Menambahkan MFA ke kumpulan pengguna

Autentikasi multi-faktor (MFA) meningkatkan keamanan untuk aplikasi Anda. Ini menambahkan sesuatu yang Anda memiliki faktor otentikasi untuk sesuatu yang Anda tahu faktor nama pengguna dan kata sandi. Anda dapat memilih pesan teks SMS atau kata sandi satu kali berbasis waktu (TOTP) sebagai faktor kedua untuk masuk ke pengguna Anda.

catatan

Pertama kali pengguna baru masuk ke aplikasi Anda, Amazon Cognito mengeluarkan token OAuth 2.0, meskipun kumpulan pengguna Anda memerlukan MFA. Faktor otentikasi kedua saat pengguna Anda masuk untuk pertama kalinya adalah konfirmasi mereka atas pesan verifikasi yang dikirimkan Amazon Cognito kepada mereka. Jika kumpulan pengguna Anda memerlukan MFA, Amazon Cognito meminta pengguna Anda untuk mendaftarkan faktor masuk tambahan untuk digunakan selama setiap upaya masuk setelah yang pertama.

Dengan autentikasi adaptif, Anda dapat mengonfigurasi kolam pengguna Anda untuk memerlukan autentikasi faktor kedua dalam menanggapi tingkat risiko meningkat. Untuk menambahkan autentikasi adaptif ke kolam pengguna Anda, lihat Menambahkan keamanan tingkat lanjut ke kumpulan pengguna.

Saat Anda mengatur MFA required untuk kumpulan pengguna, semua pengguna harus menyelesaikan MFA untuk masuk. Untuk masuk, setiap pengguna harus mengatur setidaknya satu faktor MFA, seperti SMS atau TOTP. Ketika Anda mengatur MFA kerequired, Anda harus menyertakan pengaturan MFA dalam orientasi pengguna sehingga kumpulan pengguna Anda mengizinkan mereka untuk masuk.

Jika Anda mengaktifkan SMS sebagai faktor MFA, Anda dapat meminta pengguna memberikan nomor telepon dan meminta pengguna Anda memverifikasi mereka saat mendaftar. Jika Anda telah menetapkan MFA ke required dan hanya mendukung SMS sebagai faktor, pengguna harus memberikan nomor telepon. Pengguna tanpa nomor telepon memerlukan dukungan Anda untuk menambahkan nomor telepon ke profil mereka sebelum mereka dapat masuk. Anda dapat menggunakan nomor telepon yang belum diverifikasi untuk SMS MFA. Angka-angka ini akan menerima status terverifikasi setelah MFA berhasil.

Jika Anda telah menetapkan MFA agar diperlukan dan Anda mengaktifkan SMS dan TOTP sebagai metode verifikasi yang didukung, Amazon Cognito meminta pengguna baru tanpa nomor telepon untuk mengatur TOTP MFA. Jika Anda telah menyetel MFA agar diperlukan dan satu-satunya metode MFA yang Anda aktifkan adalah TOTP, Amazon Cognito meminta semua pengguna baru untuk mengatur TOTP MFA saat kedua kalinya mereka masuk. Amazon Cognito menghasilkan tantangan untuk menyiapkan TOTP MFA sebagai respons terhadap dan operasi API. InitiateAuthAdminInitiateAuth

UI yang dihosting meminta pengguna untuk mengatur MFA saat Anda mengatur MFA agar diperlukan. Saat Anda menyetel MFA menjadi opsional di kumpulan pengguna, UI yang dihosting tidak meminta pengguna. Untuk bekerja dengan MFA opsional, Anda harus membuat antarmuka di aplikasi yang meminta pengguna untuk memilih apakah mereka ingin menyiapkan MFA, lalu memandu mereka melalui input API untuk memverifikasi faktor masuk tambahan mereka.

Setelah lima upaya gagal untuk menyajikan kode MFA, Amazon Cognito memulai proses penguncian batas waktu eksponensial yang dijelaskan di. Alur otentikasi kumpulan pengguna

Topik

• Prasyarat
• Mengkonfigurasi otentikasi multi-faktor
• SMS pesan teks MFA
• Token perangkat lunak TOTP MFA

Prasyarat

Sebelum Anda mengatur MFA, pertimbangkan hal berikut:

• Saat Anda mengaktifkan MFA di kumpulan pengguna dan memilih pesan teks SMS sebagai faktor kedua, Anda dapat mengirim pesan SMS ke atribut nomor telepon yang belum Anda verifikasi di Amazon Cognito. Setelah pengguna Anda menyelesaikan SMS MFA, Amazon Cognito menyetel atributnya. phone_number_verified true

• Jika akun Anda berada di kotak pasir SMS di Wilayah AWS yang berisi sumber daya Amazon Simple Notification Service (Amazon SNS) untuk kumpulan pengguna Anda, Anda harus memverifikasi nomor telepon di Amazon SNS sebelum dapat mengirim pesan SMS. Untuk informasi selengkapnya, lihat Pengaturan pesan SMS untuk kolam pengguna Amazon Cognito.

• Fitur keamanan tingkat lanjut mengharuskan Anda mengaktifkan MFA dan mengaturnya sebagai opsional di konsol kumpulan pengguna Amazon Cognito. Untuk informasi selengkapnya, lihat Menambahkan keamanan tingkat lanjut ke kumpulan pengguna.

Mengkonfigurasi otentikasi multi-faktor

Anda dapat mengonfigurasi MFA di konsol Amazon Cognito.

Untuk mengonfigurasi MFA di konsol Amazon Cognito

1. Masuk ke konsol Amazon Cognito.

2. Pilih Kolam Pengguna.

3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

4. Pilih tab Pengalaman masuk. Temukan otentikasi Multi-faktor dan pilih Edit

5. Pilih metode penegakan MFA yang ingin Anda gunakan dengan kumpulan pengguna Anda.

   

   1. Membutuhkan MFA. Semua pengguna di kumpulan pengguna Anda harus masuk dengan kode SMS tambahan atau faktor kata sandi satu kali berbasis waktu (TOTP).

   2. MFA opsional - Anda dapat memberi pengguna Anda opsi untuk mendaftarkan faktor masuk tambahan tetapi masih mengizinkan pengguna yang belum mengonfigurasi MFA untuk masuk. Jika Anda menggunakan otentikasi adaptif, pilih opsi ini. Untuk informasi selengkapnya tentang otentikasi adaptif, lihat. Menambahkan keamanan tingkat lanjut ke kumpulan pengguna

   3. Tidak ada MFA. Pengguna Anda tidak dapat mendaftarkan faktor masuk tambahan.

6. Pilih metode MFA yang Anda dukung di aplikasi Anda. Anda dapat mengatur pesan SMS atau aplikasi Authenticator yang menghasilkan total sebagai faktor kedua. Kami menyarankan Anda menerapkan MFA berbasis TOTP sehingga pemulihan akun dapat menggunakan pesan SMS.

7. Jika Anda menggunakan pesan teks SMS sebagai faktor kedua dan Anda belum mengonfigurasi peran IAM untuk digunakan dengan Amazon Simple Notification Service (Amazon SNS) untuk pesan SMS, buat satu di konsol. Di tab Pesan untuk kumpulan pengguna Anda, cari SMS dan pilih Edit. Anda juga dapat menggunakan peran yang ada yang memungkinkan Amazon Cognito mengirim pesan SMS ke pengguna untuk Anda. Untuk informasi lebih lanjut, lihat Peran IAM.

8. Pilih Simpan perubahan.