Aggiunta dell'autenticazione MFA a un bacino d'utenza - Amazon Cognito
Da saperePreferenze utente MFAConfigurazione dell'autenticazione a più fattori

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiunta dell'autenticazione MFA a un bacino d'utenza

La tecnologia MFA aggiunge un fattore di autenticazione «qualcosa che possiedi» al fattore iniziale «qualcosa che conosci», che in genere è un nome utente e una password. Puoi scegliere SMS, messaggi di posta elettronica o password monouso basate sul tempo (TOTP) come fattori aggiuntivi per accedere agli utenti che utilizzano le password come fattore di autenticazione principale.

L'autenticazione a più fattori (MFA) aumenta la sicurezza per gli utenti locali dell'applicazione. Nel caso di utenti federati, Amazon Cognito delega tutti i processi di autenticazione all'IdP e non offre loro fattori di autenticazione aggiuntivi.

Nota

La prima volta che un nuovo utente accede alla tua app, Amazon Cognito emette token OAuth 2.0, anche se il tuo pool di utenti richiede l'autenticazione a più fattori. Il secondo fattore di autenticazione quando l'utente accede per la prima volta è la conferma del messaggio di verifica inviata da Amazon Cognito. Se il bacino d'utenza richiede MFA, Amazon Cognito richiede all'utente di registrare un ulteriore fattore di accesso da utilizzare per ogni tentativo di accesso dopo il primo.

Con l'autenticazione adattiva, puoi configurare il tuo pool di utenti in modo che richieda un fattore di autenticazione aggiuntivo in risposta a un aumento del livello di rischio. Per aggiungere l'autenticazione adattiva al bacino d'utenza, consulta Sicurezza avanzata con protezione dalle minacce.

Quando imposti l'autenticazione MFA su required per un bacino d'utenza, tutti gli utenti devono completare l'MFA per accedere. Per accedere, ogni utente deve impostare almeno un fattore MFA. Quando è richiesta la MFA, è necessario includere la configurazione MFA nell'onboarding degli utenti in modo che il pool di utenti consenta loro di accedere.

L'accesso gestito richiede agli utenti di configurare l'MFA quando si imposta l'MFA come richiesto. Quando imposti l'autenticazione a più fattori come facoltativa nel tuo pool di utenti, l'accesso gestito non richiede alcuna richiesta agli utenti. Per utilizzare MFA opzionale, devi creare un'interfaccia nell'app che richiede agli utenti di scegliere se desiderano configurare MFA, quindi devi guidarli attraverso gli input dell'API per verificare il fattore di accesso aggiuntivo.

Argomenti

Cose da sapere sull'MFA per pool di utenti

Prima di configurare l'MFA, valuta quanto segue:

  • Puoi avere fattori di accesso MFA obbligatori o senza password nel tuo pool di utenti. Non è possibile impostare l'MFA su obbligatorio nei pool di utenti che supportano password o passkey monouso. Non puoi attivare l'accesso basato sulla scelta con il USER_AUTH flusso di pool di utenti che richiedono l'autenticazione a più fattori.

  • Il metodo MFA preferito da un utente influenza i metodi che può utilizzare per recuperare la password. Gli utenti la cui MFA preferita è tramite messaggio di posta elettronica non possono ricevere un codice di reimpostazione della password tramite e-mail. Gli utenti la cui MFA preferita è tramite messaggio SMS non possono ricevere un codice di reimpostazione della password tramite SMS.

    Le impostazioni di recupero della password devono fornire un'opzione alternativa quando gli utenti non sono idonei al metodo preferito di reimpostazione della password. Ad esempio, i meccanismi di ripristino potrebbero avere l'e-mail come priorità assoluta e la MFA e-mail potrebbe essere un'opzione nel tuo pool di utenti. In questo caso, aggiungi il ripristino dell'account tramite SMS come seconda opzione o utilizza le operazioni amministrative dell'API per reimpostare le password di tali utenti.

