MFA per SMS e messaggi e-mail - Amazon Cognito
Considerazioni sull'MFA per SMS e messaggi di posta elettronica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

MFA per SMS e messaggi e-mail

I messaggi MFA via SMS ed e-mail confermano che gli utenti hanno accesso a una destinazione dei messaggi prima di poter accedere. Confermano di avere accesso non solo a una password, ma anche ai messaggi SMS o alla casella di posta elettronica dell'utente originale. Amazon Cognito richiede agli utenti di fornire un codice breve che il pool di utenti ha inviato dopo aver fornito correttamente un nome utente e una password.

La MFA per SMS e messaggi e-mail non richiede alcuna configurazione aggiuntiva dopo che l'utente ha aggiunto un indirizzo e-mail o un numero di telefono al proprio profilo. Amazon Cognito può inviare messaggi a indirizzi e-mail e numeri di telefono non verificati. Quando un utente completa la prima MFA, Amazon Cognito contrassegna il proprio indirizzo e-mail o numero di telefono come verificato.

L'autenticazione MFA inizia quando un utente con MFA inserisce nome utente e password nell'applicazione. L'applicazione invia questi parametri iniziali in un metodo SDK che richiama una richiesta o API. InitiateAuthAdminInitiateAuth La risposta ChallengeParameters nell'API include un CODE_DELIVERY_DESTINATION valore che indica dove è stato inviato il codice di autorizzazione. Nell'applicazione, visualizza un modulo che richiede all'utente di controllare il proprio telefono e include un elemento di input per il codice. Quando inserisce il codice, invialo in una richiesta API di risposta alla sfida per completare la procedura di accesso.

Dopo che un utente con MFA accede con nome utente e password nelle pagine di accesso gestite, gli viene richiesto automaticamente il codice MFA.

I pool di utenti inviano messaggi SMS per MFA e altre notifiche Amazon Cognito con le risorse Amazon Simple Notification Service (Amazon SNS) presenti nelle tue. Account AWS Allo stesso modo, i pool di utenti inviano messaggi e-mail con le risorse Amazon Simple Email Service (Amazon SES) presenti nel tuo account. Questi servizi collegati comportano costi propri sulla AWS fattura per la consegna dei messaggi. Inoltre, prevedono requisiti aggiuntivi per l'invio di messaggi a volumi di produzione. Per ulteriori informazioni, consulta i seguenti collegamenti:

Considerazioni sull'MFA per SMS e messaggi di posta elettronica

  • Per consentire agli utenti di accedere con l'MFA e-mail, il pool di utenti deve disporre delle seguenti opzioni di configurazione:

    1. Hai il piano di funzionalità Plus o Essentials nel tuo pool di utenti. Per ulteriori informazioni, consulta Piani di funzionalità del pool di utenti.

    2. Il tuo pool di utenti invia messaggi e-mail con le tue risorse Amazon SES. Per ulteriori informazioni, consulta Configurazione e-mail di Amazon SES.

  • Il codice MFA è valido per la durata della sessione del flusso di autenticazione impostata per il client dell'app.

    Imposta la durata di una sessione del flusso di autenticazione nella console Amazon Cognito nel menu App client quando modifichi il client dell'app. È possibile impostare la durata della sessione del flusso di autenticazione anche all'interno della richiesta API CreateUserPoolClient o UpdateUserPoolClient. Per ulteriori informazioni, consulta Un esempio di sessione di autenticazione.

  • Quando un utente fornisce correttamente un codice da un messaggio SMS o e-mail inviato da Amazon Cognito a un numero di telefono o indirizzo e-mail non verificato, Amazon Cognito contrassegna l'attributo corrispondente come verificato.

  • Un utente non può utilizzare il proprio token di accesso per modificare il valore di un numero di telefono o di un indirizzo e-mail associato alla MFA. Il team deve modificare questi valori con AWS le credenziali di amministratore nelle richieste AdminUpdateUserAttributesAPI.

  • Affinché un utente possa apportare una modifica self-service al valore di un numero di telefono o di un indirizzo e-mail associato alla MFA, deve accedere e autorizzare la richiesta con un token di accesso. Se non riescono ad accedere al loro attuale numero di telefono o indirizzo e-mail, non possono accedere. Il team deve modificare questi valori con AWS le credenziali di amministratore nelle richieste AdminUpdateUserAttributesAPI.

  • Dopo aver configurato gli SMS nel tuo pool di utenti, non puoi disabilitare i messaggi SMS come fattore MFA disponibile.