Menambahkan MFA ke kumpulan pengguna - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan MFA ke kumpulan pengguna

Autentikasi multi-faktor (MFA) meningkatkan keamanan untuk aplikasi Anda. Ini menambahkan sesuatu yang Anda memiliki faktor otentikasi untuk sesuatu yang Anda tahu faktor nama pengguna dan kata sandi. Anda dapat memilih pesan SMS teks atau kata sandi satu kali berbasis waktu (TOTP) sebagai faktor tambahan untuk masuk ke pengguna Anda.

catatan

Pertama kali pengguna baru masuk ke aplikasi Anda, Amazon Cognito mengeluarkan token OAuth 2.0, meskipun kumpulan pengguna Anda memerlukannya. MFA Faktor otentikasi kedua saat pengguna Anda masuk untuk pertama kalinya adalah konfirmasi mereka atas pesan verifikasi yang dikirimkan Amazon Cognito kepada mereka. Jika kumpulan pengguna Anda memerlukanMFA, Amazon Cognito meminta pengguna Anda untuk mendaftarkan faktor masuk tambahan untuk digunakan selama setiap upaya masuk setelah yang pertama.

Dengan autentikasi adaptif, Anda dapat mengonfigurasi kumpulan pengguna agar memerlukan faktor otentikasi tambahan sebagai respons terhadap tingkat risiko yang meningkat. Untuk menambahkan autentikasi adaptif ke kolam pengguna Anda, lihat Fitur keamanan lanjutan kumpulan pengguna.

Saat Anda mengatur MFA required untuk kumpulan pengguna, semua pengguna harus menyelesaikan MFA untuk masuk. Untuk masuk, setiap pengguna harus menyiapkan setidaknya satu MFA faktor. Ketika Anda mengatur MFA kerequired, Anda harus menyertakan MFA pengaturan dalam orientasi pengguna sehingga kumpulan pengguna Anda mengizinkan mereka untuk masuk.

UI yang dihosting meminta pengguna untuk mengatur MFA saat Anda menyetel MFA agar diperlukan. Bila Anda disetel MFA menjadi opsional di kumpulan pengguna, UI yang dihosting tidak meminta pengguna. Untuk bekerja dengan opsionalMFA, Anda harus membuat antarmuka di aplikasi yang meminta pengguna untuk memilih yang ingin mereka aturMFA, lalu memandu mereka melalui API input untuk memverifikasi faktor masuk tambahan mereka.

Pertimbangan untuk MFA

Sebelum Anda mengaturMFA, pertimbangkan hal berikut:

  • Saat mengaktifkan MFA di kumpulan pengguna dan memilih pesan SMS teks sebagai faktor kedua, Anda dapat mengirim SMS pesan ke atribut nomor telepon yang belum diverifikasi di Amazon Cognito. Setelah pengguna Anda selesai SMSMFA, Amazon Cognito menyetel phone_number_verified atributnya. true

  • Setelah lima upaya yang gagal untuk menyajikan MFA kode, Amazon Cognito memulai proses penguncian batas waktu eksponensial yang dijelaskan di. Alur otentikasi kumpulan pengguna

  • Jika akun Anda berada di SMS kotak pasir di Wilayah AWS yang berisi sumber daya Amazon Simple Notification Service (AmazonSNS) untuk kumpulan pengguna Anda, Anda harus memverifikasi nomor telepon di Amazon SNS sebelum dapat mengirim SMS pesan. Untuk informasi selengkapnya, lihat SMSpengaturan pesan untuk kumpulan pengguna Amazon Cognito.

  • Untuk mengubah MFA status pengguna dalam menanggapi peristiwa yang terdeteksi dengan fitur keamanan lanjutan, aktifkan MFA dan atur sebagai opsional di konsol kumpulan pengguna Amazon Cognito. Untuk informasi selengkapnya, lihat Fitur keamanan lanjutan kumpulan pengguna.

  • Email dan SMS pesan mengharuskan pengguna Anda memiliki atribut alamat email dan nomor telepon masing-masing. Anda dapat mengatur email atau phone_number sebagai atribut yang diperlukan di kumpulan pengguna Anda. Dalam hal ini, pengguna tidak dapat menyelesaikan pendaftaran kecuali mereka memberikan nomor telepon. Jika Anda tidak menetapkan atribut ini seperti yang diperlukan tetapi ingin melakukan email atau SMS pesanMFA, Anda meminta pengguna untuk alamat email atau nomor telepon mereka saat mereka mendaftar. Sebagai praktik terbaik, konfigurasikan kumpulan pengguna Anda untuk mengirim pesan kepada pengguna secara otomatis untuk memverifikasi atribut ini.

