Ajout de l’authentification MFA à un groupe d’utilisateurs - Amazon Cognito
À savoirPréférences MFA de l'utilisateurConfiguration de l’authentification multifacteur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajout de l’authentification MFA à un groupe d’utilisateurs

La MFA ajoute un facteur d'authentification au facteur initial que vous connaissez, qui est généralement un nom d'utilisateur et un mot de passe. Vous pouvez choisir des SMS, des e-mails ou des mots de passe à usage unique basés sur le temps (TOTP) comme facteurs supplémentaires pour connecter vos utilisateurs dont le mot de passe est le principal facteur d'authentification.

L'authentification multifactorielle (MFA) renforce la sécurité des utilisateurs locaux de votre application. Dans le cas des utilisateurs fédérés, Amazon Cognito délègue tous les processus d'authentification à l'IdP et ne leur propose aucun facteur d'authentification supplémentaire.

Note

La première fois qu'un nouvel utilisateur se connecte à votre application, Amazon Cognito émet des jetons OAuth 2.0, même si votre groupe d'utilisateurs nécessite le MFA. Le deuxième facteur d’authentification, lorsque votre utilisateur se connecte pour la première fois, est sa confirmation du message de vérification qu’Amazon Cognito lui envoie. Si votre groupe d’utilisateurs nécessite l’authentification MFA, Amazon Cognito invite votre utilisateur à enregistrer un facteur de connexion supplémentaire à utiliser lors de chaque tentative de connexion après la première.

Avec l'authentification adaptative, vous pouvez configurer votre groupe d'utilisateurs pour qu'il exige un facteur d'authentification supplémentaire en réponse à un niveau de risque accru. Pour ajouter l’authentification adaptative à votre groupe d’utilisateurs, consultez Sécurité avancée avec protection contre les menaces.

Quand vous définissez l’authentification MFA sur required pour un groupe d’utilisateurs, tous les utilisateurs doivent l’utiliser pour se connecter. Pour se connecter, chaque utilisateur doit configurer au moins un facteur MFA. Lorsque la MFA est requise, vous devez inclure la configuration MFA dans l'intégration des utilisateurs afin que votre groupe d'utilisateurs les autorise à se connecter.

La connexion gérée invite les utilisateurs à configurer l'authentification multifacteur lorsque vous la définissez comme obligatoire. Lorsque vous configurez le MFA comme facultatif dans votre groupe d'utilisateurs, la connexion gérée n'invite pas les utilisateurs. Pour utiliser une authentification MFA facultative, vous devez créer une interface dans votre application qui invite vos utilisateurs à choisir de configurer l’authentification MFA, puis qui les guide via les entrées d’API pour vérifier leur facteur de connexion supplémentaire.

Rubriques

Ce qu'il faut savoir sur le MFA pour groupes d'utilisateurs

Avant de configurer MFA, prenez en compte les éléments suivants :

  • Votre groupe d'utilisateurs peut avoir besoin d'un MFA ou de facteurs de connexion sans mot de passe. Vous ne pouvez pas définir l'authentification MFA comme obligatoire dans les groupes d'utilisateurs qui prennent en charge les mots de passe ou les clés d'accès à usage unique. Vous ne pouvez pas activer la connexion basée sur les choix avec le USER_AUTH flux dans les groupes d'utilisateurs qui nécessitent l'authentification MFA.

  • La méthode MFA préférée d'un utilisateur influence les méthodes qu'il peut utiliser pour récupérer son mot de passe. Les utilisateurs dont le MFA préféré est envoyé par e-mail ne peuvent pas recevoir de code de réinitialisation de mot de passe par e-mail. Les utilisateurs dont le MFA préféré est envoyé par SMS ne peuvent pas recevoir de code de réinitialisation de mot de passe par SMS.

    Vos paramètres de récupération de mot de passe doivent fournir une autre option lorsque les utilisateurs ne sont pas éligibles à votre méthode de réinitialisation de mot de passe préférée. Par exemple, vos mécanismes de restauration peuvent avoir le courrier électronique comme priorité absolue et le courrier électronique MFA peut être une option dans votre groupe d'utilisateurs. Dans ce cas, ajoutez la récupération des comptes par SMS comme deuxième option ou utilisez les opérations d'API d'administration pour réinitialiser les mots de passe de ces utilisateurs.

