Ajouter MFA à un groupe d'utilisateurs - Amazon Cognito
PrérequisMFAPréférences de l'utilisateurConfiguration de l’authentification multifacteur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter MFA à un groupe d'utilisateurs

MFAajoute un facteur d'authentification que vous avez au facteur initial que vous connaissez, qui est généralement un nom d'utilisateur et un mot de passe. Vous pouvez choisir des SMS SMS, des e-mails ou des mots de passe à usage unique basés sur le temps (TOTP) comme facteurs supplémentaires pour connecter vos utilisateurs.

L'authentification MFA multifactorielle () renforce la sécurité des utilisateurs locaux de votre application. Dans le cas des utilisateurs fédérés, Amazon Cognito délègue tous les processus d'authentification à l'IdP et ne leur propose aucun facteur d'authentification supplémentaire.

Note

La première fois qu'un nouvel utilisateur se connecte à votre application, Amazon Cognito émet des jetons OAuth 2.0, même si votre groupe d'utilisateurs l'exige. MFA Le deuxième facteur d’authentification, lorsque votre utilisateur se connecte pour la première fois, est sa confirmation du message de vérification qu’Amazon Cognito lui envoie. Si votre groupe d'utilisateurs l'exigeMFA, Amazon Cognito invite votre utilisateur à enregistrer un facteur de connexion supplémentaire à utiliser lors de chaque tentative de connexion après la première.

Avec l'authentification adaptative, vous pouvez configurer votre groupe d'utilisateurs pour qu'il exige un facteur d'authentification supplémentaire en réponse à un niveau de risque accru. Pour ajouter l’authentification adaptative à votre groupe d’utilisateurs, consultez Fonctionnalités de sécurité avancées du pool d'utilisateurs.

Lorsque vous définissez un groupe MFA d'requiredutilisateurs, tous les utilisateurs doivent terminer leur session MFA pour se connecter. Pour se connecter, chaque utilisateur doit configurer au moins un MFA facteur. Lorsque vous définissez cette MFA optionrequired, vous devez inclure la MFA configuration dans l'intégration des utilisateurs afin que votre groupe d'utilisateurs les autorise à se connecter.

L'interface utilisateur hébergée invite les utilisateurs à configurer le MFA moment où vous le définissez MFA comme obligatoire. Lorsque vous définissez MFA ce paramètre comme facultatif dans votre groupe d'utilisateurs, l'interface utilisateur hébergée n'invite pas les utilisateurs. Pour utiliser l'option facultativeMFA, vous devez créer une interface dans votre application qui invite vos utilisateurs à sélectionner ce qu'ils souhaitent configurerMFA, puis les guide à travers les API entrées pour vérifier leur facteur de connexion supplémentaire.

Rubriques

Considérations relatives à MFA

Avant de procéder à la configurationMFA, tenez compte des points suivants :

  • La MFA méthode préférée d'un utilisateur influence les méthodes qu'il peut utiliser pour récupérer son mot de passe. Les utilisateurs dont la préférence MFA est par e-mail ne peuvent pas recevoir de code de réinitialisation de mot de passe par e-mail. Les utilisateurs dont la préférence MFA est par SMS message ne peuvent pas recevoir de code de réinitialisation de mot de passe par. SMS

    Vos paramètres de récupération de mot de passe doivent fournir une autre option lorsque les utilisateurs ne sont pas éligibles à votre méthode de réinitialisation de mot de passe préférée. Par exemple, vos mécanismes de restauration peuvent avoir le courrier électronique comme première priorité et le courrier électronique MFA peut être une option dans votre groupe d'utilisateurs. Dans ce cas, ajoutez SMS -message account recovery comme deuxième option ou utilisez des API opérations administratives pour réinitialiser les mots de passe de ces utilisateurs.

