Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Ajout de l’authentification MFA à un groupe d’utilisateurs
La MFA ajoute un facteur *d'authentification au facteur initial que vous* *connaissez*, qui est généralement un nom d'utilisateur et un mot de passe. Vous pouvez choisir des SMS, des e-mails ou des mots de passe à usage unique basés sur le temps (TOTP) comme facteurs supplémentaires pour connecter vos utilisateurs dont le mot de passe est le principal facteur d'authentification.
L'authentification multifactorielle (MFA) renforce la sécurité des utilisateurs [locaux de votre](cognito-terms.md#terms-localuser) application. Dans le cas des [utilisateurs fédérés](cognito-terms.md#terms-federateduser), Amazon Cognito délègue tous les processus d'authentification à l'IdP et ne leur propose aucun facteur d'authentification supplémentaire.
**Note**
La première fois qu'un nouvel utilisateur se connecte à votre application, Amazon Cognito émet des jetons OAuth 2.0, même si votre groupe d'utilisateurs nécessite le MFA. Le deuxième facteur d’authentification, lorsque votre utilisateur se connecte pour la première fois, est sa confirmation du message de vérification qu’Amazon Cognito lui envoie. Si votre groupe d’utilisateurs nécessite l’authentification MFA, Amazon Cognito invite votre utilisateur à enregistrer un facteur de connexion supplémentaire à utiliser lors de chaque tentative de connexion après la première.
Avec l'authentification adaptative, vous pouvez configurer votre groupe d'utilisateurs pour qu'il exige un facteur d'authentification supplémentaire en réponse à un niveau de risque accru. Pour ajouter l’authentification adaptative à votre groupe d’utilisateurs, consultez [Sécurité avancée avec protection contre les menaces](cognito-user-pool-settings-threat-protection.md).
Quand vous définissez l’authentification MFA sur `required` pour un groupe d’utilisateurs, tous les utilisateurs doivent l’utiliser pour se connecter. Pour se connecter, chaque utilisateur doit configurer au moins un facteur MFA. Lorsque la MFA est requise, vous devez inclure la configuration MFA dans l'intégration des utilisateurs afin que votre groupe d'utilisateurs les autorise à se connecter.
La connexion gérée invite les utilisateurs à configurer l'authentification multifacteur lorsque vous la définissez comme obligatoire. Lorsque vous configurez le MFA comme facultatif dans votre groupe d'utilisateurs, la connexion gérée n'invite pas les utilisateurs à s'y connecter. Pour utiliser une authentification MFA facultative, vous devez créer une interface dans votre application qui invite vos utilisateurs à choisir de configurer l’authentification MFA, puis qui les guide via les entrées d’API pour vérifier leur facteur de connexion supplémentaire.
**Topics**
+ [Ce qu'il faut savoir sur le MFA pour groupes d'utilisateurs](#user-pool-settings-mfa-prerequisites)
+ [Préférences MFA de l'utilisateur](#user-pool-settings-mfa-preferences)
+ [Détails de la logique MFA lors de l'exécution de l'utilisateur](#user-pool-settings-mfa-user-outcomes)
+ [Configuration d'un groupe d'utilisateurs pour l'authentification multifactorielle](#user-pool-configuring-mfa)
+ [MFA par SMS et e-mail](user-pool-settings-mfa-sms-email-message.md)
+ [Authentification MFA par jeton logiciel TOTP](user-pool-settings-mfa-totp.md)
## Ce qu'il faut savoir sur le MFA pour groupes d'utilisateurs
Avant de configurer MFA, prenez en compte les éléments suivants :
+ Les utilisateurs peuvent utiliser l'authentification multifacteur *ou* se connecter sans mot de passe, à une exception près : les clés d'accès avec vérification utilisateur peuvent satisfaire aux exigences de l'authentification multifacteur lorsque vous les configurez dans votre groupe d'utilisateurs. `FactorConfiguration` `MULTI_FACTOR_WITH_USER_VERIFICATION` `WebAuthnConfiguration`
+ Vous ne pouvez pas définir l'authentification MFA comme obligatoire dans les groupes d'utilisateurs qui prennent en charge les mots de passe à [usage unique](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless).
+ Vous ne pouvez pas ajouter `EMAIL_OTP` ou `SMS_OTP` ajouter `AllowedFirstAuthFactors` lorsque l'authentification MFA est requise dans votre groupe d'utilisateurs. Vous pouvez ajouter `WEB_AUTHN` quand `FactorConfiguration` est défini sur`MULTI_FACTOR_WITH_USER_VERIFICATION`.