  • Les utilisateurs ne peuvent pas recevoir le MFA et les codes de réinitialisation de mot de passe à la même adresse e-mail ou au même numéro de téléphone. S'ils utilisent des mots de passe à usage unique (OTPs) contenus dans des e-mails pour la MFA, ils doivent utiliser des SMS pour récupérer leur compte. S'ils utilisent OTPs des messages SMS pour le MFA, ils doivent utiliser des e-mails pour récupérer leur compte. Dans les groupes d'utilisateurs dotés de l'authentification multifacteur, les utilisateurs peuvent ne pas être en mesure de récupérer leur mot de passe en libre-service s'ils possèdent des attributs pour leur adresse e-mail mais pas de numéro de téléphone, ou s'ils ont un numéro de téléphone sans adresse e-mail.

    Pour éviter que les utilisateurs ne puissent pas réinitialiser leur mot de passe dans les groupes d'utilisateurs avec cette configuration, définissez les phone_number attributs email et selon les besoins. Vous pouvez également configurer des processus qui collectent et définissent toujours ces attributs lorsque les utilisateurs s'inscrivent ou lorsque vos administrateurs créent des profils d'utilisateurs. Lorsque les utilisateurs possèdent les deux attributs, Amazon Cognito envoie automatiquement des codes de réinitialisation de mot de passe à la destination qui ne correspond pas au facteur MFA de l'utilisateur.

  • Lorsque vous activez l'authentification multifacteur dans votre groupe d'utilisateurs et que vous choisissez le message SMS ou e-mail comme deuxième facteur, vous pouvez envoyer des messages à un numéro de téléphone ou à un attribut d'e-mail que vous n'avez pas vérifié dans Amazon Cognito. Une fois que votre utilisateur a terminé l'authentification MFA, Amazon Cognito définit phone_number_verified son email_verified attribut or sur. true

  • Après cinq tentatives infructueuses de présentation d’un code MFA, Amazon Cognito lance le processus de verrouillage par temporisation exponentielle décrit dans le Comportement de verrouillage en cas d'échec des tentatives de connexion.

  • Si votre compte se trouve dans le sandbox SMS Région AWS qui contient les ressources Amazon Simple Notification Service (Amazon SNS) pour votre groupe d'utilisateurs, vous devez vérifier les numéros de téléphone dans Amazon SNS avant de pouvoir envoyer un SMS. Pour de plus amples informations, veuillez consulter Paramètres des SMS pour les groupes d'utilisateurs Amazon Cognito.

  • Pour modifier le statut MFA des utilisateurs en réponse à des événements détectés avec protection contre les menaces, activez le MFA et définissez-le comme facultatif dans la console du groupe d'utilisateurs Amazon Cognito. Pour de plus amples informations, veuillez consulter Sécurité avancée avec protection contre les menaces.

  • Les e-mails et les SMS nécessitent que vos utilisateurs disposent respectivement d'une adresse e-mail et d'un numéro de téléphone. Vous pouvez définir email ou selon phone_number les besoins des attributs de votre groupe d'utilisateurs. Dans ce cas, les utilisateurs ne peuvent pas terminer leur inscription s'ils ne fournissent pas de numéro de téléphone. Si vous ne définissez pas ces attributs comme requis mais que vous souhaitez utiliser l'authentification MFA par e-mail ou par SMS, vous demandez aux utilisateurs de saisir leur adresse e-mail ou leur numéro de téléphone lors de leur inscription. Il est recommandé de configurer votre groupe d'utilisateurs pour qu'il envoie automatiquement des messages aux utilisateurs afin de vérifier ces attributs.

    Amazon Cognito considère qu'un numéro de téléphone ou une adresse e-mail ont été vérifiés si un utilisateur a reçu avec succès un code temporaire par SMS ou e-mail et l'a renvoyé dans une demande d'VerifyUserAttributeAPI. Votre équipe peut également définir des numéros de téléphone et les marquer comme vérifiés auprès d'une application administrative qui exécute les demandes AdminUpdateUserAttributesd'API.

  • Si vous avez défini l'authentification MFA comme obligatoire et que vous avez activé plusieurs facteurs d'authentification, Amazon Cognito invite les nouveaux utilisateurs à sélectionner le facteur MFA qu'ils souhaitent utiliser. Les utilisateurs doivent disposer d'un numéro de téléphone pour configurer le MFA par SMS et d'une adresse e-mail pour configurer le MFA par e-mail. Si aucun attribut n'est défini pour aucun MFA basé sur des messages disponible, Amazon Cognito l'invite à configurer le MFA TOTP. L'invite à choisir un facteur MFA (SELECT_MFA_TYPE) et à configurer un facteur choisi (MFA_SETUP) apparaît comme une réponse à un défi InitiateAuthet à des opérations d'AdminInitiateAuthAPI.

