本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 提示用户完成 MFA 您可以使用以下步骤来确定员工用户在尝试登录访问门户时被提示进行多重身份验证 (MFA) 的频率。 AWS 在开始之前,我们建议您首先了解 [适用于 IAM Identity Center 的可用 MFA 类型](mfa-types.md)。 **重要** 本部分中的说明适用于 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)。它们不适用于 [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM)。IAM Identity Center 用户、组和用户凭证不同于 IAM 用户、组和 IAM 用户凭证。如果您正在寻找有关为 IAM 用户停用 MFA 的说明,请参阅 *AWS Identity and Access Management 用户指南*中的[停用 MFA 设备](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html)。 **注意** 如果您使用的是外部 IdP,则**多重身份验证**部分将不可用。您的外部 IdP 管理 MFA 设置,而不是 IAM 身份中心管理这些设置。 **配置 MFA** 1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。 1. 在左侧导航窗格中,选择**设置**。 1. 在**设置**页面上,选择**身份验证**选项卡。 1. 在**多重身份验证**部分,选择**配置**。 1. 在**配置多重身份验证**页面的**提示用户完成 MFA** 项下,根据您的业务所需的安全级别选择以下身份验证模式之一: + **他们每次登录时(始终开启)** 在此模式(默认设置)下,IAM Identity Center 要求拥有已注册 MFA 设备的用户每次登录时都会收到提示。这是最安全的设置,它要求他们每次登录 AWS 访问门户时都使用 MFA,从而确保您的组织或合规政策得到执行。例如,PCI DSS 强烈建议在每次登录时完成 MFA,以访问支持高风险支付交易的应用程序。 + **仅当他们的登录上下文发生变化时(上下文感知)** 在此模式下,IAM Identity Center 为用户提供了在登录期间信任其设备的选项。在用户表示要信任某设备后,IAM Identity Center 会提示用户进行一次 MFA,然后分析登录上下文(例如设备、浏览器和位置),以便用户后续登录。对于后续登录,IAM Identity Center 会确定用户是否使用先前信任的上下文登录。如果用户的登录上下文发生变化,除了电子邮件地址和密码凭证外,IAM Identity Center 还会提示用户完成 MFA。 此模式为经常从工作场所登录的用户提供了易用性,但安全性低于**始终开启**选项。只有当用户的登录上下文发生变化时,才会提示他们完成 MFA。 + **从不(已禁用)** 在此模式下,所有用户仅使用其标准用户名和密码登录。选择此选项将禁用 IAM Identity Center MFA,不建议这样做。 虽然您的身份中心目录为用户禁用 MFA,但您无法在其用户详细信息中管理 MFA 设备,并且身份中心目录用户无法从访问门户管理 MFA 设备。 AWS **注意** 如果您已经在使用 RADIUS MFA Directory Service,并希望继续将其用作默认 MFA 类型,则可以将身份验证模式保留为禁用状态,以绕过 IAM Identity Center 中的 MFA 功能。从**禁用**模式更改为**上下文感知**或**始终开启**模式将覆盖现有的 RADIUS MFA 设置。有关更多信息,请参阅 [RADIUS MFA](mfa-types.md#about-radius)。 1. 选择**保存更改**。 **相关主题** + [选择用户身份验证适用的 MFA 类型](how-to-configure-mfa-types.md) + [配置 MFA 设备实施](how-to-configure-mfa-device-enforcement.md) + [允许用户注册自己的 MFA 设备](how-to-allow-user-registration.md)