SMSy mensaje de correo electrónico MFA

SMSy MFA los mensajes de correo electrónico confirman que los usuarios tienen acceso al destino del mensaje antes de poder iniciar sesión. Confirman que no solo tienen acceso a una contraseña, sino también a los SMS mensajes o a la bandeja de entrada del usuario original. Amazon Cognito solicita a los usuarios que proporcionen un código corto que su grupo de usuarios les envíe después de que hayan proporcionado correctamente un nombre de usuario y una contraseña.

SMSy un mensaje de correo electrónico no MFA requieren ninguna configuración adicional después de que el usuario añada una dirección de correo electrónico o un número de teléfono a su perfil. Amazon Cognito puede enviar mensajes a direcciones de correo electrónico y números de teléfono no verificados. Cuando un usuario completa la primeraMFA, Amazon Cognito marca su dirección de correo electrónico o número de teléfono como verificados.

MFAla autenticación comienza cuando un usuario MFA introduce su nombre de usuario y contraseña en la aplicación. La aplicación envía estos parámetros iniciales en un SDK método que invoca una solicitud InitiateAuthor AdminInitiateAuthAPI. ChallengeParametersEn la API respuesta, se incluye un CODE_DELIVERY_DESTINATION valor que indica a dónde se envió el código de autorización. En la aplicación, muestre un formulario que pida al usuario que compruebe su teléfono e incluya un elemento de entrada para el código. Cuando introduzca su código, envíelo en una API solicitud de impugnación y respuesta para completar el proceso de inicio de sesión.

Cuando un usuario MFA inicia sesión con su nombre de usuario y contraseña en la interfaz de usuario alojada, se le solicita automáticamente el código. MFA

Los grupos de usuarios envían SMS mensajes MFA y otras notificaciones de Amazon Cognito con los recursos de Amazon Simple Notification Service SNS (Amazon) en su cuenta. Cuenta de AWS Del mismo modo, los grupos de usuarios envían mensajes de correo electrónico con los recursos de Amazon Simple Email Service (AmazonSES) de su cuenta. Estos servicios vinculados incurren en sus propios costes en la AWS factura de envío de mensajes. También tienen requisitos adicionales para el envío de mensajes en volúmenes de producción. Consulte los siguientes enlaces para obtener más información:

• SMSconfiguración de mensajes para grupos de usuarios de Amazon Cognito

• SMSPrecios en todo el mundo

• Configuración de correo electrónico para grupos de usuarios de Amazon Cognito

• SESPrecios de Amazon

Consideraciones para un SMS mensaje de correo electrónico MFA

• Para permitir que los usuarios inicien sesión con el correo electrónicoMFA, el grupo de usuarios debe tener las siguientes opciones de configuración:

  1. Las funciones de seguridad avanzadas están activas. Para obtener más información, consulte Grupo de usuarios: funciones de seguridad avanzadas.

  2. Tu grupo de usuarios envía mensajes de correo electrónico con tus propios SES recursos de Amazon. Para obtener más información, consulte Configuración de SES correo electrónico de Amazon.

• El MFA código es válido durante la duración de la sesión del flujo de autenticación que haya establecido para el cliente de la aplicación.

  Defina la duración de una sesión de flujo de autenticación en la consola de Amazon Cognito en la pestaña App integration (Integración de aplicaciones), cuando modifique el cliente de su aplicación en App clients and analytics (Clientes de aplicaciones y análisis). También puedes establecer la duración de la sesión del flujo de autenticación en una UpdateUserPoolClient API solicitud CreateUserPoolClient o. Para obtener más información, consulte Flujo de autenticación de los grupos de usuarios.

• Cuando un usuario proporciona correctamente un código de un mensaje de correo electrónico SMS o de un número de teléfono que Amazon Cognito ha enviado a un número de teléfono o dirección de correo electrónico no verificados, Amazon Cognito marca el atributo correspondiente como verificado.

• Un usuario no puede usar su token de acceso para cambiar el valor del número de teléfono o la dirección de correo electrónico a los que está asociado. MFA Tu equipo debe cambiar estos valores con AWS las credenciales de administrador en AdminUpdateUserAttributesAPIlas solicitudes.

• Para que un usuario pueda realizar un cambio de autoservicio en el valor del número de teléfono o la dirección de correo electrónico a la que está asociadoMFA, debe iniciar sesión y autorizar la solicitud con un token de acceso. Si no puede acceder a su número de teléfono o dirección de correo electrónico actuales, no podrá iniciar sesión. Tu equipo debe cambiar estos valores con AWS las credenciales de administrador en AdminUpdateUserAttributesAPIlas solicitudes.

• Después de SMSconfigurarlos en tu grupo de usuarios, no podrás deshabilitar SMS los mensajes como MFA factor disponible.