Adicionando MFA a um grupo de usuários - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionando MFA a um grupo de usuários

MFAadiciona um fator de autenticação “algo que você tem” ao fator inicial “algo que você conhece”, que normalmente é um nome de usuário e senha. Você pode escolher mensagens de SMS texto, mensagens de e-mail ou senhas de uso único baseadas em tempo (TOTP) como fatores adicionais para fazer login com seus usuários.

A autenticação multifator (MFA) aumenta a segurança dos usuários locais em seu aplicativo. No caso de usuários federados, o Amazon Cognito delega todos os processos de autenticação ao IdP e não oferece a eles fatores de autenticação adicionais.

nota

Na primeira vez que um novo usuário faz login no seu aplicativo, o Amazon Cognito emite tokens OAuth 2.0, mesmo que seu grupo de usuários exija. MFA O segundo fator de autenticação quando o usuário faz login pela primeira vez é a confirmação da mensagem de verificação que o Amazon Cognito envia a ele. Se seu grupo de usuários exigirMFA, o Amazon Cognito solicitará que seu usuário registre um fator de login adicional para usar durante cada tentativa de login após a primeira.

Com a autenticação adaptativa, você pode configurar seu grupo de usuários para exigir um fator de autenticação adicional em resposta a um maior nível de risco. Para adicionar autenticação adaptável ao grupo de usuários, consulte Recursos avançados de segurança do grupo de usuários.

Quando você configura MFA required para um grupo de usuários, todos os usuários devem preencher MFA para fazer login. Para fazer login, cada usuário deve configurar pelo menos um MFA fator. Ao configurar MFArequired, você deve incluir a MFA configuração na integração de usuários para que seu grupo de usuários permita que eles façam login.

A interface de usuário hospedada solicita que os usuários configurem MFA quando você define como MFA obrigatório. Quando você define como MFA opcional em seu grupo de usuários, a interface de usuário hospedada não avisa os usuários. Para trabalhar com o opcionalMFA, você deve criar uma interface no seu aplicativo que solicite que os usuários selecionem o que desejam configurar e, em seguidaMFA, os guie pelas API entradas para verificar o fator adicional de login.

Considerações para o MFA

Antes de configurarMFA, considere o seguinte:

  • O MFA método preferido do usuário influencia os métodos que ele pode usar para recuperar sua senha. Usuários cuja preferência MFA é por mensagem de e-mail não podem receber um código de redefinição de senha por e-mail. Usuários cuja preferência MFA é por SMS mensagem não podem receber um código de redefinição de senha até. SMS

    Suas configurações de recuperação de senha devem fornecer uma opção alternativa quando os usuários não estão qualificados para o método de redefinição de senha de sua preferência. Por exemplo, seus mecanismos de recuperação podem ter o e-mail como primeira prioridade e o e-mail MFA pode ser uma opção no seu grupo de usuários. Nesse caso, adicione a recuperação da conta SMS -message como uma segunda opção ou use API operações administrativas para redefinir as senhas desses usuários.

  • Quando você ativa MFA em seu grupo de usuários e escolhe a mensagem de SMS texto como segundo fator, você pode enviar SMS mensagens para um atributo de número de telefone que você não verificou no Amazon Cognito. Depois que seu usuário concluir SMSMFA, o Amazon Cognito define phone_number_verified seu atributo como. true

  • Depois de cinco tentativas malsucedidas de apresentar um MFA código, o Amazon Cognito inicia o processo de bloqueio de tempo limite exponencial descrito em. Fluxo de autenticação de grupo de usuários

  • Se sua conta estiver na SMS sandbox Região da AWS que contém os recursos do Amazon Simple Notification Service (AmazonSNS) para seu grupo de usuários, você deve verificar os números de telefone na Amazon SNS antes de enviar uma SMS mensagem. Para obter mais informações, consulte SMSconfigurações de mensagem para grupos de usuários do Amazon Cognito.

  • Para alterar o MFA status dos usuários em resposta aos eventos detectados com recursos avançados de segurança, ative-os MFA e configure-os como opcionais no console do grupo de usuários do Amazon Cognito. Para obter mais informações, consulte Recursos avançados de segurança do grupo de usuários.

