Authentificateurs FIDO2 Applications d'authentification virtuelle RAYON MFA

Types de MFA disponibles pour IAM Identity Center

L'authentification multifactorielle (MFA) est un mécanisme simple et efficace pour renforcer la sécurité de vos utilisateurs. Le premier facteur d'un utilisateur, son mot de passe, est un secret qu'il mémorise, également appelé facteur de connaissance. Les autres facteurs peuvent être des facteurs liés à la possession (quelque chose que vous possédez, comme une clé de sécurité) ou des facteurs inhérents (quelque chose que vous êtes, comme un scan biométrique). Nous vous recommandons vivement de configurer le MFA pour ajouter un niveau de sécurité supplémentaire à votre compte.

Le MFA IAM Identity Center prend en charge les types d'appareils suivants. Tous les types de MFA sont pris en charge à la fois pour l'accès à la console via un navigateur et pour l'utilisation de la AWS CLI version v2 avec IAM Identity Center.

Authentificateurs FIDO2, y compris les authentificateurs intégrés et les clés de sécurité
Applications d'authentification virtuelle
Votre propre RAYON MFA implémentation connectée via AWS Managed Microsoft AD

Un utilisateur peut avoir jusqu'à huit appareils MFA, dont deux applications d'authentification virtuelle et six authentificateurs FIDO, enregistrés sur un seul compte. Vous pouvez également configurer les paramètres d'activation de l'authentification multifacteur pour exiger l'authentification multifacteur chaque fois que vos utilisateurs se connectent ou pour activer les appareils fiables qui ne nécessitent pas l'authentification multifacteur à chaque connexion. Pour plus d'informations sur la configuration des types MFA pour vos utilisateurs, consultez Choisissez les types de MFA et. Configurer l'application des dispositifs MFA

Authentificateurs FIDO2

FIDO2 est une norme qui inclut le CTAP2 WebAuthnet qui est basée sur la cryptographie à clé publique. Les informations d'identification FIDO résistent au hameçonnage car elles sont uniques au site Web sur lequel elles ont été créées, par exemple. AWS

AWSprend en charge les deux formats les plus courants pour les authentificateurs FIDO : les authentificateurs intégrés et les clés de sécurité. Voir ci-dessous pour plus d'informations sur les types les plus courants d'authentificateurs FIDO.

Rubriques

Authentificateurs intégrés
Clés de sécurité
Gestionnaires de mots de passe, fournisseurs de clés d'accès et autres authentificateurs FIDO

Authentificateurs intégrés

De nombreux ordinateurs et téléphones portables modernes sont dotés d'authentificateurs intégrés, tels que TouchID sur Macbook ou un appareil photo compatible avec Windows Hello. Si votre appareil est doté d'un authentificateur intégré compatible avec Fido, vous pouvez utiliser votre empreinte digitale, votre visage ou le code PIN de votre appareil comme deuxième facteur.

Clés de sécurité

Les clés de sécurité sont des authentificateurs matériels externes compatibles avec FIDO que vous pouvez acheter et connecter à votre appareil via USB, BLE ou NFC. Lorsque le MFA vous est demandé, il vous suffit de faire un geste avec le capteur de la touche. Parmi les clés de sécurité, citons les clés feitiennes, YubiKeys et les clés de sécurité les plus courantes créent des informations d'identification FIDO liées à l'appareil. Pour une liste de toutes les clés de sécurité certifiées FIDO, consultez la section Produits certifiés FIDO.

Gestionnaires de mots de passe, fournisseurs de clés d'accès et autres authentificateurs FIDO

Plusieurs fournisseurs tiers prennent en charge l'authentification FIDO dans les applications mobiles, sous forme de fonctionnalités dans les gestionnaires de mots de passe, les cartes à puce dotées d'un mode FIDO et d'autres formats. Ces appareils compatibles avec FIDO peuvent fonctionner avec IAM Identity Center, mais nous vous recommandons de tester vous-même un authentificateur FIDO avant d'activer cette option pour le MFA.

