FIDO2Authentifikatoren Apps für virtuelle Authentifikatoren RADIUS MFA

Verfügbare MFA Typen für IAM Identity Center

Die Multi-Faktor-Authentifizierung (MFA) ist ein einfacher und effektiver Mechanismus zur Erhöhung der Sicherheit Ihrer Benutzer. Der erste Faktor eines Benutzers — sein Passwort — ist ein Geheimnis, das er sich merkt, auch Wissensfaktor genannt. Andere Faktoren können Besitzfaktoren (etwas, das Sie besitzen, z. B. ein Sicherheitsschlüssel) oder Inhärenzfaktoren (etwas, das Sie sind, z. B. ein biometrischer Scan) sein. Wir empfehlen dringend, dass Sie die Konfiguration so konfigurierenMFA, dass Ihrem Konto eine zusätzliche Sicherheitsebene hinzugefügt wird.

IAMIdentity Center MFA unterstützt die folgenden Gerätetypen. Alle MFA Typen werden sowohl für den browserbasierten Konsolenzugriff als auch für die Verwendung von AWS CLI v2 mit IAM Identity Center unterstützt.

FIDO2Authentifikatoren, einschließlich integrierter Authentifikatoren und Sicherheitsschlüssel
Apps für virtuelle Authentifikatoren
Ihre eigene RADIUS MFA Implementierung ist verbunden durch AWS Managed Microsoft AD

Ein Benutzer kann bis zu acht MFA Geräte haben, darunter bis zu zwei virtuelle Authentifizierungs-Apps und sechs FIDO Authentifikatoren, die für ein Konto registriert sind. Sie können die MFA Aktivierungseinstellungen auch so konfigurieren, dass sie bei MFA jeder Anmeldung Ihrer Benutzer erforderlich sind, oder dass vertrauenswürdige Geräte aktiviert werden, die dies nicht bei jeder Anmeldung benötigenMFA. Weitere Informationen zur Konfiguration von MFA Typen für Ihre Benutzer finden Sie unter und. Wählen Sie Typen für die Benutzerauthentifizierung aus MFA Konfigurieren Sie die MFA Gerätedurchsetzung

FIDO2Authentifikatoren

FIDO2ist ein Standard, der Kryptografie mit öffentlichen Schlüsseln beinhaltet CTAP2 WebAuthnund darauf basiert. FIDOAnmeldeinformationen sind Phishing-resistent, da sie nur für die Website gelten, auf der die Anmeldeinformationen erstellt wurden, z. B. AWS

AWS unterstützt die beiden gängigsten Formfaktoren für FIDO Authentifikatoren: integrierte Authentifikatoren und Sicherheitsschlüssel. Im Folgenden finden Sie weitere Informationen zu den gängigsten Arten von FIDO Authentifikatoren.

Themen

Integrierte Authentifikatoren
Sicherheitsschlüssel
Passwort-Manager, Passkey-Anbieter und andere Authentifikatoren FIDO

Integrierte Authentifikatoren

Viele moderne Computer und Mobiltelefone verfügen über integrierte Authentifikatoren, z. B. TouchID auf einem Macbook oder eine Windows Hello-kompatible Kamera. Wenn Ihr Gerät über einen integrierten FIDO kompatiblen Authentifikator verfügt, können Sie Ihren Fingerabdruck, Ihr Gesicht oder Ihre Geräte-PIN als zweiten Faktor verwenden.

Sicherheitsschlüssel

Sicherheitsschlüssel sind FIDO kompatible externe Hardware-Authentifikatoren, die Sie erwerben und überUSB, oder eine Verbindung zu Ihrem Gerät herstellen können. BLE NFC Wenn Sie dazu aufgefordert werdenMFA, führen Sie einfach eine Geste mit dem Sensor des Schlüssels aus. Zu den Sicherheitsschlüsseln gehören beispielsweise YubiKeys Feitian-Schlüssel, und mit den gängigsten Sicherheitsschlüsseln werden FIDO gerätegebundene Anmeldeinformationen erstellt. Eine Liste aller FIDO -zertifizierten Sicherheitsschlüssel finden Sie unter Zertifizierte Produkte. FIDO

Passwort-Manager, Passkey-Anbieter und andere Authentifikatoren FIDO

Zahlreiche Drittanbieter unterstützen die FIDO Authentifizierung in mobilen Anwendungen, z. B. in Passwort-Managern, Smartcards mit einem FIDO Modus und anderen Formfaktoren. Diese FIDO -kompatiblen Geräte können mit IAM Identity Center verwendet werden. Wir empfehlen jedoch, dass Sie einen FIDO Authentifikator selbst testen, bevor Sie diese Option für aktivieren. MFA

