmeldefaktor zu überprüfen.

Themen

Hinweise zu MFA

Beachten Sie vor der Einrichtung MFA Folgendes:

  • Die bevorzugte MFA Methode eines Benutzers beeinflusst die Methoden, mit denen er sein Passwort wiederherstellen kann. Benutzer, deren bevorzugte E-Mail-Nachricht MFA ist, können keinen Code zum Zurücksetzen des Passworts per E-Mail erhalten. Benutzer, deren bevorzugte SMS E-Mail-Nachricht MFA ist, können keinen Code zum Zurücksetzen des Passworts von erhalten. SMS

    Ihre Einstellungen zur Kennwortwiederherstellung müssen eine alternative Option bieten, wenn Benutzer nicht für Ihre bevorzugte Methode zum Zurücksetzen des Passworts in Frage kommen. Beispielsweise könnten Ihre Wiederherstellungsmechanismen E-Mail als erste Priorität einstufen und E-Mail MFA könnte eine Option in Ihrem Benutzerpool sein. Fügen Sie in diesem Fall SMS -message account recovery als zweite Option hinzu oder verwenden Sie administrative API Operationen, um die Passwörter für diese Benutzer zurückzusetzen.

  • Wenn Sie MFA in Ihrem Benutzerpool aktivieren und SMSTextnachricht als zweiten Faktor auswählen, können Sie SMS Nachrichten an ein Telefonnummernattribut senden, das Sie in Amazon Cognito nicht verifiziert haben. Nachdem Ihr Benutzer den Vorgang abgeschlossen hat SMSMFA, setzt Amazon Cognito sein phone_number_verified Attribut auftrue.

  • Nach fünf erfolglosen Versuchen, einen MFA Code zu präsentieren, startet Amazon Cognito den Sperrvorgang mit exponentiellem Timeout, der unter beschrieben ist. Ablauf der Authentifizierung in Benutzerpools

  • Wenn sich Ihr Konto in der SMS Sandbox befindet AWS-Region , die die Amazon Simple Notification Service (AmazonSNS) -Ressourcen für Ihren Benutzerpool enthält, müssen Sie die Telefonnummern in Amazon überprüfen, SNS bevor Sie eine SMS Nachricht senden können. Weitere Informationen finden Sie unter SMSNachrichteneinstellungen für Amazon Cognito Cognito-Benutzerpools.

  • Um den MFA Status von Benutzern als Reaktion auf erkannte Ereignisse mit erweiterten Sicherheitsfunktionen zu ändern, aktivieren Sie ihn in der Amazon Cognito Cognito-Benutzerpool-Konsole MFA und legen Sie ihn als optional fest. Weitere Informationen finden Sie unter Erweiterte Sicherheitsfunktionen für den Benutzerpool.

  • E-Mail und SMS Nachrichten setzen voraus, dass Ihre Benutzer über E-Mail-Adressen- und Telefonnummernattribute verfügen. Sie können die Attribute email oder nach phone_number Bedarf in Ihrem Benutzerpool festlegen. In diesem Fall können Benutzer die Registrierung nur abschließen, wenn sie eine Telefonnummer angeben. Wenn Sie diese Attribute nicht wie erforderlich festlegen, aber eine E-Mail oder SMS eine Nachricht senden möchtenMFA, fordern Sie die Benutzer bei der Registrierung zur Eingabe ihrer E-Mail-Adresse oder Telefonnummer auf. Es hat sich bewährt, Ihren Benutzerpool so zu konfigurieren, dass Benutzer automatisch eine Nachricht erhalten, um diese Attribute zu überprüfen.

    Amazon Cognito zählt eine Telefonnummer oder E-Mail-Adresse als verifiziert, wenn ein Benutzer erfolgreich einen temporären Code per SMS E-Mail erhalten und diesen Code in einer VerifyUserAttributeAPIAnfrage zurückgesendet hat. Als Alternative kann Ihr Team Telefonnummern festlegen und diese mit einer Verwaltungsanwendung, die AdminUpdateUserAttributesAPIAnfragen bearbeitet, als verifiziert markieren.

  • Wenn Sie als erforderlich festgelegt MFA und mehr als einen Authentifizierungsfaktor aktiviert haben, fordert Amazon Cognito neue Benutzer auf, einen MFA Faktor auszuwählen, den sie verwenden möchten. Benutzer benötigen eine Telefonnummer, um eine SMS Nachricht einzurichtenMFA, und eine E-Mail-Adresse, um eine E-Mail-Nachricht einzurichten. MFA Wenn ein Benutzer das Attribut für kein verfügbares nachrichtenbasiertes Attribut definiert hatMFA, fordert Amazon Cognito ihn auf, es einzurichten. TOTP MFA Die Aufforderung zur Auswahl eines MFA Faktors (SELECT_MFA_TYPE) und zur Einrichtung eines ausgewählten Faktors (MFA_SETUP) erfolgt als Antwort auf bestimmte Operationen. InitiateAuthAdminInitiateAuthAPI

