Menambahkan MFA ke kumpulan pengguna - Amazon Cognito
Hal yang perlu diketahuiPreferensi MFA penggunaMengkonfigurasi otentikasi multi-faktor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan MFA ke kumpulan pengguna

MFA menambahkan sesuatu yang Anda memiliki faktor otentikasi ke hal awal yang Anda tahu faktor yang biasanya merupakan nama pengguna dan kata sandi. Anda dapat memilih pesan teks SMS, pesan email, atau kata sandi satu kali berbasis waktu (TOTP) sebagai faktor tambahan untuk masuk ke pengguna Anda yang memiliki kata sandi sebagai faktor otentikasi utama mereka.

Otentikasi multi-faktor (MFA) meningkatkan keamanan bagi pengguna lokal di aplikasi Anda. Dalam kasus pengguna federasi, Amazon Cognito mendelegasikan semua proses otentikasi ke IDP dan tidak menawarkan faktor otentikasi tambahan kepada mereka.

catatan

Pertama kali pengguna baru masuk ke aplikasi Anda, Amazon Cognito mengeluarkan token OAuth 2.0, meskipun kumpulan pengguna Anda memerlukan MFA. Faktor otentikasi kedua saat pengguna Anda masuk untuk pertama kalinya adalah konfirmasi mereka atas pesan verifikasi yang dikirimkan Amazon Cognito kepada mereka. Jika kumpulan pengguna Anda memerlukan MFA, Amazon Cognito meminta pengguna Anda untuk mendaftarkan faktor masuk tambahan untuk digunakan selama setiap upaya masuk setelah yang pertama.

Dengan autentikasi adaptif, Anda dapat mengonfigurasi kumpulan pengguna agar memerlukan faktor otentikasi tambahan sebagai respons terhadap tingkat risiko yang meningkat. Untuk menambahkan autentikasi adaptif ke kolam pengguna Anda, lihat Keamanan tingkat lanjut dengan perlindungan ancaman.

Saat Anda mengatur MFA required untuk kumpulan pengguna, semua pengguna harus menyelesaikan MFA untuk masuk. Untuk masuk, setiap pengguna harus menyiapkan setidaknya satu faktor MFA. Ketika MFA diperlukan, Anda harus menyertakan pengaturan MFA dalam orientasi pengguna sehingga kumpulan pengguna Anda mengizinkan mereka untuk masuk.

Login terkelola meminta pengguna untuk mengatur MFA saat Anda mengatur MFA agar diperlukan. Saat Anda menetapkan MFA menjadi opsional di kumpulan pengguna, login terkelola tidak meminta pengguna. Untuk bekerja dengan MFA opsional, Anda harus membuat antarmuka di aplikasi yang meminta pengguna untuk memilih apakah mereka ingin menyiapkan MFA, lalu memandu mereka melalui input API untuk memverifikasi faktor masuk tambahan mereka.

Topik

Hal-hal yang perlu diketahui tentang MFA kumpulan pengguna

Sebelum Anda mengatur MFA, pertimbangkan hal berikut:

  • Anda dapat memiliki faktor masuk MFA yang diperlukan atau tanpa kata sandi di kumpulan pengguna Anda. Anda tidak dapat menyetel MFA ke required di kumpulan pengguna yang mendukung kata sandi atau kunci sandi satu kali. Anda tidak dapat mengaktifkan login berbasis pilihan dengan USER_AUTH alur di kumpulan pengguna yang memerlukan MFA.

  • Metode MFA pilihan pengguna memengaruhi metode yang dapat mereka gunakan untuk memulihkan kata sandi mereka. Pengguna yang MFA pilihannya melalui pesan email tidak dapat menerima kode pengaturan ulang kata sandi melalui email. Pengguna yang MFA pilihannya melalui pesan SMS tidak dapat menerima kode pengaturan ulang kata sandi melalui SMS.

    Pengaturan pemulihan kata sandi Anda harus menyediakan opsi alternatif ketika pengguna tidak memenuhi syarat untuk metode pengaturan ulang kata sandi pilihan Anda. Misalnya, mekanisme pemulihan Anda mungkin memiliki email sebagai prioritas pertama dan email MFA mungkin menjadi opsi di kumpulan pengguna Anda. Dalam hal ini, tambahkan pemulihan akun pesan SMS sebagai opsi kedua atau gunakan operasi API administratif untuk mengatur ulang kata sandi bagi pengguna tersebut.