    Amazon Cognito menghitung nomor telepon sebagai diverifikasi jika pengguna telah berhasil menerima kode sementara melalui SMS pesan dan mengembalikan kode itu dalam permintaan. VerifyUserAttributeAPI Sebagai alternatif, tim Anda dapat mengatur nomor telepon dan menandainya sebagai diverifikasi dengan aplikasi administratif yang melakukan AdminUpdateUserAttributesAPIpermintaan.

  • Jika Anda telah menetapkan MFA untuk diperlukan dan Anda mengaktifkan lebih dari satu faktor otentikasi, Amazon Cognito meminta pengguna baru untuk memilih faktor MFA yang ingin mereka gunakan. Pengguna harus memiliki nomor telepon untuk mengatur SMS pesanMFA, dan alamat email untuk mengatur pesan emailMFA. Jika pengguna tidak memiliki atribut yang ditentukan untuk berbasis pesan yang tersediaMFA, Amazon Cognito akan meminta mereka untuk mengaturnya. TOTP MFA Permintaan untuk memilih MFA faktor (SELECT_MFA_TYPE) dan untuk mengatur faktor yang dipilih (MFA_SETUP) datang sebagai respons tantangan InitiateAuthdan AdminInitiateAuthAPIoperasi.

MFAPreferensi pengguna

Pengguna dapat mengatur beberapa MFA faktor. Hanya satu yang bisa aktif. Anda dapat memilih MFA preferensi efektif untuk pengguna Anda di pengaturan kumpulan pengguna atau dari permintaan pengguna. Kumpulan pengguna meminta pengguna untuk MFA kode ketika pengaturan kumpulan pengguna dan pengaturan tingkat pengguna mereka sendiri memenuhi ketentuan berikut:

  1. Anda menyetel MFA ke opsional atau wajib di kumpulan pengguna Anda.

  2. Pengguna memiliki phone_number atribut email atau valid, atau telah menyiapkan aplikasi autentikator untukTOTP.

  3. Setidaknya ada satu MFA faktor yang aktif.

  4. Salah satu MFA faktor ditetapkan sebagai pilihan.

Hal-hal yang perlu diketahui tentang MFA preferensi

Konfigurasi kumpulan pengguna Anda memengaruhi MFA metode yang dapat dipilih pengguna. Berikut ini adalah beberapa pengaturan kumpulan pengguna yang memengaruhi kemampuan pengguna untuk menetapkan MFA preferensi:

  • Dalam konfigurasi otentikasi multi-faktor di tab Pengalaman masuk di konsol Amazon Cognito, Anda dapat mengatur MFA ke opsional atau wajib, atau mematikannya. APISetara dengan pengaturan ini adalah MfaConfigurationparameterCreateUserPool,UpdateUserPool, danSetUserPoolMfaConfig.

    Juga dalam konfigurasi otentikasi Multi-faktor, pengaturan MFAmetode menentukan MFA faktor-faktor yang dapat diatur pengguna. APISetara dengan pengaturan ini adalah SetUserPoolMfaConfigoperasi.

    Di tab Pengalaman masuk di bawah Pemulihan akun pengguna, Anda dapat mengonfigurasi cara kumpulan pengguna Anda mengirim pesan ke pengguna yang lupa kata sandi mereka. MFAMetode pilihan pengguna tidak dapat memiliki metode pengiriman yang sama dengan metode pengiriman pesan Pemulihan prioritas tertinggi di kumpulan pengguna Anda. APISetara dengan konfigurasi ini adalah AccountRecoverySettingparameter CreateUserPool danUpdateUserPool.

    Misalnya, pengguna tidak dapat mengatur email MFA sebagai pilihan ketika opsi pemulihan Anda hanya Email atau Email jika tersedia, jika tidak SMS. Ubah metode pengiriman menjadi SMShanya atau SMSjika tersedia, jika tidak, email.

  • Jika Anda menetapkan hanya satu MFA metode yang tersedia, Anda tidak perlu mengelola MFA preferensi pengguna.

  • SMSKonfigurasi aktif secara otomatis membuat SMS pesan menjadi MFA metode yang tersedia di kumpulan pengguna Anda.

    Konfigurasi email aktif dengan SES sumber daya Amazon Anda sendiri di kumpulan pengguna, dan fitur keamanan lanjutan yang aktif, secara otomatis menjadikan pesan email sebagai MFA metode yang tersedia di kumpulan pengguna Anda.

  • Saat Anda menyetel MFA ke required di kumpulan pengguna, pengguna tidak dapat mengaktifkan atau menonaktifkan MFA metode apa pun. Anda hanya dapat mengatur metode yang disukai.

  • Saat Anda menyetel MFA ke opsional di kumpulan pengguna, UI yang dihosting tidak meminta pengguna untuk menyiapkanMFA, tetapi itu meminta pengguna untuk MFA kode ketika mereka memiliki MFA metode yang disukai.

