Configurar la aplicación de dispositivos MFA

Para configurar la aplicación de dispositivos de MFA para sus usuarios:

1. Abra la Consola del IAM Identity Center.

2. En el panel de navegación izquierdo, elija Configuración.

3. En la página de Configuración, seleccione la pestaña Autenticación.

4. En la sección Autenticación multifactor, seleccione Configurar.

5. En la página Configurar la autenticación multifactor, en Si un usuario aún no tiene un dispositivo MFA registrado, elija una de las siguientes opciones en función de las necesidades de su empresa:

   • Exija que registren un dispositivo MFA al iniciar sesión

     Esta es la configuración predeterminada al configurar MFA por primera vez para el IAM Identity Center. Utilice esta opción cuando desee solicitar a los usuarios que aún no tengan un dispositivo MFA registrado que autoinscriban un dispositivo durante el inicio de sesión tras una autenticación con contraseña correcta. Esto le permite proteger los entornos de AWS de su organización con MFA sin tener que inscribir y distribuir individualmente los dispositivos de autenticación a sus usuarios. Durante la inscripción automática, sus usuarios pueden registrar cualquier dispositivo de los Tipos de MFA disponibles para el IAM Identity Center disponibles que haya activado anteriormente. Tras completar el registro, los usuarios tienen la opción de asignar un nombre descriptivo a su dispositivo MFA recién inscrito, tras lo cual el IAM Identity Center redirige al usuario a su destino original. Si el dispositivo del usuario se pierde o se lo roban, solo tiene que eliminarlo de su cuenta y el IAM Identity Center le pedirá que registre automáticamente un dispositivo nuevo la próxima vez que inicie sesión.

   • Solicite que proporcionen una contraseña de un solo uso enviada por correo electrónico para iniciar sesión

     Use esta opción si desea que los códigos de verificación se envíen a los usuarios por correo electrónico. Como el correo electrónico no está enlazado a un dispositivo específico, esta opción no cumple con los requisitos de autenticación multifactor estándar del sector. Sin embargo, mejora la seguridad en comparación con tener solo una contraseña. La verificación por correo electrónico solo se solicitará si el usuario no ha registrado un dispositivo MFA. Si se ha habilitado el método de autenticación Dependiente del contexto, el usuario tendrá la oportunidad de marcar el dispositivo en el que recibe el correo electrónico como de confianza. Posteriormente, no se les pedirá que verifiquen un código de correo electrónico en futuros inicios de sesión desde esa combinación de dispositivo, navegador y dirección IP.

     nota

     Si utiliza Active Directory como fuente de identidad habilitada para el IAM Identity Center, la dirección de correo electrónico siempre se basará en el atributo de Active Directory de email. Las asignaciones personalizadas de atributos de Active Directory no anularán este comportamiento.

   • Bloquear su inicio de sesión

     Utilice la opción Bloquear su inicio de sesión cuando desee obligar a todos los usuarios a utilizar MFA antes de que puedan iniciar sesión en AWS.

     importante

     Si el método de autenticación está configurado como En función del contexto, el usuario puede seleccionar la casilla Este es un dispositivo de confianza en la página de inicio de sesión. En ese caso, no se le solicitará la MFA a ese usuario aunque tenga habilitada la configuración Bloquear su inicio de sesión. Si desea que se les pregunte a estos usuarios, cambie el método de autenticación a Siempre activo.

   • Permitirles iniciar sesión

     Utilice esta opción para indicar que los dispositivos MFA no son necesarios para que los usuarios inicien sesión en el portal de acceso de AWS. A los usuarios que hayan decidido registrar dispositivos MFA se les seguirá solicitando la MFA.

6. Elija Save changes (Guardar cambios).