+ La [connexion basée sur les choix](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) ne propose `PASSWORD` et ne prend en `PASSWORD_SRP` compte que tous les clients de l'application lorsque l'authentification MFA est requise dans le groupe d'utilisateurs. Pour plus d'informations sur les flux de nom d'utilisateur [Connectez-vous avec des mots de passe persistants](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-password) et de mot de passe, reportez-vous [Connectez-vous avec des mots de passe persistants et une charge utile sécurisée](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-srp) au chapitre **Authentification** de ce guide.
+ Dans les groupes d'utilisateurs où l'authentification MFA est facultative, les utilisateurs qui ont configuré un facteur MFA ne peuvent se connecter qu'à l'aide de flux d'authentification par nom d'utilisateur et mot de passe dans le cadre d'une connexion basée sur des choix. Ces utilisateurs sont éligibles à tous les flux de [connexion basés sur le client](authentication-flows-selection-sdk.md#authentication-flows-selection-client).
Le tableau suivant décrit l'effet des paramètres MFA du groupe d'utilisateurs et de la configuration utilisateur des facteurs MFA sur la capacité des utilisateurs à se connecter sans mot de passe.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/user-pool-settings-mfa.html)
+ La méthode MFA préférée d'un utilisateur influence les méthodes qu'il peut utiliser pour récupérer son mot de passe. Les utilisateurs dont le MFA préféré est envoyé par e-mail ne peuvent pas recevoir de code de réinitialisation de mot de passe par e-mail. Les utilisateurs dont le MFA préféré est envoyé par SMS ne peuvent pas recevoir de code de réinitialisation de mot de passe par SMS.
Vos paramètres [de récupération de mot de passe](managing-users-passwords.md#user-pool-password-reset-and-recovery) doivent fournir une autre option lorsque les utilisateurs ne sont pas éligibles à votre méthode de réinitialisation de mot de passe préférée. Par exemple, vos mécanismes de restauration peuvent avoir le courrier électronique comme priorité absolue et l'authentification MFA par e-mail peut être une option dans votre groupe d'utilisateurs. Dans ce cas, ajoutez la récupération des comptes par SMS comme deuxième option ou utilisez les opérations d'API d'administration pour réinitialiser les mots de passe de ces utilisateurs.
Amazon Cognito répond aux demandes de réinitialisation de mot de passe des utilisateurs qui ne disposent pas d'une méthode de restauration valide en envoyant une réponse d'erreur. `InvalidParameterException`
L'exemple de corps de demande pour [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html#API_UpdateUserPool_Examples)illustre un `AccountRecoverySetting` endroit où les utilisateurs peuvent revenir à la restauration par SMS lorsque la réinitialisation du mot de passe par e-mail n'est pas disponible.
+ Les utilisateurs ne peuvent pas recevoir le MFA et les codes de réinitialisation de mot de passe à la même adresse e-mail ou au même numéro de téléphone. S'ils utilisent des mots de passe à usage unique (OTPs) contenus dans des e-mails pour la MFA, ils doivent utiliser des SMS pour récupérer leur compte. S'ils utilisent OTPs des messages SMS pour le MFA, ils doivent utiliser des e-mails pour récupérer leur compte. Dans les groupes d'utilisateurs dotés de l'authentification multifacteur, les utilisateurs peuvent ne pas être en mesure de récupérer leur mot de passe en libre-service s'ils ont des attributs pour leur adresse e-mail mais pas de numéro de téléphone, ou s'ils ont un numéro de téléphone sans adresse e-mail.
Pour éviter que les utilisateurs ne puissent pas réinitialiser leur mot de passe dans les groupes d'utilisateurs avec cette configuration, définissez les `phone_number` [attributs `email` et selon les besoins](user-pool-settings-attributes.md). Vous pouvez également configurer des processus qui collectent et définissent toujours ces attributs lorsque les utilisateurs s'inscrivent ou lorsque vos administrateurs créent des profils utilisateur. Lorsque les utilisateurs possèdent les deux attributs, Amazon Cognito envoie automatiquement des codes de réinitialisation de mot de passe à la destination qui ne correspond pas au facteur MFA de *l'*utilisateur.
