MFATipe yang tersedia untuk Pusat IAM Identitas - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

MFATipe yang tersedia untuk Pusat IAM Identitas

Otentikasi multi-faktor (MFA) adalah mekanisme sederhana dan efektif untuk meningkatkan keamanan pengguna Anda. Faktor pertama pengguna - kata sandi mereka - adalah rahasia yang mereka hafal, juga dikenal sebagai faktor pengetahuan. Faktor lain dapat berupa faktor kepemilikan (sesuatu yang Anda miliki, seperti kunci keamanan) atau faktor warisan (sesuatu yang Anda miliki, seperti pemindaian biometrik). Kami sangat menyarankan Anda mengonfigurasi MFA untuk menambahkan lapisan keamanan tambahan ke akun Anda.

IAMIdentity Center MFA mendukung jenis perangkat berikut. Semua MFA jenis didukung untuk akses konsol berbasis browser serta menggunakan AWS CLI v2 dengan IAM Identity Center.

Pengguna dapat memiliki hingga delapan MFA perangkat, yang mencakup hingga dua aplikasi otentikator virtual dan enam FIDO otentikator, terdaftar ke satu akun. Anda juga dapat mengonfigurasi pengaturan MFA pengaktifan agar diperlukan MFA setiap kali pengguna Anda masuk atau mengaktifkan perangkat tepercaya yang tidak diperlukan MFA pada setiap proses masuk. Untuk informasi selengkapnya tentang cara mengonfigurasi MFA tipe untuk pengguna Anda, lihat Pilih MFA jenis untuk otentikasi pengguna danKonfigurasikan penegakan MFA perangkat.

FIDO2pengautentikasi

FIDO2adalah standar yang mencakup CTAP2 dan WebAuthndan didasarkan pada kriptografi kunci publik. FIDOkredensialnya tahan phishing karena unik untuk situs web tempat kredensialnya dibuat. AWS

AWS mendukung dua faktor bentuk yang paling umum untuk FIDO autentikator: autentikator bawaan dan kunci keamanan. Lihat di bawah untuk informasi selengkapnya tentang jenis FIDO autentikator yang paling umum.

Autentikator bawaan

Banyak komputer dan ponsel modern memiliki autentikator bawaan, seperti TouchID di Macbook atau kamera yang kompatibel dengan Windows Hello. Jika perangkat Anda memiliki autentikator bawaan yang FIDO kompatibel, Anda dapat menggunakan sidik jari, wajah, atau pin perangkat sebagai faktor kedua.

Kunci keamanan

Kunci keamanan adalah otentikator perangkat keras eksternal yang FIDO kompatibel yang dapat Anda beli dan sambungkan ke perangkat Anda melaluiUSB,BLE, atau. NFC Ketika Anda dimintaMFA, Anda cukup menyelesaikan gerakan dengan sensor kunci. Beberapa contoh kunci keamanan termasuk YubiKeys dan kunci Feitian, dan kunci keamanan yang paling umum membuat kredenal terikat perangkatFIDO. Untuk daftar semua kunci keamanan FIDO bersertifikat, lihat Produk FIDO Bersertifikat.

Pengelola kata sandi, penyedia kunci sandi, dan otentikator lainnya FIDO

Beberapa penyedia pihak ketiga mendukung FIDO otentikasi dalam aplikasi seluler, seperti fitur dalam pengelola kata sandi, kartu pintar dengan FIDO mode, dan faktor bentuk lainnya. Perangkat FIDO yang kompatibel ini dapat bekerja dengan Pusat IAM Identitas, tetapi kami menyarankan Anda menguji FIDO autentikator sendiri sebelum mengaktifkan opsi ini. MFA

catatan

Beberapa FIDO autentikator dapat membuat FIDO kredensil yang dapat ditemukan yang dikenal sebagai kunci sandi. Passkey mungkin terikat ke perangkat yang membuatnya, atau mereka dapat disinkronkan dan dicadangkan ke cloud. Misalnya, Anda dapat mendaftarkan kunci sandi menggunakan Apple Touch ID di Macbook yang didukung, lalu masuk ke situs dari laptop Windows menggunakan Google Chrome dengan kunci sandi Anda iCloud dengan mengikuti petunjuk di layar saat masuk. Untuk informasi selengkapnya tentang perangkat mana yang mendukung kunci sandi yang dapat disinkronkan dan interoperabilitas kunci sandi saat ini antara sistem operasi dan browser, lihat Dukungan Perangkat di passkeys.dev, sumber daya yang dikelola oleh FIDO Alliance And World Wide Web Consortium (W3C).

Aplikasi otentikator virtual

Aplikasi Authenticator pada dasarnya adalah autentikator pihak ketiga berbasis kata sandi (OTP) satu kali. Anda dapat menggunakan aplikasi autentikator yang diinstal pada perangkat seluler atau tablet Anda sebagai MFA perangkat resmi. Aplikasi autentikator pihak ketiga harus sesuai dengan RFC 6238, yang merupakan algoritma kata sandi satu kali berbasis waktu berbasis standar yang mampu menghasilkan kode otentikasi enam digit. TOTP

Saat dimintaMFA, pengguna harus memasukkan kode yang valid dari aplikasi autentikator mereka di dalam kotak input yang disajikan. Setiap MFA perangkat yang ditetapkan untuk pengguna harus unik. Dua aplikasi autentikator dapat didaftarkan untuk setiap pengguna tertentu.

Aplikasi autentikator yang diuji

Aplikasi apa pun TOTP yang sesuai akan bekerja dengan Pusat IAM Identitas. MFA Tabel berikut mencantumkan aplikasi autentikator pihak ketiga yang terkenal untuk dipilih.

RADIUS MFA

Remote Authentication Dial-In User Service (RADIUS) adalah protokol client-server standar industri yang menyediakan otentikasi, otorisasi, dan manajemen akuntansi sehingga pengguna dapat terhubung ke layanan jaringan. AWS Directory Service termasuk RADIUS klien yang terhubung ke RADIUS server tempat Anda menerapkan MFA solusi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan Otentikasi Multi-Faktor untuk. AWS Managed Microsoft AD

Anda dapat menggunakan salah satu RADIUS MFA atau MFA di Pusat IAM Identitas untuk login pengguna ke portal pengguna, tetapi tidak keduanya. MFAdi Pusat IAM Identitas adalah alternatif untuk RADIUS MFA dalam kasus di mana Anda menginginkan otentikasi dua faktor AWS asli untuk akses ke portal.

Saat Anda mengaktifkan MFA di Pusat IAM Identitas, pengguna Anda memerlukan MFA perangkat untuk masuk ke portal AWS akses. Jika sebelumnya Anda pernah menggunakannya RADIUSMFA, mengaktifkan MFA di Pusat IAM Identitas secara efektif akan menggantikan RADIUS MFA pengguna yang masuk ke portal akses. AWS Namun, RADIUS MFA terus menantang pengguna ketika mereka masuk ke semua aplikasi lain yang berfungsi AWS Directory Service, seperti Amazon WorkDocs.

Jika Anda MFA Dinonaktifkan di konsol Pusat IAM Identitas dan Anda telah RADIUS MFA mengonfigurasinya AWS Directory Service, RADIUS MFA mengatur AWS akses masuk portal. Ini berarti bahwa Pusat IAM Identitas kembali ke RADIUS MFA konfigurasi jika MFA dinonaktifkan.