Tipos de MFA disponibles para IAM Identity Center - AWS IAM Identity Center

Tipos de MFA disponibles para IAM Identity Center

La autenticación multifactor (MFA) es un mecanismo simple y eficaz para mejorar la seguridad de los usuarios. El primer factor del usuario, su contraseña, es un secreto que debe memorizar, también conocido como factor de conocimiento. Otros factores pueden ser factores de posesión (algo que posea, como una clave de seguridad) o factores inherentes (algo que sea suyo y solo suyo, como un escaneo biométrico). Se recomienda encarecidamente que configure una MFA para agregar una capa adicional para la seguridad de su cuenta.

La MFA de IAM Identity Center admite los siguientes tipos de dispositivos: Se admiten todos los tipos de MFA tanto para el acceso a la consola desde un navegador como para el uso de la versión 2 de la AWS CLI con IAM Identity Center.

Un usuario puede tener hasta 8 dispositivos MFA, que incluyen hasta 2 aplicaciones de autenticación virtual y 6 autenticadores FIDO, registrados en una cuenta. También puede configurar los ajustes de habilitación de MFA para que requieran MFA cada vez que los usuarios inicien sesión o para habilitar dispositivos de confianza que no requieren MFA en cada inicio de sesión. Para obtener más información acerca de cómo configurar los tipos de MFA para sus usuarios, consulte Elegir tipos de MFA para la autenticación de usuarios y Configurar la aplicación de dispositivos MFA.

Autenticadores FIDO2

FIDO2 es un estándar que incluye CTAP2 y WebAuthn y se basa en criptografía de clave pública. Las credenciales FIDO son eficaces ante intentos de suplantación de identidad porque son exclusivas del sitio web en el que se crearon, por ejemplo AWS.

AWS admite los dos factores de forma más comunes para los autenticadores FIDO: los autenticadores integrados y las claves de seguridad. Consulte la sección que aparece a continuación para obtener más información sobre los tipos más comunes de autenticadores FIDO.

Autentificadores integrados

Algunos ordenadores y teléfonos móviles actuales tienen autenticadores integrados, como el TouchID del MacBook o una cámara compatible con Windows Hello. Si su dispositivo tiene un autenticador integrado compatible con FIDO, puede usar su huella digital, su rostro o el PIN del dispositivo como segundo factor.

Claves de seguridad

Las llaves de seguridad son autenticadores de hardware externos compatibles con FIDO que puede comprar y conectar a su dispositivo a través de USB, BLE o NFC. Cuando se le pida la MFA, solo tiene que realizar un gesto con el sensor de la tecla. Algunos ejemplos de claves de seguridad incluyen las claves YubiKeys y Feitian, y las claves de seguridad más comunes crean credenciales FIDO vinculadas al dispositivo. Para obtener una lista de todas las llaves de seguridad certificadas por FIDO, consulte los productos certificados por FIDO.

Administradores de contraseñas, proveedores de claves de acceso y otros autenticadores FIDO

Existen varios proveedores externos que admiten la autenticación FIDO en las aplicaciones móviles, como características disponibles en administradores de contraseñas, tarjetas inteligentes con modo FIDO y otros formatos. Estos dispositivos compatibles con FIDO pueden funcionar con IAM Identity Center, pero le recomendamos que pruebe usted mismo un autenticador FIDO antes de activar esta opción como MFA.

nota

Algunos autenticadores FIDO pueden crear credenciales FIDO reconocibles, conocidas como claves de acceso. Las claves de acceso pueden estar vinculadas al dispositivo que las crea o pueden sincronizarse y guardarse copias de seguridad en una nube. Por ejemplo, se puede registrar una clave de acceso con el Apple Touch ID en un MacBook compatible y, a continuación, iniciar sesión en un sitio desde un portátil Windows con Google Chrome con la clave de acceso en iCloud siguiendo las instrucciones que aparecen en pantalla al iniciar sesión. Para obtener más información sobre qué dispositivos admiten claves de acceso sincronizables y la interoperabilidad actual de claves entre sistemas operativos y navegadores, consulte Asistencia para dispositivos en passkeys.dev, un recurso proporcionado por la Alianza FIDO y el Consorcio World Wide Web (W3C).

Aplicaciones de autenticación virtual

Las aplicaciones de autenticación son autenticadores de terceros basados en contraseñas de un solo uso (OTP). Puede utilizar una aplicación de autenticación instalada en su dispositivo móvil o tableta como dispositivo MFA autorizado. La aplicación de autenticación de terceros debe cumplir con RFC 6238, que es un algoritmo de contraseña temporal de un solo uso (TOTP) basado en estándares y capaz de generar códigos de autenticación de seis dígitos.

Cuando se le pida la MFA, el usuario debe introducir un código válido de su aplicación de autenticación en el cuadro de entrada que aparece. Cada dispositivo MFA asignado a un usuario debe ser único. Se pueden registrar dos aplicaciones de autenticación para un usuario determinado.

Aplicaciones de autenticación probada

Cualquier aplicación compatible con TOTP funcionará con la MFA de IAM Identity Center. La siguiente tabla muestra las aplicaciones de autenticación de terceros conocidas que puede elegir.

Sistema operativo Aplicación de autenticación probada
Android Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

MFA en RADIUS

Remote Authentication Dial-In User Service (RADIUS) es un protocolo cliente-servidor estándar en el sector que proporciona autenticación, autorización y gestión de cuentas para que los usuarios puedan conectarse a servicios de red. AWS Directory Service incluye un cliente RADIUS que se conecta al servidor RADIUS sobre el que se ha implementado su solución de MFA. Para obtener más información, consulte Activar autenticación multifactor de AWS Managed Microsoft AD.

Puede utilizar MFA en RADIUS o MFA en IAM Identity Center para los inicios de sesión de los usuarios en el portal de usuarios, pero no en ambos. La MFA en IAM Identity Center es una alternativa a la MFA en RADIUS en los casos en que desee una autenticación de AWS nativa de 2 factores para acceder al portal.

Al habilitar la MFA en IAM Identity Center, los usuarios necesitan un dispositivo de MFA para iniciar sesión en el portal de acceso AWS. Si ya había utilizado MFA en RADIUS, la activación de la MFA en IAM Identity Center anula de manera efectiva la MFA en RADIUS para los usuarios que inician sesión en el portal de acceso AWS. Sin embargo, la MFA en RADIUS sigue siendo un desafío para los usuarios cuando inician sesión en todas las demás aplicaciones que funcionan con AWS Directory Service, como Amazon WorkDocs.

Si la MFA está Deshabilitada en la consola de IAM Identity Center y ha configurado la MFA en RADIUS con AWS Directory Service, la MFA en RADIUS rige el inicio de sesión en el portal de acceso AWS. Esto significa que IAM Identity Center recurre a la configuración de MFA en RADIUS si la MFA está deshabilitada.