Configurer l'application des dispositifs MFA

Pour configurer l'application des dispositifs MFA pour vos utilisateurs

1. Ouvrez la console IAM Identity Center.

2. Dans le panneau de navigation de gauche, choisissez Paramètres.

3. Sur la page Paramètres, choisissez l'onglet Authentification.

4. Dans la section Authentification multifactorielle, choisissez Configurer.

5. Sur la page Configurer l'authentification multifactorielle, sous Si un utilisateur ne possède pas encore d'appareil MFA enregistré, choisissez l'une des options suivantes en fonction des besoins de votre entreprise :

   • Demandez-leur d'enregistrer un appareil MFA lors de la connexion

     Il s'agit du paramètre par défaut lorsque vous configurez pour la première fois le MFA pour IAM Identity Center. Utilisez cette option lorsque vous souhaitez demander aux utilisateurs qui ne possèdent pas encore d'appareil MFA enregistré d'inscrire eux-mêmes un appareil lors de la connexion après une authentification par mot de passe réussie. Cela vous permet de sécuriser les AWS environnements de votre entreprise grâce à la MFA sans avoir à inscrire et à distribuer des dispositifs d'authentification individuels à vos utilisateurs. Lors de l'auto-inscription, vos utilisateurs peuvent enregistrer n'importe quel appareil parmi les appareils disponibles que Types de MFA disponibles pour IAM Identity Center vous avez précédemment activés. Une fois l'enregistrement terminé, les utilisateurs ont la possibilité de donner un nom convivial à leur appareil MFA nouvellement inscrit, après quoi IAM Identity Center redirige l'utilisateur vers sa destination d'origine. En cas de perte ou de vol de l'appareil de l'utilisateur, vous pouvez simplement le supprimer de son compte, et IAM Identity Center demandera à l'utilisateur d'enregistrer lui-même un nouvel appareil lors de sa prochaine connexion.

   • Demandez-leur de fournir un mot de passe à usage unique envoyé par e-mail pour se connecter

     Utilisez cette option lorsque vous souhaitez que des codes de vérification soient envoyés aux utilisateurs par e-mail. Étant donné que le courrier électronique n'est pas lié à un appareil spécifique, cette option ne répond pas aux normes de l'industrie en matière d'authentification multifactorielle. Mais cela améliore la sécurité par rapport au simple fait d'avoir un mot de passe. La vérification par e-mail ne sera demandée que si l'utilisateur n'a pas enregistré d'appareil MFA. Si la méthode d'authentification sensible au contexte a été activée, l'utilisateur aura la possibilité de marquer l'appareil sur lequel il reçoit l'e-mail comme étant fiable. Par la suite, ils ne seront pas tenus de vérifier un code e-mail lors de futures connexions à partir de cette combinaison d'appareil, de navigateur et d'adresse IP.

     Note

     Si vous utilisez Active Directory comme source d'identité activée par votre IAM Identity Center, l'adresse e-mail sera toujours basée sur l'emailattribut Active Directory. Les mappages d'attributs Active Directory personnalisés ne remplaceront pas ce comportement.

   • Bloquer leur connexion

     Utilisez l'option Bloquer leur connexion lorsque vous souhaitez obliger chaque utilisateur à utiliser le MFA avant qu'il ne puisse se connecter. AWS

     Important

     Si votre méthode d'authentification est configurée en fonction du contexte, un utilisateur peut cocher la case Ceci est un appareil fiable sur la page de connexion. Dans ce cas, cet utilisateur ne sera pas invité à utiliser le MFA même si le paramètre Bloquer sa connexion est activé. Si vous souhaitez que ces utilisateurs soient invités, remplacez votre méthode d'authentification par Always On.

   • Autorisez-les à se connecter

     Utilisez cette option pour indiquer que les appareils MFA ne sont pas nécessaires pour que vos utilisateurs puissent se connecter au portail d'AWSaccès. Les utilisateurs qui ont choisi d'enregistrer des appareils MFA seront toujours invités à le faire.

6. Sélectionnez Enregistrer les modifications.