Anmerkung

Einige FIDO Authentifikatoren können auffindbare FIDO Anmeldeinformationen, sogenannte Hauptschlüssel, erstellen. Hauptschlüssel können an das Gerät gebunden sein, das sie erstellt, oder sie können synchronisiert und in einer Cloud gesichert werden. Sie können beispielsweise einen Hauptschlüssel mit der Apple Touch ID auf einem unterstützten Macbook registrieren und sich dann mit Ihrem Hauptschlüssel von einem Windows-Laptop aus mit Google Chrome bei einer Website anmelden, iCloud indem Sie bei der Anmeldung den Anweisungen auf dem Bildschirm folgen. Weitere Informationen darüber, welche Geräte synchronisierbare Hauptschlüssel unterstützen, und die aktuelle Passkey-Interoperabilität zwischen Betriebssystemen und Browsern finden Sie unter Geräteunterstützung auf passkeys.dev, einer Ressource, die vom FIDO Alliance And World Wide Web Consortium (W3C) verwaltet wird.

Apps für virtuelle Authentifikatoren

Bei Authenticator-Apps handelt es sich im Wesentlichen um Authentifikatoren von Drittanbietern, die auf Einmalkennwörtern (OTP) basieren. Sie können eine auf Ihrem Mobilgerät oder Tablet installierte Authenticator-Anwendung als autorisiertes Gerät verwenden. MFA Die Authentifizierungsanwendung eines Drittanbieters muss RFC 6238 entsprechen. Dabei handelt es sich um einen standardbasierten Algorithmus für ein zeitbasiertes Einmalpasswort (TOTP), mit dem sechsstellige Authentifizierungscodes generiert werden können.

Wenn Benutzer dazu aufgefordert werdenMFA, müssen sie einen gültigen Code aus ihrer Authenticator-App in das angezeigte Eingabefeld eingeben. Jedes einem Benutzer zugewiesene MFA Gerät muss einzigartig sein. Für jeden Benutzer können zwei Authentifizierungs-Apps registriert werden.

Getestete Authenticator-Apps

Jede TOTP -konforme Anwendung funktioniert mit IAM Identity Center. MFA In der folgenden Tabelle sind bekannte Authentifikator-Apps von Drittanbietern aufgeführt, aus denen Sie wählen können.

Betriebssystem	Getestete Authentifizierungs-App
Android	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RADIUS MFA

Der Remote Authentication Dial-In User Service (RADIUS) ist ein branchenübliches Client-Server-Protokoll, das Authentifizierung, Autorisierung und Kontoverwaltung ermöglicht, sodass Benutzer eine Verbindung zu Netzwerkdiensten herstellen können. AWS Directory Service beinhaltet einen RADIUS Client, der eine Verbindung zu dem RADIUS Server herstellt, auf dem Sie Ihre Lösung implementiert haben. MFA Weitere Informationen finden Sie unter Aktivieren der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD.

Sie können entweder RADIUS MFA oder MFA in IAM Identity Center für Benutzeranmeldungen am Benutzerportal verwenden, aber nicht beide. MFAin IAM Identity Center ist eine Alternative zu Fällen, RADIUS MFA in denen Sie eine AWS native Zwei-Faktor-Authentifizierung für den Zugriff auf das Portal wünschen.

Wenn Sie die Option MFA in IAM Identity Center aktivieren, benötigen Ihre Benutzer ein MFA Gerät, um sich im AWS Zugriffsportal anzumelden. Wenn Sie es zuvor verwendet haben RADIUSMFA, hat die Aktivierung MFA in IAM Identity Center RADIUS MFA für Benutzer, die sich beim AWS Zugangsportal anmelden, faktisch Vorrang. Stellt Benutzer jedoch RADIUS MFA weiterhin vor eine Herausforderung, wenn sie sich bei allen anderen Anwendungen anmelden, die mit funktionieren AWS Directory Service, z. B. Amazon WorkDocs.

Wenn Ihr Konto auf der IAM Identity Center-Konsole deaktiviert MFA ist und Sie RADIUS MFA mit konfiguriert haben AWS Directory Service, RADIUS MFA gilt dies für die Anmeldung am AWS Zugangsportal. Das bedeutet, dass IAM Identity Center auf die RADIUS MFA Konfiguration zurückgreift, wenn sie deaktiviert MFA ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Multifaktor-Authentifizierung

Konfigurieren MFA