注册用户的 MFA 设备 - AWS IAM Identity Center

注册用户的 MFA 设备

IAM Identity Center 管理员可以设置新的 MFA 设备,供特定用户在 IAM Identity Center 控制台中访问。管理员必须拥有对用户 MFA 设备的物理访问权限,才能注册设备。例如,如果您为使用在智能手机上运行的 MFA 设备的用户配置 MFA,则您需要对该智能手机的物理访问权限才能完成注册流程。或者,您可以允许用户配置和管理他们自己的 MFA 设备。有关更多信息,请参阅 允许用户注册自己的 MFA 设备

如需注册 MFA 设备

  1. 打开 IAM Identity Center 控制台

  2. 在左侧导航窗格中,选择 用户。在列表中,选择一个用户。在此步骤中,请勿选中用户旁边的复选框。

  3. 在用户详细信息页面上,选择 MFA 设备选项卡,然后选择注册 MFA 设备

  4. 注册 MFA 设备页面上,选择以下 MFA 设备类型之一,然后按照说明进行操作:

    • 身份验证器应用程序

      1. 设置身份验证器应用程序页面上,IAM Identity Center 将显示新 MFA 设备的配置信息,包括二维码图形。该图表示可在不支持 QR 码的设备上手动输入的密钥。

      2. 使用物理 MFA 设备,执行以下操作:

        1. 打开兼容的 MFA 身份验证器应用程序。有关可以在 MFA 设备上使用的经过测试的应用程序的列表,请参阅 虚拟身份验证器应用程序。如果 MFA 应用支持多个帐户(多个 MFA 设备),请选择创建新帐户(新的 MFA 设备)的选项。

        2. 确定 MFA 应用程序是否支持 QR 码,然后在设置身份验证器应用程序页面上执行以下操作之一:

          1. 选择 Show QR code(显示 QR 代码),然后使用该应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 Scan code(扫描代码)的选项,然后使用装置的摄像头扫描此代码。

          2. 选择显示密钥,然后将该密钥键入到 MFA 应用程序中。

            重要

            当您为 IAM Identity Center 配置 MFA 设备时,我们建议您将 QR 码或密钥的副本保存在安全的位置。如果指定用户丢失了手机或者必须重新安装 MFA 身份验证器应用程序,这可能会有所帮助。如果出现上述任一情况,您可以快速重新配置应用程序,使其使用相同的 MFA 配置。这样便无需在 IAM Identity Center 中为用户创建新的 MFA 设备。

      3. 设置身份验证器应用程序页面的身份验证器代码项下,输入物理 MFA 设备上当前显示的一次性密码。

        重要

        生成代码之后立即提交您的请求。如果在生成代码后等待很长时间才提交请求,MFA 设备将成功与用户关联,但 MFA 设备不同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步装置。

      4. 选择 Assign MFA (分配 MFA)。MFA 设备现在可以开始生成一次性密码,而且可以与 AWS 配合使用了。

    • 安全密钥

      1. 注册用户的安全密钥页面上,按照浏览器或平台提供的说明进行操作。

        注意

        此处的体验因不同的操作系统和浏览器而异,因此请按照浏览器或平台显示的说明进行操作。成功注册用户设备后,您可以选择将友好显示名称与用户新注册的设备相关联。如果要更改此设置,请选择重命名,输入新名称,然后选择保存。如果您启用了允许用户管理自己的设备的选项,则用户将在 AWS 访问门户中看到此友好名称。