+ Lorsque vous activez le MFA dans votre groupe d'utilisateurs et que vous choisissez le **message SMS** ou **e-mail** comme deuxième facteur, vous pouvez envoyer des messages à un numéro de téléphone ou à un attribut d'e-mail que vous n'avez pas vérifié dans Amazon Cognito. Une fois que votre utilisateur a terminé l'authentification MFA, Amazon Cognito définit `phone_number_verified` son `email_verified` attribut or sur. `true`
+ Après cinq tentatives infructueuses de présentation d’un code MFA, Amazon Cognito lance le processus de verrouillage par temporisation exponentielle décrit dans le [Comportement de verrouillage en cas d'échec des tentatives de connexion](authentication.md#authentication-flow-lockout-behavior).
+ Si votre compte se trouve dans le sandbox SMS Région AWS qui contient les ressources Amazon Simple Notification Service (Amazon SNS) pour votre groupe d'utilisateurs, vous devez vérifier les numéros de téléphone dans Amazon SNS avant de pouvoir envoyer un SMS. Pour de plus amples informations, veuillez consulter [Paramètres des SMS pour les groupes d'utilisateurs Amazon Cognito](user-pool-sms-settings.md).
+ Pour modifier le statut MFA des utilisateurs en réponse à des événements détectés avec protection contre les menaces, activez le MFA et définissez-le comme facultatif dans la console du groupe d'utilisateurs Amazon Cognito. Pour de plus amples informations, veuillez consulter [Sécurité avancée avec protection contre les menaces](cognito-user-pool-settings-threat-protection.md).
+ Les e-mails et les SMS nécessitent que vos utilisateurs disposent respectivement d'une adresse e-mail et d'un numéro de téléphone. Vous pouvez définir `email` ou selon `phone_number` les besoins des attributs de votre groupe d'utilisateurs. Dans ce cas, les utilisateurs ne peuvent pas terminer leur inscription s'ils ne fournissent pas de numéro de téléphone. Si vous ne définissez pas ces attributs comme requis mais que vous souhaitez utiliser l'authentification MFA par e-mail ou par SMS, vous demandez aux utilisateurs de saisir leur adresse e-mail ou leur numéro de téléphone lors de leur inscription. Il est recommandé de configurer votre groupe d'utilisateurs pour qu'il envoie automatiquement des messages aux utilisateurs afin de [vérifier ces attributs](signing-up-users-in-your-app.md).
Amazon Cognito considère qu'un numéro de téléphone ou une adresse e-mail ont été vérifiés si un utilisateur a reçu avec succès un code temporaire par SMS ou e-mail et l'a renvoyé dans une demande d'[VerifyUserAttribute](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html)API. Votre équipe peut également définir des numéros de téléphone et les marquer comme vérifiés auprès d'une application administrative qui exécute les demandes [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)d'API.
+ Si vous avez défini l'authentification MFA comme obligatoire et que vous avez activé plusieurs facteurs d'authentification, Amazon Cognito invite les nouveaux utilisateurs à sélectionner le facteur MFA qu'ils souhaitent utiliser. Les utilisateurs doivent disposer d'un numéro de téléphone pour configurer le MFA par SMS et d'une adresse e-mail pour configurer le MFA par e-mail. Si aucun attribut n'est défini pour aucun MFA basé sur des messages disponible, Amazon Cognito l'invite à configurer le MFA TOTP. L'invite à choisir un facteur MFA (`SELECT_MFA_TYPE`) et à configurer un facteur choisi (`MFA_SETUP`) est une réponse à un défi [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)et à des opérations d'[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)API.
## Préférences MFA de l'utilisateur
Les utilisateurs peuvent configurer plusieurs facteurs MFA. Un seul peut être actif. Vous pouvez choisir la préférence MFA effective pour vos utilisateurs dans les paramètres du groupe d'utilisateurs ou à partir des instructions des utilisateurs. Un groupe d'utilisateurs invite un utilisateur à saisir des codes MFA lorsque les paramètres du groupe d'utilisateurs et leurs propres paramètres au niveau de l'utilisateur répondent aux conditions suivantes :
1. Vous définissez l'authentification MFA comme facultative ou obligatoire dans votre groupe d'utilisateurs.
1. L'utilisateur possède un `phone_number` attribut `email` or valide ou a configuré une application d'authentification pour TOTP.
