SMS および E メールメッセージ MFA - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SMS および E メールメッセージ MFA

SMS および E メールMFAメッセージは、ユーザーがサインインする前にメッセージの宛先にアクセスできることを確認します。パスワードだけでなく、元のユーザーのSMSメッセージまたは E メール受信トレイにアクセスできることを確認します。Amazon Cognito は、ユーザーがユーザー名とパスワードを正常に提供した後にユーザープールが送信した短いコードを提供するようユーザーに要求します。

SMS および E メールメッセージは、ユーザーがプロファイルに E メールアドレスまたは電話番号を追加した後、追加の設定MFAは必要ありません。Amazon Cognito は、未検証の E メールアドレスと電話番号にメッセージを送信できます。ユーザーが最初の を完了するとMFA、Amazon Cognito は E メールアドレスまたは電話番号を検証済みとしてマークします。

MFA 認証は、 のユーザーがアプリケーションにユーザー名とパスワードMFAを入力したときに開始されます。アプリケーションは、 InitiateAuthまたは AdminInitiateAuthAPIリクエストを呼び出す SDK メソッドでこれらの初期パラメータを送信します。API レスポンスChallengeParametersの には、認証コードが送信された場所を示すCODE_DELIVERY_DESTINATION値が含まれます。アプリケーションで、ユーザーに電話を確認するよう促すフォームを表示し、コードの入力要素を含めます。コードを入力したら、チャレンジレスポンスAPIリクエストで送信してサインインプロセスを完了します。

ホストされた UI でユーザー名とパスワードを使用してMFAサインインすると、MFAコードの入力が自動的に求められます。

ユーザープールは、 MFA の Amazon Simple Notification Service (Amazon SNS) リソースを使用して、 およびその他の Amazon Cognito 通知のSMSメッセージを送信します AWS アカウント。同様に、ユーザープールは、アカウントの Amazon Simple Email Service (Amazon SES) リソースを使用して E メールメッセージを送信します。これらのリンクされたサービスは、メッセージ配信の AWS 請求に対して独自のコストが発生します。また、本番稼働用ボリュームでメッセージを送信するための追加要件もあります。詳細については、以下のリンクを参照してください。

SMS および E メールメッセージの考慮事項 MFA

  • ユーザーが E メール でサインインできるようにするにはMFA、ユーザープールに次の設定オプションが必要です。

    1. 高度なセキュリティ機能はアクティブです。詳細については、「ユーザープールの高度なセキュリティ機能」を参照してください。

    2. ユーザープールは、独自の Amazon SESリソースを使用して E メールメッセージを送信します。詳細については、「Amazon E SESメール設定」を参照してください。

  • このMFAコードは、アプリケーションクライアント用に設定した認証フローセッションの期間に有効です。

    [App clients and analytics] (アプリクライアントと分析) でアプリクライアントを変更するときに、[App integration] (アプリ統合) タブの Amazon Cognito コンソールで認証フローセッションの期間を設定します。CreateUserPoolClient または UpdateUserPoolClientAPIリクエストで認証フローセッション期間を設定することもできます。詳細については、「ユーザープール認証フロー」を参照してください。

  • ユーザーがAmazon Cognito が未検証の電話番号SMSまたは E メールアドレスに送信した または E メールメッセージからのコードを正しく提供すると、Amazon Cognito は対応する属性を検証済みとしてマークします。

  • ユーザーは、アクセストークンを使用して、 に関連付けられている電話番号または E メールアドレスの値を変更することはできませんMFA。チームはAdminUpdateUserAttributesAPI、リクエストで管理者 AWS 認証情報を使用してこれらの値を変更する必要があります。

  • ユーザーが に関連付けられている電話番号または E メールアドレスの値にセルフサービスで変更を加えるにはMFA、サインインしてアクセストークンを使用してリクエストを承認する必要があります。現在の電話番号または E メールアドレスにアクセスできない場合は、サインインできません。チームはAdminUpdateUserAttributesAPI、リクエストで管理者 AWS 認証情報を使用してこれらの値を変更する必要があります。

  • ユーザープールで を設定SMSした後は、SMSメッセージを利用可能なMFA要素として無効にすることはできません。