SMSet message électronique MFA

SMSet MFA les e-mails confirment que les utilisateurs ont accès à une destination de message avant de pouvoir se connecter. Ils confirment qu'ils ont accès non seulement à un mot de passe, mais aussi aux SMS messages ou à la boîte de réception de l'utilisateur d'origine. Amazon Cognito demande aux utilisateurs de fournir un code court envoyé par votre groupe d'utilisateurs une fois qu'ils ont correctement fourni un nom d'utilisateur et un mot de passe.

SMSet les messages électroniques ne MFA nécessitent aucune configuration supplémentaire une fois que votre utilisateur a ajouté une adresse e-mail ou un numéro de téléphone à son profil. Amazon Cognito peut envoyer des messages à des adresses e-mail et à des numéros de téléphone non vérifiés. Lorsqu'un utilisateur termine son premier testMFA, Amazon Cognito marque son adresse e-mail ou son numéro de téléphone comme vérifié.

MFAl'authentification commence lorsqu'un utilisateur MFA saisit son nom d'utilisateur et son mot de passe dans votre application. Votre application soumet ces paramètres initiaux dans une SDK méthode qui invoque une AdminInitiateAuthAPIdemande InitiateAuthor. Le ChallengeParameters contenu de la API réponse inclut une CODE_DELIVERY_DESTINATION valeur qui indique où le code d'autorisation a été envoyé. Dans votre application, affichez un formulaire qui invite l'utilisateur à vérifier son téléphone et qui inclut un élément de saisie pour le code. Lorsqu'ils saisissent leur code, soumettez-le dans une API demande de défi-réponse pour terminer le processus de connexion.

Une fois qu'un utilisateur s'MFAest connecté avec son nom d'utilisateur et son mot de passe dans l'interface utilisateur hébergée, il est automatiquement invité à saisir le MFA code.

Les groupes d'utilisateurs envoient SMS des messages MFA et d'autres notifications Amazon Cognito avec les ressources Amazon Simple Notification Service SNS (Amazon) présentes dans votre. Compte AWS De même, les groupes d'utilisateurs envoient des e-mails avec les ressources Amazon Simple Email Service (AmazonSES) de votre compte. Ces services connexes entraînent leurs propres frais sur votre AWS facture pour la livraison des messages. Ils ont également des exigences supplémentaires pour l'envoi de messages aux volumes de production. Consultez les liens suivants pour plus d'informations :

• SMSparamètres des messages pour les groupes d'utilisateurs Amazon Cognito

• SMSTarification mondiale

• Paramètres d'e-mail pour les groupes d'utilisateurs Amazon Cognito

• SESTarifs Amazon

Considérations relatives SMS à un message électronique MFA

• Pour permettre aux utilisateurs de se connecter par e-mailMFA, votre groupe d'utilisateurs doit disposer des options de configuration suivantes :

  1. Les fonctionnalités de sécurité avancées sont actives. Pour de plus amples informations, veuillez consulter Fonctionnalités de sécurité avancées du pool d'utilisateurs.

  2. Votre groupe d'utilisateurs envoie des e-mails avec vos propres SES ressources Amazon. Pour de plus amples informations, veuillez consulter Configuration de la SES messagerie Amazon.

• Le MFA code est valide pendant la durée de session du flux d'authentification que vous avez définie pour votre client d'application.

  Définissez la durée d’une session de flux d’authentification dans la console Amazon Cognito à partir de l’onglet App integration (Intégration d’applications) lorsque vous modifiez votre client d’application sous App clients and analytics (Clients d’application et analyses). Vous pouvez également définir la durée de session du flux d'authentification dans une UpdateUserPoolClient API demande CreateUserPoolClient or. Pour de plus amples informations, veuillez consulter Flux d'authentification de groupe d'utilisateurs.

• Lorsqu'un utilisateur fournit avec succès un code provenant d'un message SMS ou d'un e-mail envoyé par Amazon Cognito à un numéro de téléphone ou à une adresse e-mail non vérifiés, Amazon Cognito marque l'attribut correspondant comme vérifié.

• Un utilisateur ne peut pas utiliser son jeton d'accès pour modifier la valeur d'un numéro de téléphone ou d'une adresse e-mail associés àMFA. Votre équipe doit modifier ces valeurs avec les AWS informations d'identification d'administrateur dans les AdminUpdateUserAttributesAPIdemandes.

• Pour qu'un utilisateur puisse modifier en libre-service la valeur d'un numéro de téléphone ou d'une adresse e-mail qui lui est associéMFA, il doit se connecter et autoriser la demande à l'aide d'un jeton d'accès. S'ils ne peuvent pas accéder à leur numéro de téléphone ou à leur adresse e-mail actuels, ils ne peuvent pas se connecter. Votre équipe doit modifier ces valeurs avec les AWS informations d'identification d'administrateur dans les AdminUpdateUserAttributesAPIdemandes.

• Une fois la configuration SMS effectuée dans votre groupe d'utilisateurs, vous ne pouvez pas désactiver SMS les messages en tant que MFA facteur disponible.