1. Au moins un facteur MFA est actif.
1. Un facteur MFA est défini comme préféré.
### Empêcher l'utilisation du même facteur pour la connexion et le MFA
Il est possible de configurer votre groupe d'utilisateurs de manière à ce qu'un seul facteur de connexion soit la seule option de connexion et de MFA disponible pour certains ou tous les utilisateurs. Ce résultat peut se produire lorsque votre principal cas d'utilisation de connexion est un mot de passe à usage unique par e-mail ou SMS (). OTPs Le MFA préféré d'un utilisateur peut être le même type de facteur que sa connexion dans les conditions suivantes :
+ Le MFA est obligatoire dans le groupe d'utilisateurs.
+ Les e-mails et les SMS OTP sont des options de connexion et *MFA* disponibles dans le pool d'utilisateurs.
+ L'utilisateur se connecte par e-mail ou SMS OTP.
+ Ils ont un attribut d'adresse e-mail mais pas d'attribut de numéro de téléphone, ou un attribut de numéro de téléphone mais pas d'attribut d'adresse e-mail.
Dans ce scénario, l'utilisateur peut se connecter avec un OTP d'e-mail et terminer le MFA avec un OTP d'e-mail. Cette option annule la fonction essentielle de la MFA. Les utilisateurs qui se connectent avec un mot de passe à usage unique doivent être en mesure d'utiliser des méthodes de livraison différentes pour la connexion et pour le MFA. Lorsque les utilisateurs disposent à la fois des options SMS et e-mail, Amazon Cognito attribue automatiquement un facteur différent. Par exemple, lorsqu'un utilisateur se connecte par e-mail OTP, son MFA préféré est le SMS OTP.
Suivez les étapes ci-dessous pour résoudre le problème de l'authentification à facteur identique lorsque votre groupe d'utilisateurs prend en charge l'authentification OTP à la fois pour la connexion et pour l'authentification MFA.
1. Activez le courrier électronique et le protocole OTP par SMS comme facteurs de connexion.
1. Activez le courrier électronique et le protocole OTP par SMS en tant que facteurs MFA.
1. Collecte
### Paramètres du groupe d'utilisateurs et leur effet sur les options MFA
La configuration de votre groupe d'utilisateurs influence les méthodes MFA que les utilisateurs peuvent choisir. Voici quelques paramètres du groupe d'utilisateurs qui influencent la capacité des utilisateurs à configurer le MFA.
+ Dans la configuration de l'**authentification multifactorielle** du menu de **connexion** de la console Amazon Cognito, vous pouvez définir l'authentification MFA comme facultative ou obligatoire, ou la désactiver. L'équivalent API de ce paramètre est le [MfaConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#CognitoUserPools-CreateUserPool-request-MfaConfiguration)paramètre de `CreateUserPool``UpdateUserPool`, et`SetUserPoolMfaConfig`.
Toujours dans la configuration de l'**authentification multifactorielle**, le paramètre des méthodes **MFA** détermine les facteurs MFA que les utilisateurs peuvent configurer. L'équivalent API de ce paramètre est l'[SetUserPoolMfaConfig](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUserPoolMfaConfig.html)opération.
+ Dans le menu de **connexion**, sous **Récupération du compte utilisateur**, vous pouvez configurer la manière dont votre groupe d'utilisateurs envoie des messages aux utilisateurs qui oublient leur mot de passe. La méthode MFA d'un utilisateur ne peut pas avoir la même méthode de livraison MFA que la méthode de livraison du groupe d'utilisateurs pour les codes de mot de passe oubliés. Le paramètre d'API pour la méthode de livraison du mot de passe oublié est le [AccountRecoverySetting](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#CognitoUserPools-CreateUserPool-request-AccountRecoverySetting)paramètre de et. `CreateUserPool` `UpdateUserPool`
Par exemple, les utilisateurs ne peuvent pas configurer l'authentification MFA par e-mail lorsque votre option de restauration est le **courrier électronique** uniquement. Cela est dû au fait que vous ne pouvez pas activer l'authentification MFA par e-mail et définir l'option de restauration sur **E-mail uniquement** dans le même groupe d'utilisateurs. Lorsque vous définissez cette option sur **E-mail si disponible, sinon sur SMS**, le courrier électronique est l'option de restauration prioritaire, mais votre groupe d'utilisateurs peut revenir aux SMS lorsqu'un utilisateur n'est pas éligible à la restauration de messages électroniques. Dans ce scénario, les utilisateurs peuvent définir le MFA par e-mail comme favori et ne peuvent recevoir un message SMS que lorsqu'ils tentent de réinitialiser leur mot de passe.