  • Lorsque vous l'activez MFA dans votre groupe d'utilisateurs et que vous choisissez SMSle message texte comme deuxième facteur, vous pouvez envoyer SMS des messages à un attribut de numéro de téléphone que vous n'avez pas vérifié dans Amazon Cognito. Une fois que votre utilisateur a terminé SMSMFA, Amazon Cognito définit son phone_number_verified attribut sur. true

  • Après cinq tentatives infructueuses de présentation d'un MFA code, Amazon Cognito lance le processus de verrouillage par temporisation exponentielle décrit à l'adresse. Flux d'authentification de groupe d'utilisateurs

  • Si votre compte se trouve dans le SMS bac à sable Région AWS qui contient les ressources Amazon Simple Notification Service (AmazonSNS) pour votre groupe d'utilisateurs, vous devez vérifier les numéros de téléphone sur Amazon SNS avant de pouvoir envoyer un SMS message. Pour de plus amples informations, veuillez consulter SMSparamètres des messages pour les groupes d'utilisateurs Amazon Cognito.

  • Pour modifier le MFA statut des utilisateurs en réponse à des événements détectés grâce à des fonctionnalités de sécurité avancées, activez-le MFA et définissez-le comme facultatif dans la console du groupe d'utilisateurs Amazon Cognito. Pour de plus amples informations, veuillez consulter Fonctionnalités de sécurité avancées du pool d'utilisateurs.

  • Les e-mails et SMS les messages nécessitent que vos utilisateurs aient des attributs d'adresse e-mail et de numéro de téléphone respectivement. Vous pouvez définir email ou selon phone_number les besoins des attributs de votre groupe d'utilisateurs. Dans ce cas, les utilisateurs ne peuvent pas terminer leur inscription s'ils ne fournissent pas de numéro de téléphone. Si vous ne définissez pas ces attributs comme requis mais que vous souhaitez envoyer un e-mail ou SMS un messageMFA, vous demandez aux utilisateurs de saisir leur adresse e-mail ou leur numéro de téléphone lors de leur inscription. Il est recommandé de configurer votre groupe d'utilisateurs pour qu'il envoie automatiquement des messages aux utilisateurs afin de vérifier ces attributs.

    Amazon Cognito considère qu'un numéro de téléphone ou une adresse e-mail ont été vérifiés si un utilisateur a reçu un code temporaire par e-mail SMS ou a renvoyé ce code dans le cadre d'une VerifyUserAttributeAPIdemande. Comme alternative, votre équipe peut définir des numéros de téléphone et les marquer comme vérifiés avec une application administrative qui exécute les AdminUpdateUserAttributesAPIdemandes.

  • Si vous êtes défini MFA comme obligatoire et que vous avez activé plusieurs facteurs d'authentification, Amazon Cognito invite les nouveaux utilisateurs à sélectionner un MFA facteur qu'ils souhaitent utiliser. Les utilisateurs doivent disposer d'un numéro de téléphone pour configurer un SMS message MFA et d'une adresse e-mail pour configurer un message électroniqueMFA. Si aucun attribut n'est défini pour un utilisateur basé sur les messagesMFA, Amazon Cognito l'invite à le configurer. TOTP MFA L'invite à choisir un MFA facteur (SELECT_MFA_TYPE) et à configurer un facteur choisi (MFA_SETUP) constitue une réponse à un défi InitiateAuthet AdminInitiateAuthAPIdes opérations.

MFAPréférences de l'utilisateur

Les utilisateurs peuvent configurer plusieurs MFA facteurs. Un seul peut être actif. Vous pouvez choisir la MFA préférence effective pour vos utilisateurs dans les paramètres du groupe d'utilisateurs ou à partir des instructions des utilisateurs. Un groupe d'utilisateurs invite un utilisateur à saisir des MFA codes lorsque les paramètres du groupe d'utilisateurs et leurs propres paramètres au niveau de l'utilisateur répondent aux conditions suivantes :