  • Pengguna tidak dapat menerima kode MFA dan pengaturan ulang kata sandi di alamat email atau nomor telepon yang sama. Jika mereka menggunakan kata sandi satu kali (OTPs) dari pesan email untuk MFA, mereka harus menggunakan pesan SMS untuk pemulihan akun. Jika mereka menggunakan OTPs dari pesan SMS untuk MFA, mereka harus menggunakan pesan email untuk pemulihan akun. Di kumpulan pengguna dengan MFA, pengguna mungkin tidak dapat menyelesaikan pemulihan kata sandi swalayan jika mereka memiliki atribut untuk alamat email mereka tetapi tidak ada nomor telepon, atau nomor telepon mereka tetapi tidak ada alamat email.

    Untuk mencegah status di mana pengguna tidak dapat mengatur ulang kata sandi mereka di kumpulan pengguna dengan konfigurasi ini, setel phone_number atribut email dan sesuai kebutuhan. Sebagai alternatif, Anda dapat mengatur proses yang selalu mengumpulkan dan mengatur atribut tersebut saat pengguna mendaftar atau ketika administrator membuat profil pengguna. Ketika pengguna memiliki kedua atribut, Amazon Cognito secara otomatis mengirimkan kode reset kata sandi ke tujuan yang bukan faktor MFA pengguna.

  • Saat Anda mengaktifkan MFA di kumpulan pengguna dan memilih pesan SMS atau Pesan Email sebagai faktor kedua, Anda dapat mengirim pesan ke nomor telepon atau atribut email yang belum Anda verifikasi di Amazon Cognito. Setelah pengguna Anda menyelesaikan MFA, Amazon Cognito menyetel phone_number_verified atribut atau ke. email_verified true

  • Setelah lima upaya gagal untuk menyajikan kode MFA, Amazon Cognito memulai proses penguncian batas waktu eksponensial yang dijelaskan di. Perilaku penguncian untuk upaya masuk yang gagal

  • Jika akun Anda berada di kotak pasir SMS di Wilayah AWS yang berisi sumber daya Amazon Simple Notification Service (Amazon SNS) untuk kumpulan pengguna Anda, Anda harus memverifikasi nomor telepon di Amazon SNS sebelum dapat mengirim pesan SMS. Untuk informasi selengkapnya, lihat Pengaturan pesan SMS untuk kolam pengguna Amazon Cognito.

  • Untuk mengubah status MFA pengguna dalam menanggapi peristiwa yang terdeteksi dengan perlindungan ancaman, aktifkan MFA dan atur sebagai opsional di konsol kumpulan pengguna Amazon Cognito. Untuk informasi selengkapnya, lihat Keamanan tingkat lanjut dengan perlindungan ancaman.

  • Pesan email dan SMS mengharuskan pengguna Anda memiliki atribut alamat email dan nomor telepon masing-masing. Anda dapat mengatur email atau phone_number sebagai atribut yang diperlukan di kumpulan pengguna Anda. Dalam hal ini, pengguna tidak dapat menyelesaikan pendaftaran kecuali mereka memberikan nomor telepon. Jika Anda tidak menetapkan atribut ini seperti yang diperlukan tetapi ingin melakukan email atau pesan SMS MFA, Anda meminta pengguna untuk alamat email atau nomor telepon mereka ketika mereka mendaftar. Sebagai praktik terbaik, konfigurasikan kumpulan pengguna Anda untuk mengirim pesan kepada pengguna secara otomatis untuk memverifikasi atribut ini.

    Amazon Cognito menghitung nomor telepon atau alamat email sebagai terverifikasi jika pengguna telah berhasil menerima kode sementara melalui SMS atau pesan email dan mengembalikan kode itu dalam permintaan API. VerifyUserAttribute Sebagai alternatif, tim Anda dapat mengatur nomor telepon dan menandainya sebagai terverifikasi dengan aplikasi administratif yang melakukan permintaan AdminUpdateUserAttributesAPI.

  • Jika Anda telah menetapkan MFA agar diperlukan dan Anda mengaktifkan lebih dari satu faktor otentikasi, Amazon Cognito meminta pengguna baru untuk memilih faktor MFA yang ingin mereka gunakan. Pengguna harus memiliki nomor telepon untuk mengatur pesan SMS MFA, dan alamat email untuk mengatur pesan email MFA. Jika pengguna tidak memiliki atribut yang ditentukan untuk MFA berbasis pesan yang tersedia, Amazon Cognito meminta mereka untuk menyiapkan TOTP MFA. Permintaan untuk memilih faktor MFA (SELECT_MFA_TYPE) dan untuk mengatur faktor yang dipilih (MFA_SETUP) datang sebagai respons tantangan terhadap InitiateAuthdan operasi AdminInitiateAuthAPI.

