FIDO2authentificateurs Applications d'authentification virtuelle RADIUS MFA

MFATypes disponibles pour IAM Identity Center

L'authentification MFA multifactorielle () est un mécanisme simple et efficace pour renforcer la sécurité de vos utilisateurs. Le premier facteur d'un utilisateur, son mot de passe, est un secret qu'il mémorise, également appelé facteur de connaissance. Les autres facteurs peuvent être des facteurs liés à la possession (quelque chose que vous possédez, comme une clé de sécurité) ou des facteurs inhérents (ce que vous êtes, comme un scan biométrique). Nous vous recommandons vivement de le configurer MFA pour ajouter un niveau de sécurité supplémentaire à votre compte.

IAMIdentity Center MFA prend en charge les types d'appareils suivants. Tous les MFA types sont pris en charge à la fois pour l'accès à la console via un navigateur et pour l'utilisation de la AWS CLI version v2 avec IAM Identity Center.

FIDO2authentificateurs, y compris les authentificateurs intégrés et les clés de sécurité
Applications d'authentification virtuelle
Votre propre RADIUS MFA implémentation connectée via AWS Managed Microsoft AD

Un utilisateur peut avoir jusqu'à huit MFA appareils, dont deux applications d'authentification virtuelle et six FIDO authentificateurs, enregistrés sur un compte. Vous pouvez également configurer les paramètres MFA d'activation pour exiger MFA chaque fois que vos utilisateurs se connectent ou pour activer des appareils fiables qui n'en ont pas besoin MFA à chaque connexion. Pour plus d'informations sur la configuration des MFA types pour vos utilisateurs, consultez Choisissez MFA les types d'authentification des utilisateurs etConfigurer la mise en application des MFA appareils.

FIDO2authentificateurs

FIDO2est une norme qui inclut CTAP2 WebAuthnet est basée sur la cryptographie à clé publique. FIDOles informations d'identification résistent au hameçonnage car elles sont uniques au site Web sur lequel elles ont été créées, par exemple. AWS

AWS prend en charge les deux formats les plus courants pour les FIDO authentificateurs : les authentificateurs intégrés et les clés de sécurité. Voir ci-dessous pour plus d'informations sur les types d'FIDOauthentificateurs les plus courants.

Rubriques

Authentificateurs intégrés
Clés de sécurité
Gestionnaires de mots de passe, fournisseurs de clés d'accès et autres authentificateurs FIDO

Authentificateurs intégrés

De nombreux ordinateurs et téléphones portables modernes sont dotés d'authentificateurs intégrés, tels que TouchID sur Macbook ou un appareil photo compatible avec Windows Hello. Si votre appareil est doté d'un authentificateur intégré FIDO compatible, vous pouvez utiliser votre empreinte digitale, votre visage ou le code PIN de votre appareil comme deuxième facteur.

Clés de sécurité

Les clés de sécurité sont des authentificateurs matériels externes FIDO compatibles que vous pouvez acheter et connecter à votre appareil viaUSB, BLE ou. NFC Lorsque vous y êtes invitéMFA, il vous suffit de faire un geste avec le capteur de la touche. Parmi les clés de sécurité, citons les clés feitiennes, YubiKeys et les clés de sécurité les plus courantes créent des informations d'identification liées à l'appareilFIDO. Pour obtenir la liste de toutes les clés de sécurité FIDO certifiées, consultez la section Produits FIDO certifiés.

Gestionnaires de mots de passe, fournisseurs de clés d'accès et autres authentificateurs FIDO

Plusieurs fournisseurs tiers prennent en charge FIDO l'authentification dans les applications mobiles, sous forme de fonctionnalités dans les gestionnaires de mots de passe, les cartes à puce dotées d'un FIDO mode et d'autres formats. Ces appareils FIDO compatibles peuvent fonctionner avec IAM Identity Center, mais nous vous recommandons de tester vous-même un FIDO authentificateur avant d'activer cette option pour. MFA

Note

Certains FIDO authentificateurs peuvent créer des informations d'FIDOidentification détectables appelées clés d'accès. Les clés d'accès peuvent être liées à l'appareil qui les a créées, ou elles peuvent être synchronisées et sauvegardées dans un cloud. Par exemple, vous pouvez enregistrer une clé d'accès à l'aide d'Apple Touch ID sur un Macbook compatible, puis vous connecter à un site depuis un ordinateur portable Windows à l'aide de Google Chrome avec votre clé d'accès iCloud en suivant les instructions qui s'affichent à l'écran lors de la connexion. Pour plus d'informations sur les appareils compatibles avec les clés d'accès synchronisées et sur l'interopérabilité actuelle des clés d'accès entre les systèmes d'exploitation et les navigateurs, consultez la section Support des appareils sur passkeys.dev, une ressource gérée par l'FIDOAlliance et le World Wide Web Consortium (W3C).

Applications d'authentification virtuelle

Les applications d'authentification sont essentiellement des authentificateurs tiers basés sur un mot de passe à usage unique (OTP). Vous pouvez utiliser une application d'authentification installée sur votre appareil mobile ou votre tablette en tant qu'appareil autoriséMFA. L'application d'authentification tierce doit être conforme à la norme RFC 6238, qui est un algorithme de mot de passe à usage unique (TOTP) basé sur des normes et basé sur le temps capable de générer des codes d'authentification à six chiffres.

Lorsqu'ils y sont invitésMFA, les utilisateurs doivent saisir un code valide provenant de leur application d'authentification dans la zone de saisie présentée. Chaque MFA appareil attribué à un utilisateur doit être unique. Deux applications d'authentification peuvent être enregistrées pour un utilisateur donné.

Applications d'authentification testées

Toute application TOTP conforme fonctionnera avec IAM Identity CenterMFA. Le tableau suivant répertorie les applications d'authentification tierces les plus connues parmi lesquelles choisir.

Système d’exploitation	Application d'authentification testée
Android	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RADIUS MFA

Le Remote Authentication Dial-In User Service (RADIUS) est un protocole client-serveur standard qui fournit l'authentification, l'autorisation et la gestion de la comptabilité afin que les utilisateurs puissent se connecter aux services réseau. AWS Directory Service inclut un RADIUS client qui se connecte au RADIUS serveur sur lequel vous avez implémenté votre MFA solution. Pour plus d'informations, voir Activer l'authentification multifactorielle pour AWS Managed Microsoft AD.

Vous pouvez utiliser l'une RADIUS MFA ou l'autre MFA option ou dans IAM Identity Center pour les connexions des utilisateurs au portail utilisateur, mais pas les deux. MFAdans IAM Identity Center est une alternative aux RADIUS MFA cas où vous souhaitez une authentification AWS native à deux facteurs pour accéder au portail.

Lorsque vous activez MFA IAM Identity Center, vos utilisateurs ont besoin d'un MFA appareil pour se connecter au portail AWS d'accès. Si vous l'avez déjà utilisé RADIUSMFA, l'activation MFA dans IAM Identity Center remplace efficacement RADIUS MFA les utilisateurs qui se connectent au portail AWS d'accès. Cependant, cela RADIUS MFA continue de poser des problèmes aux utilisateurs lorsqu'ils se connectent à toutes les autres applications compatibles AWS Directory Service, telles qu'Amazon WorkDocs.

Si vous MFA êtes désactivé sur la console IAM Identity Center et que vous avez configuré RADIUS MFA avec AWS Directory Service, RADIUS MFA régit la connexion AWS au portail d'accès. Cela signifie qu'IAMIdentity Center revient à la RADIUS MFA configuration s'il MFA est désactivé.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentification multifacteur

Configurez MFA