  • E-mails e SMS mensagens exigem que seus usuários tenham atributos de endereço de e-mail e número de telefone, respectivamente. Você pode definir email ou phone_number conforme necessário atributos em seu grupo de usuários. Nesse caso, os usuários não podem concluir a inscrição a menos que forneçam um número de telefone. Se você não definir esses atributos como obrigatórios, mas quiser enviar e-mail ou SMS mensagemMFA, solicite aos usuários o endereço de e-mail ou número de telefone quando eles se inscreverem. Como prática recomendada, configure seu grupo de usuários para enviar mensagens automáticas aos usuários para verificar esses atributos.

    O Amazon Cognito considera um número de telefone ou endereço de e-mail como verificado se um usuário recebeu com sucesso um código temporário SMS ou uma mensagem de e-mail e devolveu esse código em uma VerifyUserAttributeAPIsolicitação. Como alternativa, sua equipe pode definir números de telefone e marcá-los como verificados com um aplicativo administrativo que realiza AdminUpdateUserAttributesAPIsolicitações.

  • Se você definiu como MFA obrigatório e ativou mais de um fator de autenticação, o Amazon Cognito solicita que novos usuários selecionem um MFA fator que desejam usar. Os usuários devem ter um número de telefone para configurar a SMS mensagem MFA e um endereço de e-mail para configurar a mensagem de e-mailMFA. Se um usuário não tiver o atributo definido para nenhuma mensagem disponívelMFA, o Amazon Cognito solicitará que ele configure. TOTP MFA A solicitação para escolher um MFA fator (SELECT_MFA_TYPE) e configurar um fator escolhido (MFA_SETUP) surge como uma resposta desafiadora às AdminInitiateAuthAPIoperações InitiateAuthe operações.

MFAPreferências do usuário

Os usuários podem configurar vários MFA fatores. Somente um pode estar ativo. Você pode escolher a MFA preferência efetiva para seus usuários nas configurações do grupo de usuários ou nas solicitações do usuário. Um grupo de usuários solicita MFA códigos ao usuário quando as configurações do grupo de usuários e suas próprias configurações em nível de usuário atendem às seguintes condições:

  1. Você define como MFA opcional ou obrigatório em seu grupo de usuários.

  2. O usuário tem um phone_number atributo email ou válido ou configurou um aplicativo autenticador paraTOTP.

  3. Pelo menos um MFA fator está ativo.

  4. Um MFA fator é definido como preferido.

Configurações do grupo de usuários e seus efeitos nas MFA opções

A configuração do seu grupo de usuários influencia os MFA métodos que os usuários podem escolher. A seguir estão algumas configurações do grupo de usuários que influenciam a capacidade dos usuários de definir uma MFA preferência:

  • Na configuração de autenticação multifator na guia Experiência de login do console do Amazon Cognito, você pode definir como opcional ou obrigatório, ou MFA desativá-la. O API equivalente dessa configuração é o MfaConfigurationparâmetro de CreateUserPoolUpdateUserPool, SetUserPoolMfaConfig e.

    Além disso, na configuração de autenticação multifator, a configuração de MFAmétodos determina os MFA fatores que os usuários podem configurar. O API equivalente a essa configuração é a SetUserPoolMfaConfigoperação.

    Na guia Experiência de login, em Recuperação da conta de usuário, você pode configurar a forma como seu grupo de usuários envia mensagens aos usuários que esquecem a senha. O MFA método preferido de um usuário não pode ter o mesmo método de entrega que o método de entrega de mensagens de recuperação de maior prioridade em seu grupo de usuários. O API equivalente dessa configuração é o AccountRecoverySettingparâmetro de CreateUserPool UpdateUserPool e.

    Por exemplo, os usuários não podem definir o e-mail MFA como preferencial quando sua opção de recuperação é Somente e-mail ou E-mail, se disponível, caso contrário SMS. Altere o método de entrega para SMSsomente ou, SMSse disponível, caso contrário, envie um e-mail.

  • Se você definir apenas um MFA método como disponível, não precisará gerenciar as MFA preferências do usuário.

  • Uma SMS configuração ativa torna automaticamente SMS as mensagens um MFA método disponível em seu grupo de usuários.

    Uma configuração de e-mail ativa com seus próprios SES recursos da Amazon em um grupo de usuários e recursos de segurança avançados ativos tornam automaticamente as mensagens de e-mail um MFA método disponível em seu grupo de usuários.

