Configurer la mise en application des MFA appareils

Pour configurer l'application des règles relatives aux MFA appareils pour vos utilisateurs

1. Ouvrez la console IAM Identity Center.

2. Dans le panneau de navigation de gauche, choisissez Paramètres.

3. Sur la page Paramètres, choisissez l'onglet Authentification.

4. Dans la section Authentification multifactorielle, choisissez Configurer.

5. Sur la page Configurer l'authentification multifactorielle, sous Si un utilisateur ne possède pas encore d'MFAappareil enregistré, choisissez l'une des options suivantes en fonction des besoins de votre entreprise :

   • Demandez-leur d'enregistrer un MFA appareil lors de la connexion

     Il s'agit du paramètre par défaut lors de la première configuration MFA d'IAMIdentity Center. Utilisez cette option lorsque vous souhaitez demander aux utilisateurs qui n'ont pas encore d'MFAappareil enregistré d'inscrire eux-mêmes un appareil lors de la connexion après une authentification par mot de passe réussie. Cela vous permet de sécuriser les AWS environnements de votre entreprise MFA sans avoir à inscrire et à distribuer individuellement des dispositifs d'authentification à vos utilisateurs. Lors de l'auto-inscription, vos utilisateurs peuvent enregistrer n'importe quel appareil parmi les appareils disponibles que MFATypes disponibles pour IAM Identity Center vous avez précédemment activés. Une fois l'enregistrement terminé, les utilisateurs ont la possibilité de donner un nom convivial à leur MFA appareil nouvellement inscrit, après quoi IAM Identity Center redirige l'utilisateur vers sa destination d'origine. En cas de perte ou de vol de l'appareil de l'utilisateur, vous pouvez simplement le supprimer de son compte, et IAM Identity Center demandera à l'utilisateur d'enregistrer lui-même un nouvel appareil lors de sa prochaine connexion.

   • Demandez-leur de fournir un mot de passe à usage unique envoyé par e-mail pour se connecter

     Utilisez cette option lorsque vous souhaitez que des codes de vérification soient envoyés aux utilisateurs par e-mail. Étant donné que le courrier électronique n'est pas lié à un appareil spécifique, cette option ne répond pas aux normes de l'industrie en matière d'authentification multifactorielle. Mais cela améliore la sécurité par rapport au simple fait d'avoir un mot de passe. La vérification par e-mail ne sera demandée que si l'utilisateur n'a pas enregistré d'MFAappareil. Si la méthode d'authentification sensible au contexte a été activée, l'utilisateur aura la possibilité de marquer l'appareil sur lequel il reçoit l'e-mail comme étant fiable. Par la suite, ils ne seront pas tenus de vérifier un code e-mail lors de futures connexions à partir de cette combinaison d'appareil, de navigateur et d'adresse IP.

     Note

     Si vous utilisez Active Directory comme source IAM d'identité activée par Identity Center, l'adresse e-mail sera toujours basée sur l'emailattribut Active Directory. Les mappages d'attributs Active Directory personnalisés ne remplaceront pas ce comportement.

   • Bloquer leur connexion

     Utilisez l'option Bloquer leur connexion lorsque vous souhaitez obliger chaque utilisateur à MFA l'utiliser avant qu'il ne puisse se connecter à AWS.

     Important

     Si votre méthode d'authentification est configurée en fonction du contexte, un utilisateur peut cocher la case Ceci est un appareil fiable sur la page de connexion. Dans ce cas, cet utilisateur ne sera pas invité MFA même si le paramètre Bloquer sa connexion est activé. Si vous souhaitez que ces utilisateurs soient invités, remplacez votre méthode d'authentification par Always On.

   • Autorisez-les à se connecter

     Utilisez cette option pour indiquer que MFA les appareils ne sont pas nécessaires pour que vos utilisateurs puissent se connecter au portail AWS d'accès. Les utilisateurs qui ont choisi d'enregistrer MFA des appareils seront toujours invités à le faireMFA.

6. Sélectionnez Enregistrer les modifications.