+ Si vous définissez une seule méthode MFA comme étant disponible, vous n'avez pas besoin de gérer les préférences MFA des utilisateurs.
+ Une configuration SMS active fait automatiquement des SMS une méthode MFA disponible dans votre groupe d'utilisateurs.
Une [configuration de messagerie](user-pool-email.md) active avec vos propres ressources Amazon SES dans un groupe d'utilisateurs et le plan de fonctionnalités Essentials ou Plus font automatiquement des e-mails une méthode MFA disponible dans votre groupe d'utilisateurs.
+ Lorsque vous définissez l'authentification MFA comme obligatoire dans un groupe d'utilisateurs, les utilisateurs ne peuvent ni activer ni désactiver aucune méthode MFA. Vous ne pouvez définir qu'une méthode préférée.
+ Lorsque vous définissez l'authentification MFA comme facultative dans un groupe d'utilisateurs, la connexion gérée n'invite pas les utilisateurs à configurer l'authentification multifacteur, mais elle les invite à saisir un code MFA lorsqu'ils ont une méthode MFA préférée.
+ Lorsque vous activez [la protection contre les menaces](cognito-user-pool-settings-threat-protection.md) et que vous configurez des réponses d'authentification adaptative en mode multifonction, la MFA doit être facultative dans votre groupe d'utilisateurs. L'une des options de réponse avec l'authentification adaptative consiste à exiger l'authentification MFA pour un utilisateur dont la tentative de connexion est évaluée comme présentant un certain niveau de risque.
Le paramètre **Attributs obligatoires** dans le menu d'**inscription** de la console détermine si les utilisateurs doivent fournir une adresse e-mail ou un numéro de téléphone pour s'inscrire dans votre application. Les e-mails et les SMS deviennent des facteurs MFA éligibles lorsqu'un utilisateur possède l'attribut correspondant. Le paramètre [Schema](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#CognitoUserPools-CreateUserPool-request-Schema) `CreateUserPool` définit les attributs selon les besoins.
+ Lorsque vous définissez l'authentification MFA comme obligatoire dans un groupe d'utilisateurs et qu'un utilisateur se connecte avec une connexion gérée, Amazon Cognito l'invite à sélectionner une méthode MFA parmi les méthodes disponibles pour votre groupe d'utilisateurs. La connexion gérée gère la collecte d'une adresse e-mail ou d'un numéro de téléphone et la configuration de TOTP. Le schéma ci-dessous illustre la logique qui sous-tend les options proposées par Amazon Cognito aux utilisateurs.
### Configuration des préférences MFA pour les utilisateurs
Vous pouvez configurer les préférences MFA pour les utilisateurs dans un modèle en libre-service avec autorisation par jeton d'accès, ou dans un modèle géré par un administrateur avec des opérations d'API administratives. Ces opérations activent ou désactivent les méthodes MFA et définissent l'une des nombreuses méthodes comme option préférée. Une fois que votre utilisateur a défini une préférence MFA, Amazon Cognito l'invite, lors de la connexion, à fournir un code correspondant à sa méthode MFA préférée. Les utilisateurs qui n'ont pas défini de préférence sont invités à choisir la méthode préférée lors d'un `SELECT_MFA_TYPE` défi.
+ Dans un modèle de libre-service utilisateur ou une application publique [SetUserMfaPreference](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUserMFAPreference.html), autorisé par le jeton d'accès d'un utilisateur connecté, définit la configuration MFA.
+ Dans une application gérée par un administrateur ou confidentielle, autorisée par des informations d' AWS identification administratives [AdminSetUserPreference](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminSetUserMFAPreference.html), définit la configuration MFA.
