本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SMS 和電子郵件 MFA 訊息會確認使用者在登入前可以存取訊息目的地。他們確認他們不僅可以存取密碼,還可以存取原始使用者的簡訊或電子郵件收件匣。Amazon Cognito 請求使用者提供短碼,您的使用者集區會在他們成功提供使用者名稱和密碼後傳送。
在使用者將電子郵件地址或電話號碼新增至其設定檔之後,簡訊和電子郵件訊息 MFA 不需要額外的組態。Amazon Cognito 可以將訊息傳送到未驗證的電子郵件地址和電話號碼。當使用者完成第一個 MFA 時,Amazon Cognito 會將他們的電子郵件地址或電話號碼標記為已驗證。
當具有 MFA 的使用者在應用程式中輸入使用者名稱和密碼時,MFA 身分驗證就會開始。您的應用程式會在叫用 InitiateAuth 或 AdminInitiateAuth API 請求的 SDK 方法中提交這些初始參數。API 回應ChallengeParameters
中的 包含一個CODE_DELIVERY_DESTINATION
值,指出授權碼的傳送位置。在您的應用程式中,顯示提示使用者檢查其電話的表單,並包含程式碼的輸入元素。當他們輸入程式碼時,請在挑戰回應 API 請求中提交,以完成登入程序。
使用 MFA 的使用者在受管登入頁面中使用使用者名稱和密碼登入後,系統會自動提示他們輸入 MFA 代碼。
使用者集區會使用 Amazon Simple Notification Service (Amazon SNS) 資源傳送 MFA 和其他 Amazon Cognito 通知的 SMS 訊息 AWS 帳戶。 Amazon SNS 同樣地,使用者集區會使用您帳戶中的 Amazon Simple Email Service (Amazon SES) 資源傳送電子郵件訊息。這些連結的服務會在您的訊息交付 AWS 帳單上產生自己的成本。他們也有在生產磁碟區傳送訊息的其他要求。如需詳細資訊,請參閱下列連結:
SMS 和電子郵件訊息 MFA 的考量
-
若要允許使用者使用電子郵件 MFA 登入,您的使用者集區必須具有下列組態選項:
-
您的使用者集區中有 Plus 或 Essentials 功能計劃。如需詳細資訊,請參閱使用者集區功能計劃。
-
您的使用者集區會使用您自己的 Amazon SES 資源傳送電子郵件訊息。如需詳細資訊,請參閱Amazon SES 電子郵件組態。
-
-
MFA 代碼在您為應用程式用戶端設定的身分驗證流程工作階段持續時間有效。
當您編輯應用程式用戶端時,請在應用程式用戶端選單的 Amazon Cognito 主控台中設定身分驗證流程工作階段的持續時間。您也可以在
CreateUserPoolClient
或UpdateUserPoolClient
API 請求中設定驗證流程工作階段持續時間。如需詳細資訊,請參閱驗證工作階段範例。 -
當使用者成功從 Amazon Cognito 傳送到未驗證電話號碼或電子郵件地址的簡訊或電子郵件訊息中提供代碼時,Amazon Cognito 會將對應的屬性標記為已驗證。
-
使用者無法使用其存取權杖來變更與 MFA 相關聯的電話號碼或電子郵件地址值。您的團隊必須使用 AdminUpdateUserAttributes API 請求中的管理員 AWS 登入資料來變更這些值。
-
若要讓使用者對與 MFA 相關聯的電話號碼或電子郵件地址值進行自助變更,他們必須登入並使用存取權杖授權請求。如果他們無法存取目前的電話號碼或電子郵件地址,則無法登入。您的團隊必須使用 AdminUpdateUserAttributes API 請求中的管理員 AWS 登入資料來變更這些值。
-
在使用者集區中設定 SMS 之後,您無法停用 SMS 訊息做為可用的 MFA 因素。