Préférences MFA de l'utilisateur

Les utilisateurs peuvent configurer plusieurs facteurs MFA. Un seul peut être actif. Vous pouvez choisir la préférence MFA effective pour vos utilisateurs dans les paramètres du groupe d'utilisateurs ou à partir des instructions des utilisateurs. Un groupe d'utilisateurs invite un utilisateur à saisir des codes MFA lorsque les paramètres du groupe d'utilisateurs et leurs propres paramètres au niveau de l'utilisateur répondent aux conditions suivantes :

  1. Vous définissez l'authentification MFA comme facultative ou obligatoire dans votre groupe d'utilisateurs.

  2. L'utilisateur possède un phone_number attribut email or valide ou a configuré une application d'authentification pour TOTP.

  3. Au moins un facteur MFA est actif.

  4. Un facteur MFA est défini comme préféré.

Paramètres du groupe d'utilisateurs et leur effet sur les options MFA

La configuration de votre groupe d'utilisateurs influence les méthodes MFA que les utilisateurs peuvent choisir. Voici quelques paramètres du groupe d'utilisateurs qui influencent la capacité des utilisateurs à configurer le MFA.

  • Dans la configuration de l'authentification multifactorielle du menu de connexion de la console Amazon Cognito, vous pouvez définir l'authentification MFA comme facultative ou obligatoire, ou la désactiver. L'équivalent API de ce paramètre est le MfaConfigurationparamètre de CreateUserPoolUpdateUserPool, etSetUserPoolMfaConfig.

    Toujours dans la configuration de l'authentification multifactorielle, le paramètre des méthodes MFA détermine les facteurs MFA que les utilisateurs peuvent configurer. L'équivalent API de ce paramètre est l'SetUserPoolMfaConfigopération.

  • Dans le menu de connexion, sous Récupération du compte utilisateur, vous pouvez configurer la manière dont votre groupe d'utilisateurs envoie des messages aux utilisateurs qui oublient leur mot de passe. La méthode MFA d'un utilisateur ne peut pas avoir la même méthode de livraison MFA que la méthode de livraison du groupe d'utilisateurs pour les codes de mot de passe oubliés. Le paramètre d'API pour la méthode de livraison du mot de passe oublié est le AccountRecoverySettingparamètre de et. CreateUserPool UpdateUserPool

    Par exemple, les utilisateurs ne peuvent pas configurer l'authentification MFA par e-mail lorsque votre option de restauration est le courrier électronique uniquement. Cela est dû au fait que vous ne pouvez pas activer l'authentification MFA par e-mail et définir l'option de restauration sur E-mail uniquement dans le même groupe d'utilisateurs. Lorsque vous définissez cette option sur E-mail si disponible, sinon sur SMS, le courrier électronique est l'option de restauration prioritaire, mais votre groupe d'utilisateurs peut revenir aux SMS lorsqu'un utilisateur n'est pas éligible à la restauration de messages électroniques. Dans ce scénario, les utilisateurs peuvent définir le MFA par e-mail comme favori et ne peuvent recevoir un message SMS que lorsqu'ils tentent de réinitialiser leur mot de passe.

  • Si vous définissez une seule méthode MFA disponible, vous n'avez pas besoin de gérer les préférences MFA des utilisateurs.

  • Une configuration SMS active fait automatiquement des SMS une méthode MFA disponible dans votre groupe d'utilisateurs.

    Une configuration de messagerie active avec vos propres ressources Amazon SES dans un groupe d'utilisateurs et le plan de fonctionnalités Essentials ou Plus font automatiquement des e-mails une méthode MFA disponible dans votre groupe d'utilisateurs.

  • Lorsque vous définissez l'authentification MFA comme obligatoire dans un groupe d'utilisateurs, les utilisateurs ne peuvent ni activer ni désactiver aucune méthode MFA. Vous ne pouvez définir qu'une méthode préférée.

  • Lorsque vous définissez l'authentification MFA comme facultative dans un groupe d'utilisateurs, la connexion gérée n'invite pas les utilisateurs à configurer l'authentification multifacteur, mais elle les invite à saisir un code MFA lorsqu'ils ont une méthode MFA préférée.

  • Lorsque vous activez la protection contre les menaces et que vous configurez des réponses d'authentification adaptative en mode multifonction, la MFA doit être facultative dans votre groupe d'utilisateurs. L'une des options de réponse avec l'authentification adaptative consiste à exiger l'authentification MFA pour un utilisateur dont la tentative de connexion est évaluée comme présentant un certain niveau de risque.

    Le paramètre Attributs obligatoires dans le menu d'inscription de la console détermine si les utilisateurs doivent fournir une adresse e-mail ou un numéro de téléphone pour s'inscrire dans votre application. Les e-mails et les SMS deviennent des facteurs MFA éligibles lorsqu'un utilisateur possède l'attribut correspondant. Le paramètre Schema CreateUserPool définit les attributs selon les besoins.

