Adición de MFA a un grupo de usuarios. - Amazon Cognito
Cosas que debe saberPreferencias de MFA del usuarioConfiguración de la autenticación multifactor

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Adición de MFA a un grupo de usuarios.

La MFA añade un factor de autenticación del tipo algo que poseemos al factor inicial del tipo algo que sabemos que normalmente es un nombre de usuario y una contraseña. Puede elegir los mensajes de texto SMS, los mensajes de correo electrónico o las contraseñas de un solo uso basadas en el tiempo (TOTP) como factores adicionales para iniciar sesión en los usuarios que tienen contraseñas como factor de autenticación principal.

La autenticación multifactor (MFA) aumenta la seguridad de los usuarios locales de la aplicación. En el caso de los usuarios federados, Amazon Cognito delega todos los procesos de autenticación al IdP y no les ofrece factores de autenticación adicionales.

nota

La primera vez que un usuario nuevo inicia sesión en su aplicación, Amazon Cognito emite tokens OAuth 2.0, incluso si su grupo de usuarios requiere MFA. El segundo factor de autenticación cuando el usuario inicia sesión por primera vez es la confirmación del mensaje de verificación que Amazon Cognito le envía. Si su grupo de usuarios exige MFA, Amazon Cognito le pide al usuario que registre un factor de inicio de sesión adicional para utilizarlo cada vez que se intente iniciar sesión después de la primera vez.

Con la autenticación flexible, puede configurar el grupo de usuarios para que exija un factor de autenticación adicional en respuesta a un aumento del nivel de riesgo. Para añadir la autenticación flexible a un grupo de usuarios, consulte Seguridad avanzada con protección contra amenazas.

Al configurar la MFA en required para un grupo de usuarios, todos los usuarios deben completar la MFA para iniciar sesión. Cada usuario debe configurar como mínimo un factor de MFA. Cuando se requiera la MFA, debe incluir la configuración de la MFA en la incorporación de usuarios para que su grupo de usuarios les permita iniciar sesión.

El inicio de sesión administrado solicita a los usuarios que configuren el MFA cuando usted configura el MFA como obligatorio. Cuando configuras la MFA como opcional en tu grupo de usuarios, el inicio de sesión gestionado no avisa a los usuarios. Para trabajar con la MFA opcional, debe crear una interfaz en la aplicación que pida a los usuarios que seleccionen si desean configurar la MFA y, a continuación, los guíe por las entradas de la API para comprobar el factor de inicio de sesión adicional.

Temas

Lo que debe saber sobre el MFA del grupo de usuarios

Antes de configurar la MFA, tenga en cuenta lo siguiente:

  • Puede tener los factores de MFA requeridos o de inicio de sesión sin contraseña en su grupo de usuarios. No puede configurar el MFA como obligatorio en los grupos de usuarios que admiten contraseñas o claves de paso de un solo uso. No puede activar el inicio de sesión basado en elecciones con el USER_AUTH flujo de los grupos de usuarios que requieren MFA.

  • El método de MFA preferido del usuario influye en los métodos que este pueda utilizar para recuperar la contraseña. Los usuarios cuya MFA preferida se realice por mensaje de correo electrónico no pueden recibir un código de restablecimiento de contraseña por correo electrónico. Los usuarios cuya MFA preferida se realice por mensaje SMS no pueden recibir un código de restablecimiento de contraseña por SMS.

    La configuración de la recuperación de contraseñas debe ofrecer una opción alternativa para cuando el usuario no pueda utilizar el método de restablecimiento de contraseña preferido. Por ejemplo, puede darse el caso de que sus mecanismos de recuperación tengan el correo electrónico como primera prioridad y la MFA de correo electrónico puede ser una opción en el grupo de usuarios. Si es así, añada la recuperación de cuentas mediante mensajes SMS como segunda opción o utilice las operaciones administrativas de la API para restablecer las contraseñas para esos usuarios.

  • Los usuarios no pueden recibir códigos de MFA y de restablecimiento de contraseña en la misma dirección de correo electrónico o número de teléfono. Si usan contraseñas de un solo uso (OTPs) de los mensajes de correo electrónico para MFA, deben usar mensajes SMS para recuperar la cuenta. Si usan OTPs mensajes SMS para MFA, deben usar mensajes de correo electrónico para recuperar la cuenta. En los grupos de usuarios con MFA, es posible que los usuarios no puedan completar la recuperación automática de contraseñas si tienen atributos para su dirección de correo electrónico pero no un número de teléfono, o si su número de teléfono no tiene una dirección de correo electrónico.