Vous pouvez également définir les préférences MFA des utilisateurs dans le menu **Utilisateurs** de la console Amazon Cognito. Pour plus d'informations sur les modèles d'authentification publics et confidentiels de l'API des groupes d'utilisateurs Amazon Cognito, consultez. [Comprendre l'API, l'OIDC et l'authentification par pages de connexion gérées](authentication-flows-public-server-side.md#user-pools-API-operations)
## Détails de la logique MFA lors de l'exécution de l'utilisateur
Pour déterminer les étapes à suivre lorsque les utilisateurs se connectent, votre groupe d'utilisateurs évalue les préférences MFA des utilisateurs, les attributs des utilisateurs[, le paramètre MFA du groupe d'utilisateurs](user-pool-settings-attributes.md), [les](#user-pool-configuring-mfa) actions de protection contre les [menaces](cognito-user-pool-settings-adaptive-authentication.md) [et](managing-users-passwords.md#user-pool-password-reset-and-recovery) les paramètres de restauration des comptes en libre-service. Il connecte ensuite les utilisateurs, les invite à choisir une méthode MFA, les invite à configurer une méthode MFA ou les invite à utiliser l'MFA. Pour configurer une méthode MFA, les utilisateurs doivent fournir une [adresse e-mail ou un numéro de téléphone ou](user-pool-settings-mfa-sms-email-message.md) [enregistrer un authentificateur TOTP](user-pool-settings-mfa-totp.md#totp-mfa-set-up-api). Ils peuvent également configurer les options MFA et [enregistrer une option préférée](#user-pool-settings-mfa-preferences-configure) à l'avance. Le schéma suivant répertorie les effets détaillés de la configuration du groupe d'utilisateurs sur les tentatives de connexion immédiatement après l'inscription initiale.
La logique illustrée ici s'applique aux applications basées sur le SDK et à la [connexion gérée](cognito-user-pools-managed-login.md), mais elle est moins visible dans la connexion gérée. Lorsque vous dépannez le MFA, revenez sur les résultats de vos utilisateurs pour vous concentrer sur les configurations du profil utilisateur et du groupe d'utilisateurs qui ont contribué à la décision.
![\[Schéma du processus décisionnel des groupes d'utilisateurs Amazon Cognito pour la sélection du MFA par les utilisateurs finaux.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/cup-mfa-decision-tree.png)
La liste suivante correspond à la numérotation du diagramme logique de décision et décrit chaque étape en détail. A ![\[checkmark\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png) indique une authentification réussie et la fin du flux. A ![\[error\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/error.png) indique un échec de l'authentification.
1. Un utilisateur présente son nom d'utilisateur ou son nom d'utilisateur et son mot de passe sur votre écran de connexion. S'ils ne présentent pas d'informations d'identification valides, leur demande de connexion est refusée.
1. S'ils réussissent l'authentification par nom d'utilisateur et mot de passe, déterminez si l'authentification MFA est obligatoire, facultative ou désactivée. S'il est désactivé, le nom d'utilisateur et le mot de passe corrects permettent une authentification réussie. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Si le MFA est facultatif, déterminez si l'utilisateur a déjà configuré un authentificateur TOTP. S'ils ont configuré le TOTP, demandez-leur d'activer le MFA TOTP. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Déterminez si la fonctionnalité d'authentification adaptative de la protection contre les menaces a obligé l'utilisateur à configurer la MFA. S'il n'a pas attribué de MFA, l'utilisateur est connecté. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Si l'authentification MFA est requise ou si l'authentification adaptative a attribué une MFA, déterminez si l'utilisateur a défini un facteur MFA comme activé et préféré. Si c'est le cas, demandez-leur d'utiliser le MFA avec ce facteur. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Si l'utilisateur n'a pas défini de préférence MFA, déterminez s'il a enregistré un authentificateur TOTP.
1. Si l'utilisateur a enregistré un authentificateur TOTP, déterminez si le MFA TOTP est disponible dans le groupe d'utilisateurs (le MFA TOTP peut être désactivé une fois que les utilisateurs ont préalablement configuré les authentificateurs).
1. Déterminez si le MFA par e-mail ou par SMS est également disponible dans le groupe d'utilisateurs.
1. Si ni le MFA par e-mail ni par SMS n'est disponible, demandez à l'utilisateur d'utiliser le MFA TOTP. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Si le MFA par e-mail ou SMS est disponible, déterminez si l'utilisateur possède l'attribut `email` ou `phone_number` correspondant. Dans ce cas, tout attribut qui n'est pas la principale méthode de restauration de comptes en libre-service et qui est activé pour la MFA est disponible pour eux.
1. Proposez un `SELECT_MFA_TYPE` défi à l'utilisateur avec des `MFAS_CAN_SELECT` options telles que le TOTP et les facteurs MFA disponibles pour les SMS ou les e-mails.