  1. Vous avez défini MFA ce paramètre comme facultatif ou obligatoire dans votre groupe d'utilisateurs.

  2. L'utilisateur possède un phone_number attribut email ou valide, ou a configuré une application d'authentification pour. TOTP

  3. Au moins un MFA facteur est actif.

  4. Un MFA facteur est défini comme préféré.

Paramètres du groupe d'utilisateurs et leur effet sur les MFA options

La configuration de votre groupe d'utilisateurs influence les MFA méthodes que les utilisateurs peuvent choisir. Voici certains paramètres du groupe d'utilisateurs qui influencent la capacité des utilisateurs à définir une MFA préférence :

  • Dans la configuration de l'authentification multifactorielle de l'onglet Expérience de connexion de la console Amazon Cognito, vous pouvez la MFA définir comme facultative ou obligatoire, ou la désactiver. L'APIéquivalent de ce paramètre est le MfaConfigurationparamètre de CreateUserPoolUpdateUserPool, etSetUserPoolMfaConfig.

    Toujours dans la configuration de l'authentification multifactorielle, le paramètre MFAdes méthodes détermine les MFA facteurs que les utilisateurs peuvent configurer. L'APIéquivalent de ce paramètre est l'SetUserPoolMfaConfigopération.

    Dans l'onglet Expérience de connexion sous Récupération du compte utilisateur, vous pouvez configurer la manière dont votre groupe d'utilisateurs envoie des messages aux utilisateurs qui oublient leur mot de passe. La MFA méthode préférée d'un utilisateur ne peut pas avoir la même méthode de livraison que la méthode de remise des messages de restauration la plus prioritaire de votre groupe d'utilisateurs. L'APIéquivalent de cette configuration est le AccountRecoverySettingparamètre de CreateUserPool etUpdateUserPool.

    Par exemple, les utilisateurs ne peuvent pas définir le courrier électronique MFA comme favori lorsque votre option de restauration est le courrier électronique uniquement ou le courrier électronique si disponible, sinon SMS. Changez le mode de livraison pour SMSuniquement ou SMSsi disponible, sinon envoyez un e-mail.

  • Si vous définissez une seule MFA méthode comme étant disponible, vous n'avez pas besoin de gérer les MFA préférences de l'utilisateur.

  • Une SMS configuration active fait automatiquement SMS des messages une MFA méthode disponible dans votre groupe d'utilisateurs.

    Une configuration d'e-mail active avec vos propres SES ressources Amazon dans un groupe d'utilisateurs et des fonctionnalités de sécurité avancées actives font automatiquement des e-mails une MFA méthode disponible dans votre groupe d'utilisateurs.

  • Lorsque vous définissez cette MFA option comme obligatoire dans un groupe d'utilisateurs, les utilisateurs ne peuvent activer ou désactiver aucune MFA méthode. Vous ne pouvez définir qu'une méthode préférée.

  • Lorsque vous définissez MFA cette option sur facultatif dans un groupe d'utilisateurs, l'interface utilisateur hébergée n'invite pas les utilisateurs à le configurerMFA, mais elle les invite à saisir un MFA code lorsqu'ils ont une MFA méthode préférée.

  • Lorsque vous activez des fonctionnalités de sécurité avancées et que vous configurez des réponses d'authentification adaptative en mode complet, cela MFA doit être facultatif dans votre groupe d'utilisateurs. L'une des options de réponse de l'authentification adaptative consiste à MFA demander à un utilisateur dont la tentative de connexion est évaluée de contenir un niveau de risque.

    Le paramètre Attributs obligatoires dans l'onglet Expérience d'inscription de la console détermine si les utilisateurs doivent fournir une adresse e-mail ou un numéro de téléphone pour s'inscrire dans votre application. Les e-mails et SMS les messages deviennent des MFA facteurs éligibles lorsqu'un utilisateur possède l'attribut correspondant. Le paramètre Schema CreateUserPool définit les attributs selon les besoins.