  • Quando você define como MFA obrigatório em um grupo de usuários, os usuários não podem ativar ou desativar nenhum MFA método. Você só pode definir um método preferido.

  • Quando você define como MFA opcional em um grupo de usuários, a interface hospedada não solicita que os usuários se configuremMFA, mas solicita que os usuários forneçam um MFA código quando eles têm um MFA método preferencial.

  • Quando você ativa recursos avançados de segurança e configura respostas de autenticação adaptativa no modo de função completa, MFA deve ser opcional em seu grupo de usuários. Uma das opções de resposta com a autenticação adaptativa é exigir MFA que um usuário cuja tentativa de login seja avaliada como contendo um nível de risco.

    A configuração de atributos obrigatórios na guia Experiência de inscrição do console determina se os usuários devem fornecer um endereço de e-mail ou número de telefone para se inscrever em seu aplicativo. E-mails e SMS mensagens se tornam MFA fatores elegíveis quando um usuário tem o atributo correspondente. O parâmetro Schema de CreateUserPool define os atributos conforme necessário.

  • Quando você define como MFA obrigatório em um grupo de usuários e um usuário faz login com a interface hospedada, o Amazon Cognito solicita que ele selecione um MFA método dentre os métodos disponíveis para seu grupo de usuários. A interface de usuário hospedada lida com a coleta de um endereço de e-mail ou número de telefone e a configuração doTOTP.

APIoperações para configurar preferências MFA

Você pode configurar MFA preferências para usuários em um modelo de autoatendimento com autorização de token de acesso ou em um modelo gerenciado pelo administrador com operações administrativas. API Essas operações ativam ou desativam MFA métodos e definem um dos vários métodos como a opção preferida. Depois que seu usuário definir uma MFA preferência, o Amazon Cognito solicitará que ele forneça um código do método preferido no login. MFA Os usuários que não definiram uma preferência recebem uma solicitação para escolher um método preferido em um SELECT_MFA_TYPE desafio.

  • Em um modelo de autoatendimento do usuário ou aplicativo público SetUserMfaPreference, autorizado com um token de acesso do usuário conectado, define a configuração. MFA

  • Em um aplicativo confidencial ou gerenciado pelo administrador, autorizado com AWS credenciais administrativas AdminSetUserPreference, define a configuração. MFA

Você também pode definir MFA as preferências do usuário na guia Usuários do console do Amazon Cognito. Para obter mais informações sobre os modelos de autenticação pública e confidencial nos grupos de usuários do Amazon CognitoAPI, consulte. Usando os grupos de usuários API e o servidor de autorização

Configurando um grupo de usuários para autenticação multifatorial

Você pode configurar MFA no console do Amazon Cognito.

Para configurar MFA no console do Amazon Cognito
  1. Faça login no console do Amazon Cognito.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Escolha a guia Sign-in experience (Experiência de acesso). Encontre Multi-factor authentication (Autenticação multifator) e escolha Edit (Editar)

  5. Escolha o método de MFAimposição que você deseja usar com seu grupo de usuários.

    Notificar usuários
    1. Exigir MFA. Todos os usuários do seu grupo de usuários devem fazer login com um SMS código adicional ou um fator de senha de uso único (TOTP) baseado em tempo.

    2. Opcional MFA - Você pode dar aos seus usuários a opção de registrar um fator de login adicional, mas ainda permitir que usuários que não tenham configurado MFA o login. Se você usar a autenticação adaptativa, escolha essa opção. Para obter mais informações sobre autenticação adaptativa, consulte Recursos avançados de segurança do grupo de usuários.

    3. Não MFA. Os usuários não podem registrar um fator adicional de login.

  6. Escolha os MFAmétodos que você oferece suporte em seu aplicativo. Você pode definir aplicativos TOTP autenticadores de SMSmensagens de e-mail, mensagens ou geração de mensagens como um segundo fator.

  7. Se você usa mensagens de SMS texto como um segundo fator e não configurou uma IAM função para usar com o Amazon Simple Notification Service (AmazonSNS) para SMS mensagens, crie uma no console. Na guia Mensagens do seu grupo de usuários, SMSlocalize e escolha Editar. Você também pode usar uma função existente que permite que o Amazon Cognito envie SMS mensagens para seus usuários para você. Para obter mais informações, consulte Funções do IAM.

  8. Escolha Salvar alterações.