1. Demandez à l'utilisateur de saisir le facteur qu'il a sélectionné en réponse au `SELECT_MFA_TYPE` défi. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Si l'utilisateur n'a pas enregistré d'authentificateur TOTP, ou s'il l'a fait mais que le MFA TOTP est actuellement désactivé, déterminez s'il possède un attribut ou. `email` `phone_number`
1. Si l'utilisateur ne possède qu'une adresse e-mail ou un numéro de téléphone, déterminez si cet attribut est également la méthode que le groupe d'utilisateurs met en œuvre pour envoyer des messages de restauration de compte afin de réinitialiser le mot de passe. Si c'est vrai, ils ne peuvent pas terminer la connexion avec le MFA requis et Amazon Cognito renvoie un message d'erreur. Pour activer la connexion pour cet utilisateur, vous devez ajouter un attribut de non-restauration ou enregistrer un authentificateur TOTP pour cet utilisateur. ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/error.png)
1. S'ils disposent d'une adresse e-mail ou d'un numéro de téléphone non récupérable, déterminez si le facteur MFA par e-mail ou SMS correspondant est activé.
1. S'ils ont un attribut d'adresse e-mail non récupérable et que l'authentification MFA par e-mail est activée, proposez-leur un `EMAIL_OTP` défi. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. S'ils ont un attribut de numéro de téléphone non récupérable et que l'authentification MFA par SMS est activée, proposez-leur un `SMS_MFA` défi. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. S'ils ne possèdent aucun attribut éligible à un facteur MFA activé par e-mail ou SMS, déterminez si l'authentification MFA TOTP est activée. Si l'authentification multifacteur TOTP est désactivée, ils ne peuvent pas terminer la connexion avec l'authentification MFA requise et Amazon Cognito renvoie un message d'erreur. Pour activer la connexion pour cet utilisateur, vous devez ajouter un attribut de non-restauration ou enregistrer un authentificateur TOTP pour cet utilisateur. ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/error.png)
**Note**
Cette étape a déjà été évaluée comme **Non** si l'utilisateur possède un authentificateur TOTP mais que le MFA TOTP est désactivé.
1. Si le TOTP MFA est activé, présentez `MFA_SETUP` un défi à l'utilisateur parmi les `SOFTWARE_TOKEN_MFA` `MFAS_CAN_SETUP` options. Pour relever ce défi, vous devez enregistrer séparément un authentificateur TOTP pour l'utilisateur et y répondre. `"ChallengeName": "MFA_SETUP", "ChallengeResponses": {"USERNAME": "[username]", "SESSION": "[Session ID from VerifySoftwareToken]}"`
1. Une fois que l'utilisateur a répondu au `MFA_SETUP` défi avec le jeton de session d'une [VerifySoftwareToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifySoftwareToken.html)demande, demandez-lui de `SOFTWARE_TOKEN_MFA` lancer un défi. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Si l'utilisateur possède à la fois une adresse e-mail et un numéro de téléphone, déterminez quel attribut, le cas échéant, est la principale méthode pour les messages de récupération de compte pour la réinitialisation du mot de passe.
1. Si la restauration des comptes en libre-service est désactivée, l'un ou l'autre des attributs peut être utilisé pour la MFA. Déterminez si l'un des facteurs MFA pour les e-mails et les SMS est activé ou les deux.
1. Si les deux attributs sont activés en tant que facteur MFA, demandez à l'utilisateur de `SELECT_MFA_TYPE` relever un défi avec les `MFAS_CAN_SELECT` options `SMS_MFA` et. `EMAIL_OTP`
1. Demandez-leur le facteur qu'ils ont sélectionné en réponse au `SELECT_MFA_TYPE` défi. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
1. Si un seul attribut est un facteur MFA éligible, demandez-leur de contester le facteur restant. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
Ce résultat se produit dans les scénarios suivants.
1. Lorsqu'ils possèdent des `email` `phone_number` attributs, l'authentification MFA par SMS et e-mail est activée, et la principale méthode de récupération du compte est par e-mail ou SMS.
1. Lorsqu'ils possèdent `email` des `phone_number` attributs, seule la MFA par SMS ou par e-mail est activée, et la restauration des comptes en libre-service est désactivée.
