FIDO2-Authentifikatoren Apps für virtuelle Authentifikatoren RADIUS MFA

Verfügbare MFA-Typen für IAM Identity Center

Die Multi-Faktor-Authentifizierung (MFA) ist ein einfacher und effektiver Mechanismus, um die Sicherheit Ihrer Benutzer zu erhöhen. Der erste Faktor eines Benutzers — sein Passwort — ist ein Geheimnis, das er sich merkt, auch Wissensfaktor genannt. Andere Faktoren können Besitzfaktoren (etwas, das Sie besitzen, z. B. ein Sicherheitsschlüssel) oder Inhärenzfaktoren (etwas, das Sie sind, z. B. ein biometrischer Scan) sein. Wir empfehlen dringend, MFA zu konfigurieren, um Ihrem Konto eine zusätzliche Sicherheitsebene hinzuzufügen.

IAM Identity Center MFA unterstützt die folgenden Gerätetypen. Alle MFA-Typen werden sowohl für den browserbasierten Konsolenzugriff als auch für die Verwendung der AWS CLI Version v2 mit IAM Identity Center unterstützt.

FIDO2-Authentifikatoren, einschließlich integrierter Authentifikatoren und Sicherheitsschlüssel
Apps für virtuelle Authentifikatoren
Ihre eigene RADIUS MFA Implementierung ist verbunden durch AWS Managed Microsoft AD

Ein Benutzer kann bis zu acht MFA-Geräte, darunter bis zu zwei virtuelle Authentifikator-Apps und sechs FIDO-Authentifikatoren, für ein Konto registrieren. Sie können die MFA-Aktivierungseinstellungen auch so konfigurieren, dass bei jeder Anmeldung Ihrer Benutzer MFA erforderlich ist, oder dass vertrauenswürdige Geräte aktiviert werden, für die MFA nicht bei jeder Anmeldung erforderlich ist. Weitere Informationen zur Konfiguration von MFA-Typen für Ihre Benutzer finden Sie unter Wählen Sie MFA-Typen undMFA-Gerätedurchsetzung konfigurieren.

FIDO2-Authentifikatoren

FIDO2 ist ein Standard, der CTAP2 beinhaltet WebAuthnund auf der Kryptografie mit öffentlichen Schlüsseln basiert. FIDO-Anmeldeinformationen sind Phishing-resistent, da sie nur für die Website gelten, auf der die Anmeldeinformationen erstellt wurden, z. B. AWS

AWSunterstützt die beiden gängigsten Formfaktoren für FIDO-Authentifikatoren: integrierte Authentifikatoren und Sicherheitsschlüssel. Im Folgenden finden Sie weitere Informationen zu den gängigsten Arten von FIDO-Authentifikatoren.

Themen

Integrierte Authentifikatoren
Sicherheitsschlüssel
Passwort-Manager, Passkey-Anbieter und andere FIDO-Authentifikatoren

Integrierte Authentifikatoren

Viele moderne Computer und Mobiltelefone verfügen über integrierte Authentifikatoren, z. B. TouchID auf einem Macbook oder eine Windows Hello-kompatible Kamera. Wenn Ihr Gerät über einen integrierten FIDO-kompatiblen Authentifikator verfügt, können Sie Ihren Fingerabdruck, Ihr Gesicht oder Ihre Geräte-PIN als zweiten Faktor verwenden.

Sicherheitsschlüssel

Sicherheitsschlüssel sind FIDO-kompatible externe Hardware-Authentifikatoren, die Sie erwerben und über USB, BLE oder NFC mit Ihrem Gerät verbinden können. Wenn Sie zur Eingabe von MFA aufgefordert werden, führen Sie einfach eine Geste mit dem Sensor der Taste aus. Zu den Sicherheitsschlüsseln gehören beispielsweise Feitian-Schlüssel, YubiKeys und mit den gängigsten Sicherheitsschlüsseln werden gerätegebundene FIDO-Anmeldeinformationen erstellt. Eine Liste aller FIDO-zertifizierten Sicherheitsschlüssel finden Sie unter FIDO-zertifizierte Produkte.

Passwort-Manager, Passkey-Anbieter und andere FIDO-Authentifikatoren

Zahlreiche Drittanbieter unterstützen die FIDO-Authentifizierung in mobilen Anwendungen, z. B. in Passwort-Managern, Smartcards mit FIDO-Modus und anderen Formfaktoren. Diese FIDO-kompatiblen Geräte können mit IAM Identity Center verwendet werden. Wir empfehlen jedoch, dass Sie einen FIDO-Authentifikator selbst testen, bevor Sie diese Option für MFA aktivieren.