  • Saat Anda mengaktifkan fitur keamanan lanjutan dan mengonfigurasi respons autentikasi adaptif dalam mode fungsi penuh, MFA harus opsional di kumpulan pengguna Anda. Salah satu opsi respons dengan otentikasi adaptif adalah MFA meminta pengguna yang upaya masuknya dievaluasi untuk mengandung tingkat risiko.

    Pengaturan Atribut wajib di tab Pengalaman pendaftaran konsol menentukan apakah pengguna harus memberikan alamat email atau nomor telepon untuk mendaftar di aplikasi Anda. Email dan SMS pesan menjadi MFA faktor yang memenuhi syarat ketika pengguna memiliki atribut yang sesuai. Parameter Skema dari CreateUserPool set atribut seperti yang diperlukan.

  • Saat Anda menyetel MFA ke required di kumpulan pengguna dan pengguna masuk dengan UI yang dihosting, Amazon Cognito meminta mereka untuk memilih MFA metode dari metode yang tersedia untuk kumpulan pengguna Anda. UI yang dihosting menangani pengumpulan alamat email atau nomor telepon dan penyiapanTOTP.

APIoperasi untuk mengkonfigurasi preferensi MFA

Anda dapat mengonfigurasi MFA preferensi untuk pengguna dalam model layanan mandiri dengan otorisasi token akses, atau dalam model yang dikelola administrator dengan operasi administratif. API Operasi ini mengaktifkan atau menonaktifkan MFA metode dan menetapkan salah satu dari beberapa metode sebagai opsi yang disukai. Setelah pengguna Anda menetapkan MFA preferensi, Amazon Cognito meminta mereka saat masuk untuk memberikan kode dari metode pilihan mereka. MFA Pengguna yang belum menetapkan preferensi menerima prompt untuk memilih metode yang disukai dalam suatu SELECT_MFA_TYPE tantangan.

  • Dalam model layanan mandiri pengguna atau aplikasi publik, SetUserMfaPreference, yang diotorisasi dengan token akses pengguna yang masuk, menetapkan konfigurasi. MFA

  • Dalam aplikasi yang dikelola administrator atau rahasia,, yang diberi wewenang dengan AWS kredensi administratif AdminSetUserPreference, menetapkan konfigurasi. MFA

Anda juga dapat mengatur MFA preferensi pengguna dari tab Pengguna di konsol Amazon Cognito. Untuk informasi selengkapnya tentang model otentikasi publik dan rahasia di kumpulan pengguna API Amazon Cognito, lihat. Menggunakan kumpulan pengguna API dan server otorisasi

Mengkonfigurasi kumpulan pengguna untuk otentikasi multi-faktor

Anda dapat mengonfigurasi MFA di konsol Amazon Cognito.

Untuk mengkonfigurasi MFA di konsol Amazon Cognito
  1. Masuk ke konsol Amazon Cognito.

  2. Pilih Kolam Pengguna.

  3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

  4. Pilih tab Pengalaman masuk. Temukan otentikasi Multi-faktor dan pilih Edit

  5. Pilih metode MFApenegakan hukum yang ingin Anda gunakan dengan kumpulan pengguna Anda.

    Beri tahu pengguna
    1. Membutuhkan MFA. Semua pengguna di kumpulan pengguna Anda harus masuk dengan SMS kode tambahan, atau faktor kata sandi satu kali (TOTP) berbasis waktu.

    2. Opsional MFA - Anda dapat memberi pengguna opsi untuk mendaftarkan faktor masuk tambahan namun tetap mengizinkan pengguna yang belum mengonfigurasi MFA untuk masuk. Jika Anda menggunakan otentikasi adaptif, pilih opsi ini. Untuk informasi selengkapnya tentang otentikasi adaptif, lihat. Fitur keamanan lanjutan kumpulan pengguna

    3. Tidak MFA. Pengguna Anda tidak dapat mendaftarkan faktor masuk tambahan.

  6. Pilih MFAmetode yang Anda dukung di aplikasi Anda. Anda dapat mengatur pesan Email, SMSpesan, atau aplikasi Authenticator yang TOTP menghasilkan sebagai faktor kedua.

  7. Jika Anda menggunakan pesan SMS teks sebagai faktor kedua dan Anda belum mengonfigurasi IAM peran untuk digunakan dengan Amazon Simple Notification Service (AmazonSNS) untuk SMS pesan, buat satu di konsol. Di tab Pesan untuk kumpulan pengguna Anda, cari SMSdan pilih Edit. Anda juga dapat menggunakan peran yang ada yang memungkinkan Amazon Cognito mengirim SMS pesan ke pengguna untuk Anda. Untuk informasi selengkapnya, lihat IAMPeran.

  8. Pilih Simpan perubahan.