MFA con mensajes SMS y correo electrónico - Amazon Cognito
Consideraciones sobre la MFA de SMS y mensajes de correo electrónico

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

MFA con mensajes SMS y correo electrónico

Los mensajes de la MFA de correo electrónico y SMS confirman que los usuarios tienen acceso a un destino de mensajes antes de poder iniciar sesión. Confirman que no solo tienen acceso a una contraseña, sino también a los mensajes SMS o a la bandeja de entrada del usuario original. Amazon Cognito solicita al usuario que proporcione el código corto que el grupo de usuarios le ha enviado después de que haya introducido correctamente un nombre de usuario y una contraseña.

La MFA con SMS y correo electrónico no requiere configuración adicional después de que el usuario añada una dirección de correo electrónico o un número de teléfono a su perfil. Amazon Cognito puede enviar mensajes a direcciones de correo electrónico y números de teléfono no verificados. Cuando un usuario completa su primera MFA, Amazon Cognito marca su dirección de correo electrónico o número de teléfono como verificados.

La autenticación del tipo de MFA comienza cuando un usuario con MFA introduce el nombre de usuario y contraseña en la aplicación. La aplicación envía estos parámetros iniciales en un método del SDK que invoca una solicitud InitiateAutho una solicitud de AdminInitiateAuthAPI. ChallengeParameters, en la respuesta de la API, incluye un valor CODE_DELIVERY_DESTINATION que indica dónde se ha enviado el código de autorización. En su aplicación, muestre un formulario que pida al usuario que consulte el teléfono e incluya un elemento de entrada para introducir el código. Cuando este escriba el código, envíelo en una solicitud de la API de desafío-respuesta para completar el proceso de inicio de sesión.

Cuando un usuario con MFA inicia sesión con el nombre de usuario y la contraseña en las páginas de inicio de sesión gestionadas, se le solicita automáticamente el código de MFA.

Los grupos de usuarios envían mensajes SMS para notificaciones de la MFA y otras notificaciones de Amazon Cognito con los recursos de Amazon Simple Notification Service (Amazon SNS) a su Cuenta de AWS. Del mismo modo, los grupos de usuarios envían mensajes de correo electrónico con los recursos de Amazon Simple Email Service (Amazon SES) de su cuenta. Estos servicios enlazados incurren en sus propios costes en la AWS factura de envío de mensajes. También tienen requisitos adicionales para el envío de mensajes en volúmenes de producción. Para obtener más información, consulte los siguientes enlaces:

Consideraciones sobre la MFA de SMS y mensajes de correo electrónico

  • Para permitir que los usuarios inicien sesión mediante una MFA de correo electrónico, el grupo de usuarios debe tener las siguientes opciones de configuración:

    1. Tienes el plan de funciones Plus o Essentials en tu grupo de usuarios. Para obtener más información, consulte Planes de funciones para grupos de usuarios.

    2. El grupo de usuarios envía mensajes de correo electrónico con los propios recursos de Amazon SES. Para obtener más información, consulte Configuración de email de Amazon SES.

  • El código de la MFA es válido para la opción Duración de la sesión del flujo de autenticación que ha configurado para el cliente de aplicación.

    Establezca la duración de una sesión de flujo de autenticación en la consola de Amazon Cognito en el menú de clientes de aplicaciones al editar el cliente de aplicaciones. También puede establecer la duración de la sesión del flujo de autenticación en una solicitud de API de CreateUserPoolClient o UpdateUserPoolClient. Para obtener más información, consulte Un ejemplo de sesión de autenticación.

  • Cuando un usuario proporciona correctamente un código de un mensaje SMS o de correo electrónico que Amazon Cognito ha enviado a un número de teléfono o dirección de correo electrónico no verificados, Amazon Cognito marca el atributo correspondiente como verificado.

  • Un usuario no puede usar el token de acceso para cambiar el valor de un número de teléfono o una dirección de correo electrónico asociados a la MFA. Su equipo debe cambiar estos valores con AWS las credenciales de administrador en las solicitudes de AdminUpdateUserAttributesAPI.

  • Para que un usuario introduzca un cambio de autoservicio en el valor de un número de teléfono o una dirección de correo electrónico asociados a la MFA, debe iniciar sesión y autorizar la solicitud con un token de acceso. Si no puede acceder a su número de teléfono o dirección de correo electrónico actuales, no podrá iniciar sesión. Tu equipo debe cambiar estos valores con AWS las credenciales de administrador en las solicitudes de AdminUpdateUserAttributesAPI.

  • Después de configurar los SMS en el grupo de usuarios, no podrá deshabilitar los mensajes SMS como factor de MFA disponible.