  • Lorsque vous définissez l'authentification MFA comme obligatoire dans un groupe d'utilisateurs et qu'un utilisateur se connecte avec une connexion gérée, Amazon Cognito l'invite à sélectionner une méthode MFA parmi les méthodes disponibles pour votre groupe d'utilisateurs. La connexion gérée gère la collecte d'une adresse e-mail ou d'un numéro de téléphone et la configuration de TOTP.

Opérations d'API pour configurer les préférences MFA

Vous pouvez configurer les préférences MFA pour les utilisateurs dans un modèle en libre-service avec autorisation par jeton d'accès, ou dans un modèle géré par un administrateur avec des opérations d'API administratives. Ces opérations activent ou désactivent les méthodes MFA et définissent l'une des nombreuses méthodes comme option préférée. Une fois que votre utilisateur a défini une préférence MFA, Amazon Cognito l'invite, lors de la connexion, à fournir un code correspondant à sa méthode MFA préférée. Les utilisateurs qui n'ont pas défini de préférence sont invités à choisir la méthode préférée lors d'un SELECT_MFA_TYPE défi.

  • Dans un modèle de libre-service utilisateur ou une application publique SetUserMfaPreference, autorisé par le jeton d'accès d'un utilisateur connecté, définit la configuration MFA.

  • Dans une application gérée par un administrateur ou confidentielle, autorisée par des informations d' AWS identification administratives AdminSetUserPreference, définit la configuration MFA.

Vous pouvez également définir les préférences MFA des utilisateurs dans le menu Utilisateurs de la console Amazon Cognito. Pour plus d'informations sur les modèles d'authentification publics et confidentiels de l'API des groupes d'utilisateurs Amazon Cognito, consultez. Comprendre l'API, l'OIDC et l'authentification par pages de connexion gérées

Configuration d'un groupe d'utilisateurs pour l'authentification multifactorielle

Vous pouvez configurer la MFA dans la console Amazon Cognito.

Pour configurer l’authentification MFA dans la console Amazon Cognito.

  1. Connectez-vous à la console Amazon Cognito.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  4. Choisissez le menu de connexion. Localisez l'authentification multifactorielle et choisissez Modifier.

  5. Choisissez la méthode MFA enforcement que vous souhaitez utiliser avec votre groupe d’utilisateurs.

    Capture d'écran de la console Amazon Cognito avec les options MFA.

    1. Require MFA (Demander l’authentification MFA). Tous les utilisateurs de votre groupe d'utilisateurs doivent se connecter à l'aide d'un SMS, d'un e-mail ou d'un code TOTP (mot de passe à usage unique basé sur le temps) comme facteur d'authentification supplémentaire.

    2. MFA en option. Vous pouvez donner à vos utilisateurs la possibilité d'enregistrer un facteur de connexion supplémentaire tout en autorisant les utilisateurs qui n'ont pas configuré la MFA à se connecter. Choisissez cette option si vous utilisez l’authentification adaptative. Pour plus d’informations sur l’authentification adaptative, consultez Sécurité avancée avec protection contre les menaces.

    3. No MFA (Aucune authentification MFA). Vos utilisateurs ne peuvent pas enregistrer un facteur de connexion supplémentaire.

  6. Choisissez les méthodes MFA que vous allez prendre en charge dans votre application. Vous pouvez définir le message électronique, le message SMS ou les applications d'authentification génératrices de TOTP comme deuxième facteur.

  7. Si vous utilisez les SMS comme deuxième facteur et que vous n’avez pas configuré de rôle IAM à utiliser avec Amazon Simple Notification Service (Amazon SNS) pour les SMS, créez-en un dans la console. Dans le menu Méthodes d'authentification de votre groupe d'utilisateurs, recherchez SMS et choisissez Modifier. Vous pouvez également utiliser un rôle existant permettant à Amazon Cognito d’envoyer des SMS à vos utilisateurs à votre place. Pour en savoir plus, consultez Rôles IAM.

    Si vous utilisez les e-mails comme deuxième facteur et que vous n'avez pas configuré d'identité d'origine à utiliser avec Amazon Simple Email Service (Amazon SES) pour les e-mails, créez-en une dans la console. Vous devez choisir l'option Envoyer un e-mail avec SES. Dans le menu Méthodes d'authentification de votre groupe d'utilisateurs, recherchez E-mail et choisissez Modifier. Sélectionnez une adresse e-mail FROM parmi les identités vérifiées disponibles dans la liste. Si vous choisissez un domaine vérifié, par exempleexample.com, vous devez également configurer un nom d'expéditeur FROM dans le domaine vérifié, par exempleadmin-noreply@example.com.

  8. Sélectionnez Enregistrer les modifications.