Utilisation de l'authentification adaptative - Amazon Cognito

Utilisation de l'authentification adaptative

Avec l'authentification adaptative, vous pouvez configurer votre groupe d'utilisateurs pour bloquer les connexions suspectes ou ajouter un deuxième facteur d'authentification en réponse à un niveau de risque accru. Pour chaque tentative de connexion, Amazon Cognito génère un score de risque mesurant la probabilité que la demande de connexion provienne d'une source compromise. Ce score de risque est basé sur de nombreux facteurs, notamment si un nouvel appareil, emplacement d'utilisateur ou l'adresse IP est détecté. L'authentification adaptative ajoute une MFA en fonction du niveau de risque pour les utilisateurs dont le type de MFA n'est pas activé au niveau utilisateur. Quand un type de MFA est activé au niveau utilisateur, ces utilisateurs reçoivent toujours la stimulation du deuxième facteur pendant l'authentification, quelle que soit la façon dont vous avez configuré l'authentification adaptative.

Amazon Cognito publie les tentatives de connexion, leurs niveaux de risque et les stimulations en échec dans Amazon CloudWatch. Pour plus d'informations, consultez Affichage des métriques de sécurité avancée.

Pour ajouter l'authentification adaptative à votre groupe d'utilisateurs, consultez Ajout de la sécurité avancée à un groupe d'utilisateurs.

Présentation de l'authentification adaptative

Sur la page Advanced security (Sécurité avancée) de la console Amazon Cognito, vous pouvez choisir les paramètres pour l'authentification adaptative, notamment les actions à exécuter à différents niveaux de risque et la personnalisation des messages de notification envoyés aux utilisateurs.

Pour chaque niveau de risque, vous pouvez choisir parmi les options suivantes :

Option

Action

Autorisation Les utilisateurs peuvent se connecter sans facteur supplémentaire.
Authentification MFA facultative Les utilisateurs qui disposent d'un second facteur configuré doivent répondre à la demande de vérification du second facteur pour se connecter. Un numéro de téléphone pour SMS et un jeton logiciel TOTP sont les seconds facteurs disponibles. Les utilisateurs sans deuxième facteur configuré peuvent se connecter avec un seul ensemble d'informations d'identification.
Demander l'authentification MFA Les utilisateurs qui disposent d'un second facteur configuré doivent répondre à la demande de vérification du second facteur pour se connecter. Amazon Cognito bloque la connexion des utilisateurs qui ne disposent pas d'un second facteur configuré.
Block Amazon Cognito bloque toutes les tentatives de connexion au niveau de risque désigné.
Note

Vous n'êtes pas tenu de vérifier les numéros de téléphone à utiliser pour l'envoi de SMS comme second facteur d'authentification.

Création d'une empreinte digitale d'appareil

Lorsque vous appelez des opérations d'API d'authentification Amazon Cognito, comme AdminInitiateAuth ou AdminRespondToAuthChallenge à partir de votre serveur, vous devez transmettre l'adresse IP source de l'utilisateur dans le paramètre ContextData. En outre, transmettez le nom de votre serveur, le chemin d'accès du serveur et les données d'empreinte digitale de l'appareil. Collectez et envoyez ces données avec la bibliothèque de collecte de données contextuelles Amazon Cognito.

Pour obtenir des informations sur la façon d'activer la sécurité avancée à partir de votre application web ou mobile, consultez Activation de la sécurité avancée des groupes d'utilisateurs à partir de votre application.

Quand votre appli appelle Amazon Cognito à partir de votre serveur, collectez les données contextuelles utilisateur côté client. Voici un exemple qui utilise la méthode du kit SDK JavaScript getData.

var encodedData = AmazonCognitoAdvancedSecurityData.getData(username, userPoolId, clientId);

Lorsque vous concevez votre application pour utiliser l'authentification adaptative, nous vous recommandons d'intégrer le dernier kit SDK Amazon Cognito dans votre application. La dernière version du kit SDK collecte les informations d'empreinte digitale de l'appareil, telles que l'ID, le modèle et le fuseau horaire de celui-ci. Pour plus d'informations sur les kits SDK Amazon Cognito, consultez Installer un kit SDK de groupe d'utilisateurs.

Affichage de l'historique des événements de l'utilisateur

Note

Dans la nouvelle console Amazon Cognito, vous pouvez afficher l'historique des événements de l'utilisateur dans l'onglet Utilisateurs.

Pour afficher l'historique de connexion d'un utilisateur, vous pouvez choisir l'utilisateur dans la console Amazon Cognito, sous Users and groups (Utilisateurs et groupes). Amazon Cognito conserve l'historique des événements utilisateur pendant deux ans.


            Historique des événements utilisateur

Chaque événement de connexion possède un ID d'événement. L'événement a également des données contextuelles correspondantes, telles que l'emplacement, les détails de l'appareil et les résultats de détection des risques. Vous pouvez interroger l'historique des événements utilisateur avec l'opération d'API Amazon Cognito AdminListUserAuthEvents ou avec l'interface AWS Command Line Interface (AWS CLI) avec admin-list-user-auth-events.

Vous pouvez également corréler l'ID de l'événement avec le jeton émis par Amazon Cognito au moment de l'enregistrement de l'événement. L'ID et les jetons d'accès incluent cet ID d'événement dans leur charge utile. Amazon Cognito établit également une corrélation entre l'utilisation du jeton d'actualisation et l'ID d'événement d'origine. Vous pouvez tracer l'ID d'événement d'origine en remontant jusqu'à l'ID de l'événement de connexion ayant conduit à l'émission des jetons Amazon Cognito. Vous pouvez tracer l'utilisation des jetons au sein de votre système jusqu'à un événement d'authentification particulier.

Fourniture de commentaires sur des événements

Les commentaires sur les événements ont un impact sur l'évaluation des risques en temps réel et améliorent l'algorithme d'évaluation des risques au fil du temps. Vous pouvez formuler des commentaires sur la validité des tentatives de connexion via la console Amazon Cognito et des opérations d'API.

La console répertorie l'historique des connexions dans l'onglet Users and groups (Utilisateurs et groupes). Si vous sélectionnez une entrée, vous pouvez marquer l'événement comme étant valide ou non valide. Vous pouvez également fournir des commentaires via l'opération d'API de groupe d'utilisateurs AdminUpdateAuthEventFeedback et via la commande d'interface AWS CLI admin-update-auth-event-feedback.

Envoi de messages de notification

Avec des protections de sécurité avancées, Amazon Cognito peut avertir les utilisateurs des tentatives de connexion. Amazon Cognito peut également demander aux utilisateurs de sélectionner des liens pour indiquer si la connexion était valide ou non valide. Amazon Cognito utilise ces commentaires pour améliorer la précision de la détection des risques pour votre groupe d'utilisateurs.

Dans la section Comment souhaitez-vous utiliser l'authentification adaptative pour les tentatives de connexion indiquées comme étant à risque faible, moyen et élevé ?, choisissez Notify Users (Avertir les utilisateurs) pour les situations à risque faible, moyen ou élevé.


            Avertir les utilisateurs

Vous pouvez personnaliser les e-mails de notification, et fournir à la fois les versions en texte brut et HTML de ces messages. Choisissez Personnaliser dans Messages de notification d'authentification adaptative pour personnaliser vos courriels de notification. Pour en savoir plus sur les modèles de courriel, consultez Modèles de messages.