翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SMS および E メールメッセージ MFA
SMS および E メールMFAメッセージは、ユーザーがサインインする前にメッセージの宛先にアクセスできることを確認します。パスワードだけでなく、元のユーザーのSMSメッセージまたは E メール受信トレイにアクセスできることを確認します。Amazon Cognito は、ユーザーがユーザー名とパスワードを正常に提供した後にユーザープールが送信した短いコードを提供するようユーザーに要求します。
SMS および E メールメッセージは、ユーザーがプロファイルに E メールアドレスまたは電話番号を追加した後、追加の設定MFAは必要ありません。Amazon Cognito は、未検証の E メールアドレスと電話番号にメッセージを送信できます。ユーザーが最初の を完了するとMFA、Amazon Cognito は E メールアドレスまたは電話番号を検証済みとしてマークします。
MFA 認証は、 のユーザーがアプリケーションにユーザー名とパスワードMFAを入力したときに開始されます。アプリケーションは、 InitiateAuthまたは AdminInitiateAuthAPIリクエストを呼び出す SDK メソッドでこれらの初期パラメータを送信します。API レスポンスChallengeParameters
の には、認証コードが送信された場所を示すCODE_DELIVERY_DESTINATION
値が含まれます。アプリケーションで、ユーザーに電話を確認するよう促すフォームを表示し、コードの入力要素を含めます。コードを入力したら、チャレンジレスポンスAPIリクエストで送信してサインインプロセスを完了します。
ホストされた UI でユーザー名とパスワードを使用してMFAサインインすると、MFAコードの入力が自動的に求められます。
ユーザープールは、 MFA の Amazon Simple Notification Service (Amazon SNS) リソースを使用して、 およびその他の Amazon Cognito 通知のSMSメッセージを送信します AWS アカウント。同様に、ユーザープールは、アカウントの Amazon Simple Email Service (Amazon SES) リソースを使用して E メールメッセージを送信します。これらのリンクされたサービスは、メッセージ配信の AWS 請求に対して独自のコストが発生します。また、本番稼働用ボリュームでメッセージを送信するための追加要件もあります。詳細については、以下のリンクを参照してください。
SMS および E メールメッセージの考慮事項 MFA
-
ユーザーが E メール でサインインできるようにするにはMFA、ユーザープールに次の設定オプションが必要です。
-
高度なセキュリティ機能はアクティブです。詳細については、「ユーザープールの高度なセキュリティ機能」を参照してください。
-
ユーザープールは、独自の Amazon SESリソースを使用して E メールメッセージを送信します。詳細については、「Amazon E SESメール設定」を参照してください。
-
-
このMFAコードは、アプリケーションクライアント用に設定した認証フローセッションの期間に有効です。
[App clients and analytics] (アプリクライアントと分析) でアプリクライアントを変更するときに、[App integration] (アプリ統合) タブの Amazon Cognito コンソールで認証フローセッションの期間を設定します。
CreateUserPoolClient
またはUpdateUserPoolClient
APIリクエストで認証フローセッション期間を設定することもできます。詳細については、「ユーザープール認証フロー」を参照してください。 -
ユーザーがAmazon Cognito が未検証の電話番号SMSまたは E メールアドレスに送信した または E メールメッセージからのコードを正しく提供すると、Amazon Cognito は対応する属性を検証済みとしてマークします。
-
ユーザーは、アクセストークンを使用して、 に関連付けられている電話番号または E メールアドレスの値を変更することはできませんMFA。チームはAdminUpdateUserAttributesAPI、リクエストで管理者 AWS 認証情報を使用してこれらの値を変更する必要があります。
-
ユーザーが に関連付けられている電話番号または E メールアドレスの値にセルフサービスで変更を加えるにはMFA、サインインしてアクセストークンを使用してリクエストを承認する必要があります。現在の電話番号または E メールアドレスにアクセスできない場合は、サインインできません。チームはAdminUpdateUserAttributesAPI、リクエストで管理者 AWS 認証情報を使用してこれらの値を変更する必要があります。
-
ユーザープールで を設定SMSした後は、SMSメッセージを利用可能なMFA要素として無効にすることはできません。