MFABenutzereinstellungen

Benutzer können mehrere MFA Faktoren einrichten. Nur einer kann aktiv sein. Sie können die effektive MFA Präferenz für Ihre Benutzer in den Benutzerpooleinstellungen oder in Benutzeraufforderungen auswählen. Ein Benutzerpool fordert einen Benutzer zur Eingabe von MFA Codes auf, wenn die Benutzerpooleinstellungen und ihre eigenen Einstellungen auf Benutzerebene die folgenden Bedingungen erfüllen:

  1. Sie haben in Ihrem Benutzerpool MFA die Option auf optional oder erforderlich festgelegt.

  2. Der Benutzer hat ein gültiges email oder phone_number -Attribut oder hat eine Authenticator-App für TOTP eingerichtet.

  3. Mindestens ein MFA Faktor ist aktiv.

  4. Ein MFA Faktor ist als bevorzugt festgelegt.

Benutzerpool-Einstellungen und ihre Auswirkung auf MFA Optionen

Die Konfiguration Ihres Benutzerpools beeinflusst die MFA Methoden, die Benutzer wählen können. Im Folgenden sind einige Benutzerpooleinstellungen aufgeführt, die die Fähigkeit der Benutzer beeinflussen, eine MFA Präferenz festzulegen:

  • In der Konfiguration der Multi-Faktor-Authentifizierung auf der Registerkarte Anmeldeerfahrung der Amazon Cognito Cognito-Konsole können Sie die Option MFA auf optional oder erforderlich festlegen oder deaktivieren. Das API Äquivalent zu dieser Einstellung ist der MfaConfigurationParameter vonCreateUserPool, undUpdateUserPool. SetUserPoolMfaConfig

    Auch in der Konfiguration der Multi-Faktor-Authentifizierung bestimmt die MFAMethodeneinstellung, welche MFA Faktoren Benutzer einrichten können. Das API Äquivalent zu dieser Einstellung ist die SetUserPoolMfaConfigOperation.

    Auf der Registerkarte Anmeldevorgang unter Benutzerkontenwiederherstellung können Sie konfigurieren, wie Ihr Benutzerpool Nachrichten an Benutzer sendet, die ihr Passwort vergessen haben. Die bevorzugte MFA Methode eines Benutzers darf nicht dieselbe Zustellungsmethode haben wie die Zustellungsmethode für Wiederherstellungsnachrichten mit der höchsten Priorität in Ihrem Benutzerpool. Das API Äquivalent dieser Konfiguration ist der AccountRecoverySettingParameter von CreateUserPool und. UpdateUserPool

    Beispielsweise können Benutzer E-Mail nicht MFA als bevorzugt festlegen, wenn Ihre Wiederherstellungsoption „Nur E-Mail“ oder „E-Mail, falls verfügbar“ ist, andernfalls SMS. Ändern Sie die Versandmethode auf „SMSNur“ oder „SMSfalls verfügbar“, andernfalls auf E-Mail.

  • Wenn Sie nur eine MFA Methode als verfügbar festlegen, müssen Sie die MFA Benutzereinstellungen nicht verwalten.

  • Eine aktive SMS Konfiguration macht SMS Nachrichten automatisch zu einer verfügbaren MFA Methode in Ihrem Benutzerpool.

    Eine aktive E-Mail-Konfiguration mit Ihren eigenen SES Amazon-Ressourcen in einem Benutzerpool und aktiven erweiterten Sicherheitsfunktionen macht E-Mail-Nachrichten automatisch zu einer verfügbaren MFA Methode in Ihrem Benutzerpool.

  • Wenn Sie in einem Benutzerpool MFA auf „Erforderlich“ setzen, können Benutzer keine MFA Methoden aktivieren oder deaktivieren. Sie können nur eine bevorzugte Methode festlegen.

  • Wenn Sie in einem Benutzerpool die Option „optional“ wählen, fordert die gehostete Benutzeroberfläche die Benutzer nicht zur Einrichtung aufMFA, sondern sie fordert Benutzer zur Eingabe eines MFA Codes auf, wenn sie eine bevorzugte MFA Methode haben. MFA

  • Wenn Sie erweiterte Sicherheitsfunktionen aktivieren und Antworten mit adaptiver Authentifizierung im Vollfunktionsmodus konfigurieren, MFA muss dies in Ihrem Benutzerpool optional sein. Eine der Antwortoptionen bei der adaptiven Authentifizierung besteht darin, MFA für einen Benutzer, dessen Anmeldeversuch bewertet wird, eine bestimmte Risikostufe vorzuschreiben.