Preferensi MFA pengguna

Pengguna dapat mengatur beberapa faktor MFA. Hanya satu yang bisa aktif. Anda dapat memilih preferensi MFA yang efektif untuk pengguna Anda di pengaturan kumpulan pengguna atau dari permintaan pengguna. Kumpulan pengguna meminta pengguna untuk kode MFA ketika pengaturan kumpulan pengguna dan pengaturan tingkat pengguna mereka sendiri memenuhi ketentuan berikut:

  1. Anda mengatur MFA menjadi opsional atau wajib di kumpulan pengguna Anda.

  2. Pengguna memiliki phone_number atribut email atau valid, atau telah menyiapkan aplikasi autentikator untuk TOTP.

  3. Setidaknya satu faktor MFA aktif.

  4. Satu faktor MFA ditetapkan sebagai pilihan.

Pengaturan kumpulan pengguna dan pengaruhnya pada opsi MFA

Konfigurasi kumpulan pengguna Anda memengaruhi metode MFA yang dapat dipilih pengguna. Berikut ini adalah beberapa pengaturan kumpulan pengguna yang memengaruhi kemampuan pengguna untuk mengatur MFA.

  • Dalam konfigurasi otentikasi multi-faktor di menu Masuk konsol Amazon Cognito, Anda dapat mengatur MFA ke opsional atau wajib, atau mematikannya. API yang setara dengan pengaturan ini adalah MfaConfigurationparameterCreateUserPool,UpdateUserPool, danSetUserPoolMfaConfig.

    Juga dalam konfigurasi otentikasi Multi-faktor, pengaturan metode MFA menentukan faktor MFA yang dapat diatur pengguna. API yang setara dengan pengaturan ini adalah SetUserPoolMfaConfigoperasi.

  • Di menu Masuk, di bawah Pemulihan akun pengguna, Anda dapat mengonfigurasi cara kumpulan pengguna Anda mengirim pesan ke pengguna yang lupa kata sandi mereka. Metode MFA pengguna tidak dapat memiliki metode pengiriman MFA yang sama dengan metode pengiriman kumpulan pengguna untuk kode lupa kata sandi. Parameter API untuk metode pengiriman lupa-kata sandi adalah AccountRecoverySettingparameter dan. CreateUserPool UpdateUserPool

    Misalnya, pengguna tidak dapat mengatur MFA email ketika opsi pemulihan Anda hanya Email. Ini karena Anda tidak dapat mengaktifkan MFA email dan mengatur opsi pemulihan ke Email hanya di kumpulan pengguna yang sama. Ketika Anda mengatur opsi ini ke Email jika tersedia, jika tidak SMS, email adalah opsi pemulihan prioritas tetapi kumpulan pengguna Anda dapat kembali ke pesan SMS ketika pengguna tidak memenuhi syarat untuk pemulihan pesan email. Dalam skenario ini, pengguna dapat mengatur email MFA sebagai pilihan dan hanya dapat menerima pesan SMS ketika mereka mencoba untuk mengatur ulang kata sandi mereka.

  • Jika Anda menetapkan hanya satu metode MFA yang tersedia, Anda tidak perlu mengelola preferensi MFA pengguna.

  • Konfigurasi SMS aktif secara otomatis membuat pesan SMS menjadi metode MFA yang tersedia di kumpulan pengguna Anda.

    Konfigurasi email aktif dengan sumber daya Amazon SES Anda sendiri di kumpulan pengguna, dan paket fitur Essentials atau Plus, secara otomatis menjadikan pesan email sebagai metode MFA yang tersedia di kumpulan pengguna Anda.

  • Saat Anda menyetel MFA ke required dalam kumpulan pengguna, pengguna tidak dapat mengaktifkan atau menonaktifkan metode MFA apa pun. Anda hanya dapat mengatur metode yang disukai.

  • Saat Anda menyetel MFA ke opsional di kumpulan pengguna, login terkelola tidak meminta pengguna untuk menyiapkan MFA, tetapi MFA meminta pengguna untuk kode MFA ketika mereka memiliki metode MFA yang disukai.

  • Saat Anda mengaktifkan perlindungan ancaman dan mengonfigurasi respons autentikasi adaptif dalam mode fungsi penuh, MFA harus opsional di kumpulan pengguna Anda. Salah satu opsi respons dengan otentikasi adaptif adalah meminta MFA bagi pengguna yang upaya masuknya dievaluasi untuk mengandung tingkat risiko.

    Pengaturan Atribut wajib di menu Sign-up konsol menentukan apakah pengguna harus memberikan alamat email atau nomor telepon untuk mendaftar di aplikasi Anda. Pesan email dan SMS menjadi faktor MFA yang memenuhi syarat ketika pengguna memiliki atribut yang sesuai. Parameter Skema dari CreateUserPool set atribut seperti yang diperlukan.