  • Gli utenti non possono ricevere codici MFA e di reimpostazione della password allo stesso indirizzo e-mail o numero di telefono. Se utilizzano password monouso (OTPs) dai messaggi e-mail per MFA, devono utilizzare i messaggi SMS per il ripristino dell'account. Se utilizzano OTPs i messaggi SMS per la MFA, devono utilizzare i messaggi e-mail per il ripristino dell'account. Nei pool di utenti con MFA, gli utenti potrebbero non essere in grado di completare il ripristino self-service della password se dispongono di attributi per il proprio indirizzo e-mail ma non dispongono del numero di telefono o del numero di telefono ma non dell'indirizzo e-mail.

    Per evitare che gli utenti non possano reimpostare le proprie password nei pool di utenti con questa configurazione, imposta gli phone_number attributi email e come richiesto. In alternativa, puoi configurare processi che raccolgono e impostano sempre tali attributi quando gli utenti si registrano o quando gli amministratori creano profili utente. Quando gli utenti dispongono di entrambi gli attributi, Amazon Cognito invia automaticamente i codici di reimpostazione della password alla destinazione che non è il fattore MFA dell'utente.

  • Quando attivi la MFA nel tuo pool di utenti e scegli il messaggio SMS o il messaggio e-mail come secondo fattore, puoi inviare messaggi a un numero di telefono o a un attributo e-mail che non hai verificato in Amazon Cognito. Dopo che l'utente ha completato la MFA, Amazon Cognito imposta phone_number_verified l'attributo or su. email_verified true

  • Dopo cinque tentativi non riusciti di presentazione di un codice MFA, Amazon Cognito avvia il processo di blocco con timeout esponenziale descritto in Comportamento di blocco in caso di tentativi di accesso non riusciti.

  • Se il tuo account si trova nella sandbox SMS Regione AWS che contiene le risorse Amazon Simple Notification Service (Amazon SNS) per il tuo pool di utenti, devi verificare i numeri di telefono in Amazon SNS prima di poter inviare un messaggio SMS. Per ulteriori informazioni, consulta Impostazioni dei messaggi SMS per i bacini d'utenza di Amazon Cognito.

  • Per modificare lo stato MFA degli utenti in risposta agli eventi rilevati con protezione dalle minacce, attiva l'MFA e impostala come opzionale nella console del pool di utenti di Amazon Cognito. Per ulteriori informazioni, consulta Sicurezza avanzata con protezione dalle minacce.

  • I messaggi e-mail e SMS richiedono che gli utenti abbiano rispettivamente gli attributi dell'indirizzo e-mail e del numero di telefono. È possibile impostare email o phone_number come attributi obbligatori nel proprio pool di utenti. In questo caso, gli utenti non possono completare la registrazione a meno che non forniscano un numero di telefono. Se non imposti questi attributi come obbligatori ma desideri eseguire la MFA per e-mail o SMS, richiedi agli utenti il loro indirizzo e-mail o numero di telefono al momento della registrazione. Come procedura ottimale, configurate il pool di utenti in modo che inviino automaticamente messaggi agli utenti per verificare questi attributi.

    Amazon Cognito considera verificato un numero di telefono o un indirizzo e-mail se un utente ha ricevuto con successo un codice temporaneo tramite SMS o messaggio e-mail e lo ha restituito in una richiesta VerifyUserAttributeAPI. In alternativa, il tuo team può impostare numeri di telefono e contrassegnarli come verificati con un'applicazione amministrativa che esegue le richieste AdminUpdateUserAttributesAPI.

  • Se hai impostato la MFA come obbligatoria e hai attivato più di un fattore di autenticazione, Amazon Cognito richiede ai nuovi utenti di selezionare un fattore MFA che desiderano utilizzare. Gli utenti devono disporre di un numero di telefono per configurare la MFA dei messaggi SMS e di un indirizzo e-mail per configurare l'autenticazione MFA per i messaggi di posta elettronica. Se un utente non dispone dell'attributo definito per nessuna MFA basata su messaggi disponibile, Amazon Cognito richiede di configurare TOTP MFA. La richiesta di scegliere un fattore MFA SELECT_MFA_TYPE () e di impostare un fattore scelto MFA_SETUP () si presenta come risposta InitiateAuthalla sfida alle operazioni API AdminInitiateAuth.