    Para evitar que los usuarios no puedan restablecer sus contraseñas en los grupos de usuarios con esta configuración, defina los phone_number atributos email y según sea necesario. Como alternativa, puede configurar procesos que siempre recopilen y establezcan esos atributos cuando los usuarios se registren o cuando los administradores creen perfiles de usuario. Cuando los usuarios tienen ambos atributos, Amazon Cognito envía automáticamente códigos de restablecimiento de contraseñas al destino que no es el factor de MFA del usuario.

  • Al activar la MFA en su grupo de usuarios y elegir el mensaje SMS o el mensaje de correo electrónico como segundo factor, puede enviar mensajes a un número de teléfono o atributo de correo electrónico que no haya verificado en Amazon Cognito. Una vez que el usuario complete la MFA, Amazon Cognito establece phone_number_verified su email_verified atributo or en. true

  • Tras cinco intentos erróneos de presentar un código MFA, Amazon Cognito inicia el proceso de bloqueo por tiempo de espera exponencial descrito en Comportamiento de bloqueo en caso de intentos de inicio de sesión fallidos.

  • Si su cuenta se encuentra en el entorno limitado de SMS Región de AWS que contiene los recursos del Amazon Simple Notification Service (Amazon SNS) para su grupo de usuarios, debe verificar los números de teléfono en Amazon SNS antes de poder enviar un mensaje SMS. Para obtener más información, consulte Configuración de mensajes SMS para grupos de usuarios de Amazon Cognito.

  • Para cambiar el estado del MFA de los usuarios en respuesta a eventos detectados con protección contra amenazas, active el MFA y configúrelo como opcional en la consola del grupo de usuarios de Amazon Cognito. Para obtener más información, consulte Seguridad avanzada con protección contra amenazas.

  • Los mensajes de correo electrónico y SMS requieren que los usuarios tengan los atributos de dirección de correo electrónico y número de teléfono. Puede establecer email o phone_number como atributos obligatorios en el grupo de usuarios. En ese caso, los usuarios no podrán completar el registro a menos que proporcionen un número de teléfono. Si no establece estos atributos como obligatorios, pero quiere ejecutar una MFA por correo electrónico o mensaje SMS, pida a los usuarios su dirección de correo electrónico o número de teléfono cuando se registren. Le recomendamos que configure el grupo de usuarios para que envíe mensajes automáticamente a los usuarios para comprobar estos atributos.

    Amazon Cognito considera verificados un número de teléfono o una dirección de correo electrónico si un usuario ha recibido correctamente un código temporal por SMS o mensaje de correo electrónico y lo ha devuelto en una solicitud de VerifyUserAttributeAPI. Como alternativa, su equipo puede configurar números de teléfono y marcarlos como verificados con una aplicación administrativa que realice solicitudes de AdminUpdateUserAttributesAPI.

  • Si ha configurado que se exija una MFA y ha activado más de un factor de autenticación, Amazon Cognito pedirá a los nuevos usuarios que seleccionen el factor de MFA que deseen usar. Los usuarios deben tener un número de teléfono para configurar la MFA de mensajes SMS y una dirección de correo electrónico para configurar la MFA de mensajes de correo electrónico. Si un usuario no tiene definido el atributo para ninguna MFA basada en mensajes disponible, Amazon Cognito le pedirá que configure la MFA con TOTP. La pregunta para elegir un factor de MFA (SELECT_MFA_TYPE) y configurar un factor elegido (MFA_SETUP) se presenta como una respuesta a un desafío InitiateAuthy a las operaciones de la AdminInitiateAuthAPI.

Preferencias de MFA del usuario

Los usuarios pueden configurar varios factores de MFA. Solo uno puede estar activo. Puede elegir la preferencia de MFA efectiva para los usuarios en la configuración del grupo de usuarios o en las peticiones de los usuarios. Un grupo de usuarios pide a un usuario los códigos de MFA cuando la configuración del grupo de usuarios y su propia configuración de usuario cumplen las siguientes condiciones:

  1. La MFA está establecida como opcional u obligatoria en el grupo de usuarios.

  2. El usuario tiene un atributo email o phone_number válido o ha configurado una aplicación de autenticación para la TOTP.