Note

Certains authentificateurs FIDO peuvent créer des informations d'identification FIDO détectables appelées clés d'accès. Les clés d'accès peuvent être liées à l'appareil qui les a créées, ou elles peuvent être synchronisées et sauvegardées dans un cloud. Par exemple, vous pouvez enregistrer une clé d'accès à l'aide d'Apple Touch ID sur un Macbook compatible, puis vous connecter à un site depuis un ordinateur portable Windows à l'aide de Google Chrome avec votre clé d'accès dans iCloud en suivant les instructions qui s'affichent à l'écran lors de la connexion. Pour plus d'informations sur les appareils compatibles avec les clés d'accès synchronisées et sur l'interopérabilité actuelle des clés d'accès entre les systèmes d'exploitation et les navigateurs, consultez la section Support des appareils sur passkeys.dev, une ressource gérée par l'Alliance FIDO et le World Wide Web Consortium (W3C).

Applications d'authentification virtuelle

Les applications d'authentification sont essentiellement des authentificateurs tiers basés sur un mot de passe à usage unique (OTP). Vous pouvez utiliser une application d'authentification installée sur votre appareil mobile ou votre tablette en tant qu'appareil MFA autorisé. L'application d'authentification tierce doit être conforme à la RFC 6238, qui est un algorithme de mot de passe à usage unique (TOTP) basé sur des normes et basé sur le temps capable de générer des codes d'authentification à six chiffres.

Lorsqu'ils sont invités à saisir le MFA, les utilisateurs doivent saisir un code valide provenant de leur application d'authentification dans la zone de saisie présentée. Chaque dispositif MFA attribué à un utilisateur doit être unique. Deux applications d'authentification peuvent être enregistrées pour un utilisateur donné.

Applications d'authentification testées

Toute application conforme au TOTP fonctionnera avec le MFA d'IAM Identity Center. Le tableau suivant répertorie les applications d'authentification tierces les plus connues parmi lesquelles choisir.

Système d’exploitation	Application d'authentification testée
Android	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS	Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RAYON MFA

Le Remote Authentication Dial-In User Service (RADIUS) est un protocole client-serveur standard qui assure l'authentification, l'autorisation et la gestion de la comptabilité afin que les utilisateurs puissent se connecter aux services réseau. AWS Directory Serviceinclut un client RADIUS qui se connecte au serveur RADIUS sur lequel vous avez implémenté votre solution MFA. Pour plus d'informations, voir Activer l'authentification multifactorielle pour AWS Managed Microsoft AD.

Vous pouvez utiliser RADIUS MFA ou MFA dans IAM Identity Center pour les connexions des utilisateurs au portail utilisateur, mais pas les deux. La MFA dans IAM Identity Center est une alternative à la MFA RADIUS dans les cas où vous souhaitez une authentification AWS native à deux facteurs pour accéder au portail.

Lorsque vous activez l'authentification multifacteur dans IAM Identity Center, vos utilisateurs ont besoin d'un appareil MFA pour se connecter au portail d'accès. AWS Si vous avez déjà utilisé RADIUS MFA, l'activation de la MFA dans IAM Identity Center remplace efficacement la MFA RADIUS pour les utilisateurs qui se connectent au portail d'accès. AWS Cependant, le MFA RADIUS continue de poser des problèmes aux utilisateurs lorsqu'ils se connectent à toutes les autres applications compatiblesAWS Directory Service, telles qu'Amazon. WorkDocs

Si votre MFA est désactivé sur la console IAM Identity Center et que vous avez configuré RADIUS MFA avec, AWS Directory Service RADIUS MFA régit la connexion au portail d'accès. AWS Cela signifie qu'IAM Identity Center revient à la configuration RADIUS MFA si la MFA est désactivée.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentification multifacteur

Configuration de la MFA