Preferenze utente MFA

Gli utenti possono configurare più fattori MFA. Solo uno può essere attivo. Puoi scegliere la preferenza MFA effettiva per i tuoi utenti nelle impostazioni del pool di utenti o nei prompt degli utenti. Un pool di utenti richiede all'utente i codici MFA quando le impostazioni del pool di utenti e le relative impostazioni a livello utente soddisfano le seguenti condizioni:

  1. L'MFA viene impostata su opzionale o obbligatoria nel pool di utenti.

  2. L'utente ha un phone_number attributo email or valido oppure ha configurato un'app di autenticazione per TOTP.

  3. È attivo almeno un fattore MFA.

  4. Un fattore MFA è impostato come preferito.

Impostazioni del pool di utenti e relativo effetto sulle opzioni MFA

La configurazione del pool di utenti influenza i metodi MFA che gli utenti possono scegliere. Di seguito sono riportate alcune impostazioni del pool di utenti che influiscono sulla capacità degli utenti di configurare l'MFA.

  • Nella configurazione dell'autenticazione a più fattori nel menu di accesso della console Amazon Cognito, puoi impostare l'autenticazione a più fattori su opzionale o obbligatoria oppure disattivarla. L'equivalente API di questa impostazione è il MfaConfigurationparametro diCreateUserPool, e. UpdateUserPool SetUserPoolMfaConfig

    Inoltre, nella configurazione dell'autenticazione a più fattori, l'impostazione dei metodi MFA determina i fattori MFA che gli utenti possono configurare. L'equivalente API di questa impostazione è l'operazione. SetUserPoolMfaConfig

  • Nel menu di accesso, in Recupero dell'account utente, puoi configurare il modo in cui il tuo pool di utenti invia messaggi agli utenti che dimenticano la password. Il metodo MFA di un utente non può avere lo stesso metodo di consegna MFA del pool di utenti per i codici con password dimenticata. Il parametro API per il metodo di consegna della password dimenticata è il parametro and. AccountRecoverySettingCreateUserPoolUpdateUserPool

    Ad esempio, gli utenti non possono configurare l'MFA e-mail quando l'opzione di ripristino è Solo e-mail. Questo perché non è possibile abilitare l'MFA e-mail e impostare l'opzione di ripristino su Email only nello stesso pool di utenti. Se imposti questa opzione su Invia e-mail se disponibile, altrimenti SMS, l'e-mail è l'opzione di ripristino prioritaria, ma il tuo pool di utenti può ricorrere al messaggio SMS quando un utente non è idoneo per il ripristino dei messaggi e-mail. In questo scenario, gli utenti possono impostare l'MFA e-mail come preferenza e possono ricevere un messaggio SMS solo quando tentano di reimpostare la password.

  • Se si imposta un solo metodo MFA come disponibile, non è necessario gestire le preferenze MFA dell'utente.

  • Una configurazione SMS attiva rende automaticamente i messaggi SMS un metodo MFA disponibile nel pool di utenti.

    Una configurazione e-mail attiva con le tue risorse Amazon SES in un pool di utenti e il piano di funzionalità Essentials o Plus rendono automaticamente i messaggi e-mail un metodo MFA disponibile nel tuo pool di utenti.

  • Quando si imposta l'MFA su obbligatorio in un pool di utenti, gli utenti non possono abilitare o disabilitare alcun metodo MFA. È possibile impostare solo un metodo preferito.

  • Quando si imposta l'MFA su opzionale in un pool di utenti, l'accesso gestito non richiede agli utenti di configurare l'MFA, ma richiede agli utenti un codice MFA quando hanno un metodo di MFA preferito.

  • Quando attivi la protezione dalle minacce e configuri le risposte di autenticazione adattiva in modalità con funzionalità complete, l'MFA deve essere opzionale nel tuo pool di utenti. Una delle opzioni di risposta con l'autenticazione adattiva consiste nel richiedere l'autenticazione MFA per un utente il cui tentativo di accesso viene valutato in modo da contenere un livello di rischio.

    L'impostazione Attributi richiesti nel menu di registrazione della console determina se gli utenti devono fornire un indirizzo e-mail o un numero di telefono per registrarsi all'applicazione. I messaggi e-mail e SMS diventano fattori MFA idonei quando un utente dispone dell'attributo corrispondente. Il parametro Schema di CreateUserPool imposta gli attributi come richiesto.