  3. Al menos un factor de la MFA está activo.

  4. Se ha establecido un factor de MFA como preferido.

Configuración del grupo de usuarios y su efecto en las opciones de MFA

La configuración del grupo de usuarios influye en los métodos de MFA que los usuarios pueden elegir. A continuación, se muestran algunos ajustes del grupo de usuarios que influyen en la capacidad de los usuarios para configurar la MFA.

  • En la configuración de autenticación multifactor del menú de inicio de sesión de la consola de Amazon Cognito, puede configurar la MFA como opcional o obligatoria, o bien desactivarla. El equivalente en API de esta configuración es el MfaConfigurationparámetro deCreateUserPool, y. UpdateUserPool SetUserPoolMfaConfig

    Además, en la configuración de la autenticación multifactor, la configuración de los métodos de MFA determina los factores de la MFA que los usuarios pueden configurar. El equivalente en API de esta configuración es la SetUserPoolMfaConfigoperación.

  • En el menú de inicio de sesión, en Recuperación de cuentas de usuario, puede configurar la forma en que su grupo de usuarios envía mensajes a los usuarios que olvidan su contraseña. El método de MFA de un usuario no puede tener el mismo método de entrega de MFA que el método de entrega del grupo de usuarios para los códigos de contraseña olvidada. El parámetro de la API para el método de entrega de contraseñas olvidadas es el parámetro de y. AccountRecoverySettingCreateUserPoolUpdateUserPool

    Por ejemplo, los usuarios no pueden configurar el MFA del correo electrónico cuando la opción de recuperación es Solo correo electrónico. Esto se debe a que no puede habilitar el MFA del correo electrónico y configurar la opción de recuperación en Correo electrónico solo en el mismo grupo de usuarios. Si estableces esta opción en Correo electrónico (si está disponible); de lo contrario, SMS, el correo electrónico es la opción de recuperación prioritaria, pero tu grupo de usuarios puede recurrir a los mensajes SMS cuando un usuario no reúna los requisitos para la recuperación de mensajes de correo electrónico. En este escenario, los usuarios pueden configurar el MFA de correo electrónico como preferido y solo pueden recibir un mensaje SMS cuando intenten restablecer su contraseña.

  • Si establece solo un método de MFA como disponible, no necesita administrar las preferencias de MFA del usuario.

  • Una configuración de SMS activa convierte automáticamente los mensajes SMS en un método de MFA disponible en su grupo de usuarios.

    Una configuración de correo electrónico activa con sus propios recursos de Amazon SES en un grupo de usuarios y el plan de funciones Essentials o Plus convierte automáticamente los mensajes de correo electrónico en un método de MFA disponible en su grupo de usuarios.

  • Al configurar la MFA como obligatoria en un grupo de usuarios, los usuarios no pueden habilitar ni deshabilitar ningún método de MFA. Solo puede establecer un método preferido.

  • Al configurar la MFA como opcional en un grupo de usuarios, el inicio de sesión administrado no solicita a los usuarios que configuren la MFA, pero sí solicita a los usuarios un código de MFA cuando tienen un método de MFA preferido.

  • Al activar la protección contra amenazas y configurar las respuestas de autenticación adaptativa en el modo de función completa, la MFA debe ser opcional en su grupo de usuarios. Una de las opciones de respuesta con la autenticación flexible consiste en exigir la MFA a un usuario cuyo intento de inicio de sesión se considere que contiene un nivel de riesgo.

    La configuración de atributos obligatorios del menú de registro de la consola determina si los usuarios deben proporcionar una dirección de correo electrónico o un número de teléfono para registrarse en la aplicación. Los mensajes de correo electrónico y SMS se convierten en factores de MFA aptos cuando un usuario tiene el atributo correspondiente. El parámetro Schema de CreateUserPool establece los atributos obligatorios.