  • Lorsque vous définissez MFA ce paramètre comme obligatoire dans un groupe d'utilisateurs et qu'un utilisateur se connecte via l'interface utilisateur hébergée, Amazon Cognito l'invite à sélectionner une MFA méthode parmi les méthodes disponibles pour votre groupe d'utilisateurs. L'interface utilisateur hébergée gère la collecte d'une adresse e-mail ou d'un numéro de téléphone et la configuration deTOTP.

APIopérations de configuration des MFA préférences

Vous pouvez configurer les MFA préférences des utilisateurs dans un modèle en libre-service avec autorisation par jeton d'accès, ou dans un modèle géré par un administrateur avec des opérations administratives. API Ces opérations activent ou désactivent des MFA méthodes et définissent l'une des nombreuses méthodes comme option préférée. Une fois que votre utilisateur a défini une MFA préférence, Amazon Cognito l'invite, lors de la connexion, à fournir un code correspondant à sa méthode préférée. MFA Les utilisateurs qui n'ont pas défini de préférence sont invités à choisir la méthode préférée lors d'un SELECT_MFA_TYPE défi.

  • Dans un modèle de libre-service utilisateur ou une application publique SetUserMfaPreference, autorisé par le jeton d'accès d'un utilisateur connecté, définit la configuration. MFA

  • Dans une application gérée par un administrateur ou confidentielle, autorisée par des informations d' AWS identification administratives AdminSetUserPreference, définit la configuration. MFA

Vous pouvez également définir les MFA préférences utilisateur depuis l'onglet Utilisateurs de la console Amazon Cognito. Pour plus d'informations sur les modèles d'authentification publics et confidentiels dans les groupes d'utilisateurs Amazon CognitoAPI, consultez. Utilisation des groupes d'utilisateurs API et du serveur d'autorisation

Configuration d'un groupe d'utilisateurs pour l'authentification multifactorielle

Vous pouvez le configurer MFA dans la console Amazon Cognito.

Pour configurer MFA dans la console Amazon Cognito

  1. Connectez-vous à la console Amazon Cognito.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l’onglet Sign-in experience (Expérience de connexion). retrouvez Authentification multifacteur et choisissez Modifier.

  5. Choisissez la méthode d'MFAapplication que vous souhaitez utiliser avec votre groupe d'utilisateurs.

    Avertir les utilisateurs

    1. Exiger MFA. Tous les utilisateurs de votre groupe d'utilisateurs doivent se connecter à l'aide d'un SMS code supplémentaire ou d'un facteur de mot de passe à usage unique (TOTP) basé sur le temps.

    2. Facultatif MFA : vous pouvez donner à vos utilisateurs la possibilité d'enregistrer un facteur de connexion supplémentaire tout en autorisant les utilisateurs non configurés MFA à se connecter. Choisissez cette option si vous utilisez l’authentification adaptative. Pour plus d’informations sur l’authentification adaptative, consultez Fonctionnalités de sécurité avancées du pool d'utilisateurs.

    3. Non MFA. Vos utilisateurs ne peuvent pas enregistrer un facteur de connexion supplémentaire.

  6. Choisissez les MFAméthodes que vous prenez en charge dans votre application. Vous pouvez définir les applications d'authentification par e-mail, de SMSmessages ou de TOTP génération de messages comme deuxième facteur.

  7. Si vous utilisez les SMS SMS comme deuxième facteur et que vous n'avez pas configuré de IAM rôle à utiliser avec Amazon Simple Notification Service (AmazonSNS) pour les SMS messages, créez-en un dans la console. Dans l'onglet Messagerie de votre groupe d'utilisateurs, recherchez SMSet choisissez Modifier. Vous pouvez également utiliser un rôle existant qui permet à Amazon Cognito d'envoyer SMS des messages à vos utilisateurs à votre place. Pour plus d'informations, consultez Rôles IAM.

  8. Sélectionnez Enregistrer les modifications.