Tipos de MFA disponíveis para o IAM Identity Center - AWS IAM Identity Center

Tipos de MFA disponíveis para o IAM Identity Center

A autenticação multifator (MFA) é um mecanismo simples e eficaz para aumentar sua segurança. O primeiro fator, sua senha, é um segredo que você memoriza, também conhecido como fator de conhecimento. Outros fatores podem ser fatores de posse (algo que você tem, como uma chave de segurança) ou fatores de inerência (algo que você é, como um escaneamento biométrico). É altamente recomendável configurar a MFA para adicionar uma camada adicional de segurança à sua conta.

O IAM Identity Center MFA é compatível com os seguintes tipos de dispositivos. Todos os tipos de MFA são compatíveis tanto para o acesso ao console baseado em navegador quanto para o uso da AWS CLI v2 com o IAM Identity Center.

Um usuário pode ter até oito dispositivos de MFA, que incluem até dois aplicativos autenticadores virtuais e seis autenticadores FIDO, registrados em uma conta. Você também pode definir as configurações de habilitação de MFA para exigir MFA sempre que seus usuários fizerem login ou para habilitar dispositivos confiáveis que não exigem MFA a cada login. Para obter mais informações sobre como configurar seu servidor RADIUS para funcionar com Escolher tipos de MFA para autenticação de usuário e MFA, consulte Configurar a imposição de dispositivos de MFA.

Autenticadores FIDO2

O FIDO2 é um padrão que inclui CTAP2 e WebAuthn, além de ser baseado na criptografia de chave pública. As credenciais FIDO são resistentes ao phishing porque são exclusivas do site em que as credenciais foram criadas, como a AWS.

A AWS oferece suporte aos dois fatores de formatos mais comuns dos autenticadores FIDO: autenticadores integrados e chaves de segurança. Veja abaixo mais informações sobre os tipos mais comuns de autenticadores FIDO.

Autenticadores integrados

Alguns dispositivos têm autenticadores integrados, como o TouchID no MacBook ou uma câmera compatível com o Windows Hello. Se seu dispositivo tiver um autenticador integrado compatível com FIDO, você poderá usar sua impressão digital, rosto ou pin do dispositivo como um segundo fator.

Chaves de segurança

As chaves de segurança são autenticadores de hardware externos compatíveis com FIDO que você pode comprar e conectar ao seu dispositivo via USB, BLE ou NFC. Quando você é solicitado a inserir o MFA, basta concluir um gesto com o sensor da chave. Alguns exemplos de chaves de segurança incluem chaves YubiKeys e Feitian, e as chaves de segurança mais comuns criam credenciais FIDO vinculadas ao dispositivo. Para obter uma lista de todas as chaves de segurança certificadas pela FIDO, consulte FIDO Certified Products.

Gerenciadores de senhas, fornecedores de chaves de acesso e outros autenticadores FIDO

Vários provedores terceirizados oferecem suporte à autenticação FIDO em aplicativos móveis, como atributos em gerenciadores de senhas, cartões inteligentes com modo FIDO, entre outros formatos. Esses dispositivos compatíveis com FIDO podem funcionar com o IAM Identity Center, mas recomendamos que você mesmo teste um autenticador FIDO antes de ativar essa opção para MFA.

nota

Alguns autenticadores FIDO podem criar credenciais FIDO detectáveis, conhecidas como chaves de acesso. As chaves de acesso podem estar vinculadas ao dispositivo que as criou, ou podem ser sincronizadas e armazenadas em uma nuvem. Por exemplo, você pode registrar uma chave de acesso usando o Apple Touch ID em um Macbook compatível e, em seguida, fazer login em um site a partir de um laptop Windows usando o Google Chrome com sua chave de acesso no iCloud, seguindo as instruções na tela ao fazer login. Para obter mais informações sobre quais dispositivos suportam chaves de acesso sincronizáveis e a interoperabilidade atual de chaves de acesso entre sistemas operacionais e navegadores, consulte Device Support em passkeys.dev, um recurso mantido pela FIDO Alliance And World Wide Web Consortium (W3C).

Aplicativos de autenticação virtual

Os aplicativos autenticadores são autenticadores terceirizados baseados em senha de uso único (OTP). Você pode usar um aplicativo autenticador instalado em seu dispositivo móvel ou tablet como um dispositivo de MFA autorizado. O aplicativo autenticador de terceiros deve estar em conformidade com RFC 6238, que é um algoritmo de senha de uso único com marcação temporal (TOTP) padrão capaz de gerar códigos de autenticação de seis dígitos.

Quando a MFA for solicitada, você deve inserir um código válido do seu aplicativo autenticador na caixa de entrada apresentada. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Dois aplicativos autenticadores podem ser registrados para qualquer usuário.

Aplicativo autenticador testado

Qualquer aplicativo compatível com TOTP funcionará com o IAM Identity Center MFA. Você pode escolher entre os seguintes aplicativos autenticadores de terceiros conhecidos.

Sistema operacional Aplicativo autenticador testado
Android Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RADIUS MFA

O Remote Authentication Dial-In User Service (RADIUS) é um protocolo cliente-servidor padrão da indústria que fornece autenticação, autorização e gestão de contabilidade para que os utilizadores possam ligar-se a serviços de rede. AWS Directory Service inclui um cliente RADIUS que liga ao servidor RADIUS no qual implementou a sua solução MFA. Para obter mais informações, consulte Enable Multi-Factor Authentication for AWS Managed Microsoft AD.

Você pode usar o RADIUS MFA ou o MFA no IAM Identity Center para fazer login do usuário no portal do usuário, mas não ambos. O MFA no IAM Identity Center é uma alternativa ao RADIUS MFA nos casos em que você deseja a autenticação nativa AWS de dois fatores para acessar o portal.

Quando você ativa a MFA no IAM Identity Center, seus usuários precisam de um dispositivo de MFA para entrar no portal de acesso AWS. Se você já usou o RADIUS MFA, habilitar o MFA no IAM Identity Center substitui efetivamente o RADIUS MFA para usuários que fazem login no portal de acesso AWS. No entanto, o RADIUS MFA continua desafiando os usuários quando eles se conectam a todos os outros aplicativos AWS Directory Service com os quais funcionam, como o Amazon WorkDocs.

Se seu MFA estiver desativado no console do IAM Identity Center e você tiver configurado o RADIUS MFA comAWS Directory Service, o RADIUS MFA controla AWS o login no portal de acesso. Isso significa que o IAM Identity Center retornará à configuração RADIUS MFA se o MFA estiver desativado.