  • Quando imposti l'autenticazione a più fattori su richiesta in un pool di utenti e un utente accede con accesso gestito, Amazon Cognito gli chiede di selezionare un metodo MFA tra i metodi disponibili per il tuo pool di utenti. L'accesso gestito gestisce la raccolta di un indirizzo e-mail o di un numero di telefono e la configurazione di TOTP.

Operazioni API per la configurazione delle preferenze MFA

È possibile configurare le preferenze MFA per gli utenti in un modello self-service con autorizzazione tramite token di accesso o in un modello gestito dall'amministratore con operazioni API amministrative. Queste operazioni abilitano o disabilitano i metodi MFA e impostano uno dei diversi metodi come opzione preferita. Dopo che l'utente ha impostato una preferenza MFA, Amazon Cognito gli chiede al momento dell'accesso di fornire un codice dal metodo di MFA preferito. Gli utenti che non hanno impostato una preferenza ricevono la richiesta di scegliere un metodo preferito in una sfida. SELECT_MFA_TYPE

  • In un modello self-service utente o in un'applicazione pubblica SetUserMfaPreference, autorizzata con un token di accesso dell'utente registrato, imposta la configurazione MFA.

  • In un'applicazione gestita dall'amministratore o riservata, autorizzata con AWS credenziali amministrative AdminSetUserPreference, imposta la configurazione MFA.

Puoi anche impostare le preferenze MFA degli utenti dal menu Utenti della console Amazon Cognito. Per ulteriori informazioni sui modelli di autenticazione pubblici e riservati nell'API dei pool di utenti di Amazon Cognito, consulta. Comprendere l'API, l'OIDC e l'autenticazione delle pagine di accesso gestite

Configurazione di un pool di utenti per l'autenticazione a più fattori

Puoi configurare MFA nella console Amazon Cognito.

Come configurare l'autenticazione MFA nella console Amazon Cognito

  1. Accedi alla console Amazon Cognito.

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli il menu di accesso. Individua l'autenticazione a più fattori e scegli Modifica.

  5. Scegli il metodo di applicazione dell'MFA che desideri utilizzare con il bacino d'utenza.

    Uno screenshot della console Amazon Cognito con opzioni MFA.

    1. Richiedi MFA. Tutti gli utenti del tuo pool di utenti devono accedere con un codice SMS, e-mail o password monouso (TOTP) aggiuntivo come fattore di autenticazione aggiuntivo.

    2. MFA opzionale. Puoi offrire ai tuoi utenti la possibilità di registrare un fattore di accesso aggiuntivo, ma consentire comunque agli utenti che non hanno configurato l'MFA di accedere. Scegli questa opzione se utilizzi l'autenticazione adattiva. Per ulteriori informazioni sull'autenticazione adattiva, consulta Sicurezza avanzata con protezione dalle minacce.

    3. Nessuna MFA. Gli utenti non possono registrare un ulteriore fattore di accesso.

  6. Scegli i metodi MFA da supportare nell'app. Puoi impostare messaggi di posta elettronica, messaggi SMS o app di autenticazione che generano TOTP come secondo fattore.

  7. Se utilizzi gli SMS come secondo fattore e non disponi di un ruolo IAM configurato per l'utilizzo con Amazon Simple Notification Service (Amazon SNS) per gli SMS, puoi crearne uno nella console. Nel menu Metodi di autenticazione per il tuo pool di utenti, individua gli SMS e scegli Modifica. Puoi anche utilizzare un ruolo esistente che consente ad Amazon Cognito di inviare messaggi SMS agli utenti per tuo conto. Per ulteriori informazioni, consulta IAM Roles (Ruoli IAM).

    Se utilizzi i messaggi e-mail come secondo fattore e non hai configurato un'identità di origine da utilizzare con Amazon Simple Email Service (Amazon SES) per i messaggi e-mail, creane una nella console. Devi scegliere l'opzione Invia e-mail con SES. Nel menu Metodi di autenticazione per il tuo pool di utenti, individua Email e scegli Modifica. Seleziona un indirizzo email FROM dalle identità verificate disponibili nell'elenco. Se scegli un dominio verificato, ad esempioexample.com, devi anche configurare un nome mittente FROM nel dominio verificato, ad esempio. admin-noreply@example.com

  8. Scegli Save changes (Salva modifiche).