    Die Einstellung Erforderliche Attribute auf der Registerkarte Anmeldevorgang der Konsole bestimmt, ob Benutzer eine E-Mail-Adresse oder Telefonnummer angeben müssen, um sich in Ihrer Anwendung zu registrieren. E-Mail und SMS Nachrichten kommen in FrageMFA, wenn ein Benutzer über das entsprechende Attribut verfügt. Der Schema-Parameter von CreateUserPool legt die Attribute nach Bedarf fest.

  • Wenn Sie in einem Benutzerpool MFA auf erforderlich setzen und sich ein Benutzer mit der gehosteten Benutzeroberfläche anmeldet, fordert Amazon Cognito ihn auf, eine MFA Methode aus den verfügbaren Methoden für Ihren Benutzerpool auszuwählen. Die gehostete Benutzeroberfläche kümmert sich um die Erfassung einer E-Mail-Adresse oder Telefonnummer und die Einrichtung von. TOTP

APIOperationen zur Konfiguration von MFA Einstellungen

Sie können MFA Einstellungen für Benutzer in einem Self-Service-Modell mit Zugriffstoken-Autorisierung oder in einem vom Administrator verwalteten Modell mit administrativen Vorgängen konfigurieren. API Diese Operationen aktivieren oder deaktivieren MFA Methoden und legen eine von mehreren Methoden als bevorzugte Option fest. Nachdem Ihr Benutzer eine MFA Präferenz festgelegt hat, fordert Amazon Cognito ihn bei der Anmeldung auf, einen Code für seine bevorzugte Methode einzugeben. MFA Benutzer, die keine Präferenz festgelegt haben, werden aufgefordert, in einer Challenge eine bevorzugte Methode auszuwählen. SELECT_MFA_TYPE

  • Legt die Konfiguration in einem Self-Service-Modell für Benutzer oder in einer öffentlichen Anwendung SetUserMfaPreferencefest, die mit dem Zugriffstoken eines angemeldeten Benutzers autorisiert wurde. MFA

  • Legt in einer vom Administrator verwalteten oder vertraulichen Anwendung, die mit Administratoranmeldedaten autorisiert ist AdminSetUserPreference, die Konfiguration fest. AWS MFA

Sie können MFA Benutzereinstellungen auch auf der Registerkarte Benutzer der Amazon Cognito Cognito-Konsole festlegen. Weitere Informationen zu den öffentlichen und vertraulichen Authentifizierungsmodellen in den Amazon Cognito Cognito-Benutzerpools API finden Sie unterVerwenden der Benutzerpools API und des Autorisierungsservers.

Konfiguration eines Benutzerpools für die Multi-Faktor-Authentifizierung

Sie können die Konfiguration MFA in der Amazon Cognito Cognito-Konsole vornehmen.

Zur Konfiguration MFA in der Amazon Cognito Cognito-Konsole

  1. Melden Sie sich bei der Amazon Cognito-Konsole an.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

  4. Wählen Sie die Registerkarte Sign-in experience (Anmeldeerlebnis) aus. Suchen Sie nach Multi-factor authentication (Multi-Faktor-Authentifizierung) und wählen Sie Edit (Bearbeiten) aus.

  5. Wählen Sie die MFAErzwingungsmethode, die Sie für Ihren Benutzerpool verwenden möchten.

    Benachrichtigen von Benutzern

    1. Erforderlich MFA. Alle Benutzer in Ihrem Benutzerpool müssen sich mit einem zusätzlichen SMS Code oder einem zeitbasierten Einmalkennwort (TOTP) anmelden.

    2. Optional MFA — Sie können Ihren Benutzern die Möglichkeit geben, einen zusätzlichen Anmeldefaktor zu registrieren, aber dennoch Benutzern, die dies nicht konfiguriert haben, gestatten, MFA sich anzumelden. Wählen Sie diese Option, wenn Sie die adaptive Authentifizierung verwenden. Weitere Informationen zur adaptiven Authentifizierung finden Sie unter Erweiterte Sicherheitsfunktionen für den Benutzerpool.

    3. Nein. MFA Ihre Benutzer können keinen zusätzlichen Anmeldefaktor registrieren.

  6. Wählen Sie die MFAMethoden aus, die Sie in Ihrer App unterstützen. Sie können als zweiten Faktor festlegen, ob SMS E-Mail-Nachrichten, Nachrichten oder Authenticator-Apps TOTP generiert werden.

  7. Wenn Sie SMS Textnachrichten als zweiten Faktor verwenden und keine IAM Rolle für die Verwendung mit Amazon Simple Notification Service (AmazonSNS) für SMS Nachrichten konfiguriert haben, erstellen Sie eine Rolle in der Konsole. Suchen Sie auf der Registerkarte Nachrichten für Ihren Benutzerpool nach Bearbeiten SMSund wählen Sie diese aus. Sie können auch eine bestehende Rolle verwenden, die es Amazon Cognito ermöglicht, für Sie SMS Nachrichten an Ihre Benutzer zu senden. Weitere Informationen finden Sie unter IAM-Rollen.

  8. Wählen Sie Änderungen speichern.