  • Cuando configura la MFA como obligatoria en un grupo de usuarios y un usuario inicia sesión con un inicio de sesión gestionado, Amazon Cognito le pide que seleccione un método de MFA de entre los métodos disponibles para su grupo de usuarios. El inicio de sesión administrado gestiona la recopilación de una dirección de correo electrónico o un número de teléfono y la configuración del TOTP.

Operaciones de API para configurar las preferencias de la MFA

Puede configurar las preferencias de la MFA para los usuarios en un modelo de autoservicio con autorización de token de acceso o en un modelo administrado por el administrador con operaciones de API administrativas. Estas operaciones habilitan o deshabilitan los métodos de la MFA y establecen uno de los diversos métodos como opción preferida. Una vez que el usuario haya establecido una preferencia de MFA, cuando inicie sesión, Amazon Cognito le pedirá que proporcione un código del método de MFA que prefiera. A los usuarios que no hayan establecido una preferencia se les pedirá que elijan un método preferido en un desafío SELECT_MFA_TYPE.

  • En un modelo de autoservicio de usuario o en una aplicación pública SetUserMfaPreference, autorizada con el token de acceso de un usuario que ha iniciado sesión, establece la configuración de MFA.

  • En una aplicación confidencial o gestionada por el administrador, autorizada con AWS credenciales administrativas AdminSetUserPreference, establece la configuración de MFA.

También puede configurar las preferencias de MFA del usuario desde el menú Usuarios de la consola de Amazon Cognito. Para obtener más información sobre los modelos de autenticación pública y confidencial en la API de grupos de usuarios de Amazon Cognito, consulte Descripción de la autenticación mediante API, OIDC y páginas de inicio de sesión gestionadas.

Configuración de un grupo de usuarios para una autenticación multifactor

Puede configurar la MFA en la consola de Amazon Cognito.

Para configurar la MFA en la consola de Amazon Cognito, siga estos pasos:

  1. Inicie sesión en la consola de Amazon Cognito.

  2. Elija User Pools (Grupos de usuarios).

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Seleccione el menú de inicio de sesión. Busca la autenticación multifactorial y selecciona Editar.

  5. Elija el método MFA enforcement (Aplicación de MFA) que desea utilizar con su grupo de usuarios.

    Captura de pantalla de la consola Amazon Cognito con opciones de MFA.

    1. Require MFA (Requerir MFA): Todos los usuarios de su grupo de usuarios deben iniciar sesión con un código adicional de SMS, correo electrónico o contraseña de un solo uso (TOTP) basada en el tiempo como factor de autenticación adicional.

    2. MFA opcional. Puede dar a sus usuarios la opción de registrar un factor de inicio de sesión adicional, pero aun así permitir que inicien sesión los usuarios que no hayan configurado la MFA. Elija esta opción si utiliza la autenticación adaptativa. Para obtener más información sobre la autenticación flexible, consulte Seguridad avanzada con protección contra amenazas.

    3. No MFA (Sin MFA): los usuarios no pueden registrar un factor de inicio de sesión adicional.

  6. Elija los MFA methods (Métodos MFA) compatibles con su aplicación. Puede establecer Mensaje de correo electrónico, Mensaje SMS o Aplicaciones autenticadoras para generar la TOTP como segundo factor.

  7. Si utiliza los mensajes de texto SMS como segundo factor y no tiene un rol de IAM configurado para usar con Amazon Simple Notification Service (Amazon SNS) para mensajes SMS, cree uno en la consola. En el menú de métodos de autenticación de tu grupo de usuarios, busca SMS y selecciona Editar. También puede utilizar un rol existente que permita a Amazon Cognito enviar mensajes SMS a los usuarios por usted. Para obtener más información, consulte Roles de IAM.

    Si utiliza los mensajes de correo electrónico como segundo factor y no ha configurado una identidad de origen para utilizarla con Amazon Simple Email Service (Amazon SES) para los mensajes de correo electrónico, cree una en la consola. Debe elegir la opción Enviar correo electrónico con SES. En el menú de métodos de autenticación de su grupo de usuarios, busque el correo electrónico y seleccione Editar. Seleccione una dirección de correo electrónico de procedencia de entre las identidades verificadas disponibles en la lista. Si elige un dominio verificado, por ejemploexample.com, también debe configurar un nombre de remitente FROM en el dominio verificado, por ejemploadmin-noreply@example.com.

  8. Elija Guardar cambios.