Anmerkung

Einige FIDO-Authentifikatoren können auffindbare FIDO-Anmeldeinformationen, sogenannte Hauptschlüssel, erstellen. Hauptschlüssel können an das Gerät gebunden sein, das sie erstellt, oder sie können synchronisiert und in einer Cloud gesichert werden. Sie können beispielsweise einen Hauptschlüssel mit der Apple Touch ID auf einem unterstützten Macbook registrieren und sich dann von einem Windows-Laptop aus mithilfe von Google Chrome mit Ihrem Hauptschlüssel in iCloud bei einer Website anmelden, indem Sie bei der Anmeldung den Anweisungen auf dem Bildschirm folgen. Weitere Informationen darüber, welche Geräte synchronisierbare Hauptschlüssel und die aktuelle Passkey-Interoperabilität zwischen Betriebssystemen und Browsern Support, finden Sie unter Geräteunterstützung auf passkeys.dev, einer Ressource, die vom FIDO Alliance And World Wide Web Consortium (W3C) verwaltet wird.

Apps für virtuelle Authentifikatoren

Bei Authenticator-Apps handelt es sich im Wesentlichen um Authentifikatoren von Drittanbietern, die auf Einmalkennwörtern (OTP) basieren. Sie können eine auf Ihrem Mobilgerät oder Tablet installierte Authentifizierungsanwendung als autorisiertes MFA-Gerät verwenden. Die Authentifizierungs-App eines Drittanbieters muss mit RFC 6238 konform sein. Dabei handelt es sich um einen standardbasierten Algorithmus für zeitgesteuerte Einmalpasswörter (TOTP), der sechsstellige Authentifizierungscodes erzeugen kann.

Wenn Benutzer zur Eingabe von MFA aufgefordert werden, müssen sie einen gültigen Code aus ihrer Authenticator-App in das angezeigte Eingabefeld eingeben. Jedes MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Für jeden Benutzer können zwei Authentifizierungs-Apps registriert werden.

Getestete Authenticator-Apps

Jede TOTP-konforme Anwendung funktioniert mit IAM Identity Center MFA. In der folgenden Tabelle sind bekannte Authentifikator-Apps von Drittanbietern aufgeführt, aus denen Sie wählen können.

Betriebssystem	Getestete Authentifizierungs-App
Android	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RADIUS MFA

Der Remote Authentication Dial-In User Service (RADIUS) ist ein branchenübliches Client-Server-Protokoll, das Authentifizierung, Autorisierung und Kontoverwaltung ermöglicht, sodass Benutzer eine Verbindung zu Netzwerkdiensten herstellen können. AWS Directory Servicebeinhaltet einen RADIUS-Client, der eine Verbindung zu dem RADIUS-Server herstellt, auf dem Sie Ihre MFA-Lösung implementiert haben. Weitere Informationen finden Sie unter Aktivieren der Multi-Faktor-Authentifizierung für. AWS Managed Microsoft AD

Sie können entweder RADIUS MFA oder MFA in IAM Identity Center für Benutzeranmeldungen am Benutzerportal verwenden, aber nicht beide. MFA in IAM Identity Center ist eine Alternative zu RADIUS MFA in Fällen, in denen Sie eine AWS native Zwei-Faktor-Authentifizierung für den Zugriff auf das Portal wünschen.

Wenn Sie MFA in IAM Identity Center aktivieren, benötigen Ihre Benutzer ein MFA-Gerät, um sich beim Access Portal anzumelden. AWS Wenn Sie zuvor RADIUS MFA verwendet haben, überschreibt die Aktivierung von MFA in IAM Identity Center RADIUS MFA für Benutzer, die sich beim Access Portal anmelden. AWS RADIUS MFA stellt Benutzer jedoch weiterhin vor Herausforderungen, wenn sie sich bei allen anderen Anwendungen anmelden, die mit arbeitenAWS Directory Service, z. B. Amazon WorkDocs.

Wenn Ihr MFA auf der IAM Identity Center-Konsole deaktiviert ist und Sie RADIUS MFA mit konfiguriert habenAWS Directory Service, regelt AWS RADIUS MFA die Anmeldung am Access Portal. Das bedeutet, dass IAM Identity Center auf die RADIUS-MFA-Konfiguration zurückgreift, wenn MFA deaktiviert ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Multifaktor-Authentifizierung

MFA konfigurieren