  • Saat Anda menyetel MFA ke required di kumpulan pengguna dan pengguna masuk dengan login terkelola, Amazon Cognito meminta mereka untuk memilih metode MFA dari metode yang tersedia untuk kumpulan pengguna Anda. Login terkelola menangani pengumpulan alamat email atau nomor telepon dan pengaturan TOTP.

Operasi API untuk mengonfigurasi preferensi MFA

Anda dapat mengonfigurasi preferensi MFA untuk pengguna dalam model swalayan dengan otorisasi token akses, atau dalam model yang dikelola administrator dengan operasi API administratif. Operasi ini mengaktifkan atau menonaktifkan metode MFA dan menetapkan salah satu dari beberapa metode sebagai opsi yang disukai. Setelah pengguna Anda menetapkan preferensi MFA, Amazon Cognito meminta mereka saat masuk untuk memberikan kode dari metode MFA pilihan mereka. Pengguna yang belum menetapkan preferensi menerima prompt untuk memilih metode yang disukai dalam suatu SELECT_MFA_TYPE tantangan.

  • Dalam model layanan mandiri pengguna atau aplikasi publik, SetUserMfaPreference, yang diotorisasi dengan token akses pengguna yang masuk, menetapkan konfigurasi MFA.

  • Dalam aplikasi yang dikelola administrator atau rahasia,, diberi wewenang dengan AWS kredensil administratif AdminSetUserPreference, menetapkan konfigurasi MFA.

Anda juga dapat mengatur preferensi MFA pengguna dari menu Pengguna konsol Amazon Cognito. Untuk informasi selengkapnya tentang model autentikasi publik dan rahasia di API kumpulan pengguna Amazon Cognito, lihat. Memahami API, OIDC, dan otentikasi halaman login terkelola

Mengkonfigurasi kumpulan pengguna untuk otentikasi multi-faktor

Anda dapat mengonfigurasi MFA di konsol Amazon Cognito.

Untuk mengonfigurasi MFA di konsol Amazon Cognito

  1. Masuk ke konsol Amazon Cognito.

  2. Pilih Kolam Pengguna.

  3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

  4. Pilih menu Masuk. Temukan otentikasi Multi-faktor dan pilih Edit.

  5. Pilih metode penegakan MFA yang ingin Anda gunakan dengan kumpulan pengguna Anda.

    Tangkapan layar dari konsol Amazon Cognito dengan opsi MFA.

    1. Membutuhkan MFA. Semua pengguna di kumpulan pengguna Anda harus masuk dengan kode SMS, email, atau kata sandi satu kali berbasis waktu (TOTP) tambahan sebagai faktor otentikasi tambahan.

    2. MFA opsional. Anda dapat memberi pengguna opsi untuk mendaftarkan faktor masuk tambahan namun tetap mengizinkan pengguna yang belum mengonfigurasi MFA untuk masuk. Jika Anda menggunakan otentikasi adaptif, pilih opsi ini. Untuk informasi selengkapnya tentang otentikasi adaptif, lihat. Keamanan tingkat lanjut dengan perlindungan ancaman

    3. Tidak ada MFA. Pengguna Anda tidak dapat mendaftarkan faktor masuk tambahan.

  6. Pilih metode MFA yang Anda dukung di aplikasi Anda. Anda dapat mengatur pesan Email, pesan SMS, atau aplikasi Authenticator yang menghasilkan TOTP sebagai faktor kedua.

  7. Jika Anda menggunakan pesan teks SMS sebagai faktor kedua dan Anda belum mengonfigurasi peran IAM untuk digunakan dengan Amazon Simple Notification Service (Amazon SNS) untuk pesan SMS, buat satu di konsol. Di menu Metode otentikasi untuk kumpulan pengguna Anda, cari SMS dan pilih Edit. Anda juga dapat menggunakan peran yang ada yang memungkinkan Amazon Cognito mengirim pesan SMS ke pengguna untuk Anda. Untuk informasi lebih lanjut, lihat Peran IAM.

    Jika Anda menggunakan pesan email sebagai faktor kedua dan belum mengonfigurasi identitas asal untuk digunakan dengan Amazon Simple Email Service (Amazon SES) untuk pesan email, buat pesan di konsol. Anda harus memilih opsi Kirim email dengan SES. Di menu Metode otentikasi untuk kumpulan pengguna Anda, cari Email dan pilih Edit. Pilih alamat email FROM dari identitas terverifikasi yang tersedia dalam daftar. Jika Anda memilih domain terverifikasi, misalnyaexample.com, Anda juga harus mengonfigurasi nama pengirim FROM di domain terverifikasi, misalnyaadmin-noreply@example.com.

  8. Pilih Simpan perubahan.