1. Si l'utilisateur n'a pas enregistré d'authentificateur TOTP et qu'il ne possède aucun `phone_number` attribut `email` nor, demandez-lui de lancer un défi. `MFA_SETUP` La liste `MFAS_CAN_SETUP` inclut tous les facteurs MFA activés dans le pool d'utilisateurs qui ne constituent pas la principale option de restauration de compte. Ils peuvent relever ce défi par e-mail ou par `ChallengeResponses` le biais du TOTP MFA. Pour configurer l'authentification MFA par SMS, ajoutez un attribut de numéro de téléphone séparément et redémarrez l'authentification.
Pour le TOTP MFA, répondez par. `"ChallengeName": "MFA_SETUP", "ChallengeResponses": {"USERNAME": "[username]", "SESSION": "[Session ID from VerifySoftwareToken]"}`
Pour le MFA par e-mail, répondez par. `"ChallengeName": "MFA_SETUP", "ChallengeResponses": {"USERNAME": "[username]", "email": "[user's email address]"}`
1. Demandez-leur le facteur qu'ils ont sélectionné en réponse au `SELECT_MFA_TYPE` défi. S'ils répondent avec succès au défi MFA, ils sont connectés. ![\[Green circular icon with a checkmark symbol inside.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/checkmark.png)
## Configuration d'un groupe d'utilisateurs pour l'authentification multifactorielle
Vous pouvez configurer le MFA dans la console Amazon Cognito ou à l'aide du fonctionnement de [SetUserPoolMfaConfig](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUserPoolMfaConfig.html)l'API et des méthodes du SDK.
**Pour configurer l’authentification MFA dans la console Amazon Cognito.**
1. Connectez-vous à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home).
1. Choisissez **Groupes d’utilisateurs**.
1. Choisissez un groupe d’utilisateurs existant dans la liste ou [créez-en un](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Choisissez le menu **de connexion**. Localisez l'**authentification multifactorielle** et choisissez **Modifier**.
1. Choisissez la méthode **MFA enforcement** que vous souhaitez utiliser avec votre groupe d’utilisateurs.
![\[Capture d'écran de la console Amazon Cognito avec les options MFA.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/cup-mfa.png)
1. **Require MFA** (Demander l’authentification MFA). Tous les utilisateurs de votre groupe d'utilisateurs doivent se connecter à l'aide d'un SMS, d'un e-mail ou d'un code TOTP (mot de passe à usage unique basé sur le temps) comme facteur d'authentification supplémentaire.
1. **MFA en option**. Vous pouvez donner à vos utilisateurs la possibilité d'enregistrer un facteur de connexion supplémentaire tout en autorisant les utilisateurs qui n'ont pas configuré la MFA à se connecter. Choisissez cette option si vous utilisez l’authentification adaptative. Pour plus d’informations sur l’authentification adaptative, consultez [Sécurité avancée avec protection contre les menaces](cognito-user-pool-settings-threat-protection.md).
1. **No MFA** (Aucune authentification MFA). Vos utilisateurs ne peuvent pas enregistrer un facteur de connexion supplémentaire.
1. Choisissez les **méthodes MFA** que vous allez prendre en charge dans votre application. Vous pouvez définir le **message électronique, le message** **SMS** ou les **applications d'authentification génératrices de TOTP comme deuxième facteur**.
1. Si vous utilisez les SMS comme deuxième facteur et que vous n’avez pas configuré de rôle IAM à utiliser avec Amazon Simple Notification Service (Amazon SNS) pour les SMS, créez-en un dans la console. Dans le menu **Méthodes d'authentification** de votre groupe d'utilisateurs, recherchez **SMS** et choisissez **Modifier**. Vous pouvez également utiliser un rôle existant permettant à Amazon Cognito d’envoyer des SMS à vos utilisateurs à votre place. Pour en savoir plus, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Si vous utilisez les e-mails comme deuxième facteur et que vous n'avez pas configuré d'identité d'origine à utiliser avec Amazon Simple Email Service (Amazon SES) pour les e-mails, créez-en une dans la console. Vous devez choisir l'option **Envoyer un e-mail avec SES**. Dans le menu **Méthodes d'authentification** de votre groupe d'utilisateurs, recherchez **E-mail** et choisissez **Modifier**. Sélectionnez une **adresse e-mail FROM** parmi les identités vérifiées disponibles dans la liste. Si vous choisissez un domaine vérifié, par exemple`example.com`, vous devez également configurer un **nom d'expéditeur FROM** dans le domaine vérifié, par exemple`admin-noreply@example.com`.
1. Sélectionnez **Enregistrer les modifications**.