Ajout de l'authentification MFA à un groupe d'utilisateurs - Amazon Cognito

Ajout de l'authentification MFA à un groupe d'utilisateurs

L'authentification multifacteur (MFA) renforce la sécurité pour votre application. Elle ajoute un facteur d'authentification correspondant à quelque chose que vous avez au facteur correspondant à quelque chose que vous savez de nom d'utilisateur et de mot de passe. Vous pouvez choisir les SMS ou les mots de passe uniques à durée limitée (TOTP) comme second facteur pour connecter vos utilisateurs.

Note

La première fois qu'un nouvel utilisateur se connecte à votre application, Amazon Cognito émet des jetons OAuth 2.0, même si votre groupe d'utilisateurs nécessite l'authentification MFA. Le deuxième facteur d'authentification, lorsque votre utilisateur se connecte pour la première fois, est sa confirmation du message de vérification qu'Amazon Cognito lui envoie. Si votre groupe d'utilisateurs nécessite l'authentification MFA, Amazon Cognito invite votre utilisateur à enregistrer un facteur de connexion supplémentaire à utiliser lors de chaque tentative de connexion après la première.

Avec l'authentification adaptative, vous pouvez configurer votre groupe d'utilisateurs pour exiger un deuxième facteur d'authentification en réponse à un niveau de risque accru. Pour ajouter l'authentification adaptative à votre groupe d'utilisateurs, consultez Ajout de la sécurité avancée à un groupe d'utilisateurs.

Quand vous définissez l'authentification MFA sur required pour un groupe d'utilisateurs, tous les utilisateurs doivent l'utiliser pour se connecter. Pour se connecter, chaque utilisateur a besoin d'au moins un facteur d'authentification MFA, tel que les SMS ou les mots de passe TOTP. Lorsque vous définissez l'authentification MFA surrequired, vous devez inclure la configuration MFA dans l'intégration des utilisateurs afin que votre groupe d'utilisateurs leur permette de se connecter.

Si vous activez les SMS comme facteur d'authentification MFA, vous pouvez exiger que les utilisateurs fournissent des numéros de téléphone et les vérifient dans le cadre de l'inscription. Si l'authentification MFA est définie sur required et ne prend en charge que les SMS comme facteur, les utilisateurs devront fournir des numéros de téléphone. Les utilisateurs dépourvus de numéro de téléphone ont besoin de votre assistance pour ajouter un numéro de téléphone à leur profil avant de pouvoir se connecter. Vous pouvez utiliser des numéros de téléphone non vérifiés pour la MFA par SMS. Ces numéros recevront un statut vérifié une fois l'authentification MFA réussie.

Si vous avez défini l'authentification MFA sur required et que vous avez activé les SMS et les mots de passe TOTP comme méthodes de vérification prises en charge, Amazon Cognito invite les nouveaux utilisateurs sans numéro de téléphone à configurer l'authentification MFA par TOTP. Si vous avez défini l'authentification MFA sur required et que la seule méthode MFA que vous avez activée est TOTP, Amazon Cognito invite tous les nouveaux utilisateurs à configurer l'authentification MFA par TOTP la deuxième fois qu'ils se connectent. Amazon Cognito génère une invite pour configurer l'authentification MFA par TOTP en réponse aux opérations d'API InitiateAuth et AdminInitiateAuth.

Prérequis

Avant de configurer MFA, prenez en compte les éléments suivants :

  • Dans la console Amazon Cognito héritée, vous pouvez définir l'authentification MFA comme Required (Obligatoire) uniquement lors de la création initiale d'un groupe d'utilisateurs. Basculez vers la nouvelle console ou utilisez l'opération d'API SetUserPoolMfaConfig pour définir l'authentification MFA sur required pour les groupes d'utilisateurs existants.

  • Lorsque vous activez l'authentification MFA dans votre groupe d'utilisateurs et choisissez SMS text message (SMS) comme second facteur, vous pouvez envoyer des SMS à un attribut de numéro de téléphone que vous n'avez pas vérifié dans Amazon Cognito. Une fois que votre utilisateur a terminé l'authentification MFA par SMS, Amazon Cognito définit son attribut phone_number_verified sur true.

