Ajout de l’authentification MFA à un groupe d’utilisateurs - Amazon Cognito
PrérequisConfiguration de l’authentification multifacteur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajout de l’authentification MFA à un groupe d’utilisateurs

L’authentification multifacteur (MFA) renforce la sécurité pour votre application. Elle ajoute un facteur d’authentification correspondant à quelque chose que vous avez au facteur correspondant à quelque chose que vous savez de nom d’utilisateur et de mot de passe. Vous pouvez choisir les SMS ou les mots de passe uniques à durée limitée (TOTP) comme second facteur pour connecter vos utilisateurs.

Note

La première fois qu’un nouvel utilisateur se connecte à votre application, Amazon Cognito émet des jetons OAuth 2.0, même si votre groupe d’utilisateurs nécessite l’authentification MFA. Le deuxième facteur d’authentification, lorsque votre utilisateur se connecte pour la première fois, est sa confirmation du message de vérification qu’Amazon Cognito lui envoie. Si votre groupe d’utilisateurs nécessite l’authentification MFA, Amazon Cognito invite votre utilisateur à enregistrer un facteur de connexion supplémentaire à utiliser lors de chaque tentative de connexion après la première.

Avec l’authentification adaptative, vous pouvez configurer votre groupe d’utilisateurs pour exiger un deuxième facteur d’authentification en réponse à un niveau de risque accru. Pour ajouter l’authentification adaptative à votre groupe d’utilisateurs, consultez Ajout de la sécurité avancée à un groupe d’utilisateurs.

Quand vous définissez l’authentification MFA sur required pour un groupe d’utilisateurs, tous les utilisateurs doivent l’utiliser pour se connecter. Pour se connecter, chaque utilisateur a besoin d’au moins un facteur d’authentification MFA, tel que les SMS ou les mots de passe TOTP. Lorsque vous définissez l’authentification MFA surrequired, vous devez inclure la configuration MFA dans l’intégration des utilisateurs afin que votre groupe d’utilisateurs leur permette de se connecter.

Si vous activez les SMS comme facteur d’authentification MFA, vous pouvez exiger que les utilisateurs fournissent des numéros de téléphone et les vérifient dans le cadre de l’inscription. Si la MFA est définie sur required et ne prend en charge que les SMS comme facteur, les utilisateurs doivent fournir des numéros de téléphone. Les utilisateurs dépourvus de numéro de téléphone ont besoin de votre assistance pour ajouter un numéro de téléphone à leur profil avant de pouvoir se connecter. Vous pouvez utiliser des numéros de téléphone non vérifiés pour la MFA par SMS. Ces numéros recevront un statut vérifié une fois l’authentification MFA réussie.

Si vous avez rendu obligatoire l’authentification MFA et que vous avez activé les SMS et les mots de passe TOTP comme méthodes de vérification prises en charge, Amazon Cognito invite les nouveaux utilisateurs sans numéro de téléphone à configurer l’authentification MFA par TOTP. Si vous avez rendu obligatoire l’authentification MFA et que la seule méthode MFA que vous avez activée est TOTP, Amazon Cognito invite tous les nouveaux utilisateurs à configurer l’authentification MFA par TOTP la deuxième fois qu’ils se connectent. Amazon Cognito pose le défi de configurer le TOTP MFA en réponse aux InitiateAuthopérations d'API. AdminInitiateAuth

L’interface utilisateur hébergée invite les utilisateurs à configurer l’authentification MFA lorsque vous rendez obligatoire l’authentification MFA. Lorsque vous rendez facultative l’authentification MFA dans votre groupe d’utilisateurs, l’interface utilisateur hébergée n’invite pas les utilisateurs. Pour utiliser une authentification MFA facultative, vous devez créer une interface dans votre application qui invite vos utilisateurs à choisir de configurer l’authentification MFA, puis qui les guide via les entrées d’API pour vérifier leur facteur de connexion supplémentaire.

Après cinq tentatives infructueuses de présentation d’un code MFA, Amazon Cognito lance le processus de verrouillage par temporisation exponentielle décrit dans le Flux d'authentification de groupe d'utilisateurs.

Rubriques

Prérequis

Avant de configurer MFA, prenez en compte les éléments suivants :

  • Lorsque vous activez l’authentification MFA dans votre groupe d’utilisateurs et choisissez SMS text message (SMS) comme second facteur, vous pouvez envoyer des SMS à un attribut de numéro de téléphone que vous n’avez pas vérifié dans Amazon Cognito. Une fois que votre utilisateur a terminé l’authentification MFA par SMS, Amazon Cognito définit son attribut phone_number_verified sur true.

  • Si votre compte se trouve dans l’environnement de test (sandbox) SMS dans la Région AWS qui contient les ressources Amazon Simple Notification Service (Amazon SNS) de votre groupe d’utilisateurs, vous devez vérifier les numéros de téléphone dans Amazon SNS avant de pouvoir envoyer un SMS. Pour en savoir plus, consultez Paramètres des SMS pour les groupes d'utilisateurs Amazon Cognito.

  • Les fonctions de sécurité avancées exigent que vous activiez l’authentification MFA et la définissiez comme facultative dans la console du groupe d’utilisateurs Amazon Cognito. Pour plus d’informations, consultez Ajout de la sécurité avancée à un groupe d’utilisateurs.

Configuration de l’authentification multifacteur

Vous pouvez configurer la MFA dans la console Amazon Cognito.

Pour configurer l’authentification MFA dans la console Amazon Cognito.

  1. Connectez-vous à la console Amazon Cognito.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l’onglet Sign-in experience (Expérience de connexion). retrouvez Authentification multifacteur et choisissez Modifier.

  5. Choisissez la méthode MFA enforcement que vous souhaitez utiliser avec votre groupe d’utilisateurs.

    Avertir les utilisateurs

    1. Require MFA (Demander l’authentification MFA). Tous les utilisateurs de votre groupe d’utilisateurs doivent se connecter avec un code SMS ou un mot de passe unique à durée limitée (TOTP) supplémentaire.

    2. Optional MFA (Authentification MFA facultative) – Vous pouvez donner à vos utilisateurs la possibilité d’enregistrer un facteur de connexion supplémentaire tout en autorisant la connexion par les utilisateurs qui n’ont pas configuré MFA. Choisissez cette option si vous utilisez l’authentification adaptative. Pour plus d’informations sur l’authentification adaptative, consultez Ajout de la sécurité avancée à un groupe d’utilisateurs.

    3. No MFA (Aucune authentification MFA). Vos utilisateurs ne peuvent pas enregistrer un facteur de connexion supplémentaire.

  6. Choisissez les méthodes MFA que vous allez prendre en charge dans votre application. Vous pouvez définir SMS message (SMS) ou Authenticator apps (Applications d’authentification) avec des mots de passe TOTP comme deuxième facteur. Nous vous recommandons d’implémenter une authentification MFA par mot de passe unique à durée déterminée afin que la récupération de compte puisse utiliser les SMS.

  7. Si vous utilisez les SMS comme deuxième facteur et que vous n’avez pas configuré de rôle IAM à utiliser avec Amazon Simple Notification Service (Amazon SNS) pour les SMS, créez-en un dans la console. Dans l’onglet Messaging (Messagerie) pour votre groupe d’utilisateurs, localisez SMS et choisissez Edit (Modifier). Vous pouvez également utiliser un rôle existant permettant à Amazon Cognito d’envoyer des SMS à vos utilisateurs à votre place. Pour en savoir plus, consultez Rôles IAM.

  8. Sélectionnez Enregistrer les modifications.