  • Si votre compte se trouve dans l'environnement de test (sandbox) SMS dans la Région AWS qui contient les ressources Amazon Simple Notification Service (Amazon SNS) de votre groupe d'utilisateurs, vous devez vérifier les numéros de téléphone dans Amazon SNS avant de pouvoir envoyer un SMS. Pour plus d'informations, consultez Paramètres des SMS pour les groupes d'utilisateurs Amazon Cognito.

  • Les fonctions de sécurité avancées exigent que vous activiez l'authentification MFA et la définissiez comme facultative dans la console du groupe d'utilisateurs Amazon Cognito. Pour plus d'informations, consultez Ajout de la sécurité avancée à un groupe d'utilisateurs.

Configuration de l'authentification multifacteur

Vous pouvez configurer la MFA dans la console Amazon Cognito.

Original console

Pour configurer la MFA dans la console Amazon Cognito.

  1. Dans la barre de navigation de gauche, sélectionnez MFA and verifications (MFA et vérifications).

  2. Choisissez si l'authentification MFA est Off (Désactivée), Optional (Facultative) ou Required (Obligatoire).

    
                    Avertir les utilisateurs
  3. Choisissez Optional (Facultatif) pour activer l'authentification MFA pour un utilisateur spécifique, ou si vous utilisez l'authentification adaptative basée sur le risque. Pour plus d'informations sur l'authentification adaptative, consultez Ajout de la sécurité avancée à un groupe d'utilisateurs.

  4. Choisissez les deuxièmes facteurs à prendre en charge dans votre application. Vos utilisateurs peuvent utiliser SMS text message (SMS) ou Time-based One-time Password (Mot de passe unique basé sur la durée) comme deuxième facteur. Nous vous recommandons d'utiliser le mot de passe TOTP, ce qui permet d'utiliser un SMS comme mécanisme de récupération de mot de passe, plutôt que comme facteur d'authentification.

  5. Si vous utilisez les SMS comme deuxième facteur et que vous n'avez pas de rôle IAM défini avec cette autorisation, vous pouvez en créer un dans la console. Choisissez Create role (Créer un rôle) pour créer un rôle IAM autorisant Amazon Cognito à envoyer des SMS à vos utilisateurs en votre nom. Pour en savoir plus, veuillez consulter Rôles IAM.

  6. Choisissez Enregistrer les modifications.

New console

Pour configurer la MFA dans la console Amazon Cognito.

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d'identification AWS.

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste ou créez un groupe d'utilisateurs.

  4. Choisissez l'onglet Sign-in experience (Expérience de connexion). retrouvez Authentification multifacteur et choisissez Modifier.

  5. Choisissez la méthode MFA enforcement que vous souhaitez utiliser avec votre groupe d'utilisateurs.

    1. Require MFA (Demander l'authentification MFA). Tous les utilisateurs de votre groupe d'utilisateurs doivent se connecter avec un code SMS ou un mot de passe unique à durée limitée (TOTP) supplémentaire.

    2. Optional MFA (Authentification MFA facultative) – Vous pouvez donner à vos utilisateurs la possibilité d'enregistrer un facteur de connexion supplémentaire tout en autorisant la connexion par les utilisateurs qui n'ont pas configuré MFA. Choisissez cette option si vous utilisez l'authentification adaptative. Pour plus d'informations sur l'authentification adaptative, consultez Ajout de la sécurité avancée à un groupe d'utilisateurs.

    3. No MFA (Aucune authentification MFA). Vos utilisateurs ne peuvent pas enregistrer un facteur de connexion supplémentaire.

  6. Choisissez les méthodes MFA que vous allez prendre en charge dans votre application. Vous pouvez définir SMS message (SMS) ou Authenticator apps (Applications d'authentification) avec des mots de passe TOTP comme deuxième facteur. Nous vous recommandons d'implémenter une authentification MFA par mot de passe unique à durée déterminée afin que la récupération de compte puisse utiliser les SMS.

  7. Si vous utilisez les SMS comme deuxième facteur et que vous n'avez pas configuré de rôle IAM à utiliser avec Amazon Simple Notification Service (Amazon SNS) pour les SMS, créez-en un dans la console. Dans l'onglet Messaging (Messagerie) pour votre groupe d'utilisateurs, localisez SMS et choisissez Edit (Modifier). Vous pouvez également utiliser un rôle existant permettant à Amazon Cognito d'envoyer des SMS à vos utilisateurs à votre place. Pour en savoir plus, veuillez consulter Rôles IAM.

  8. Choisissez Enregistrer les modifications.