Configurazione dell'applicazione dei dispositivi MFA

Utilizzare la procedura seguente per determinare se gli utenti devono disporre di un dispositivo MFA registrato per AWS accedere al portale di accesso.

Per configurare l'applicazione dei dispositivi MFA per i tuoi utenti

1. Apri la console IAM Identity Center.

2. Nel riquadro di navigazione a sinistra scegliere Impostazioni.

3. Nella pagina Impostazioni, scegli la scheda Autenticazione.

4. Nella sezione Autenticazione a più fattori, scegli Configura.

5. Nella pagina Configura l'autenticazione a più fattori, in Se un utente non dispone ancora di un dispositivo MFA registrato, scegli una delle seguenti scelte in base alle tue esigenze aziendali:

   • Richiedi loro di registrare un dispositivo MFA al momento dell'accesso

     Questa è l'impostazione predefinita quando configuri MFA per la prima volta per IAM Identity Center. Utilizza questa opzione quando desideri richiedere agli utenti che non dispongono ancora di un dispositivo MFA registrato di registrare automaticamente un dispositivo durante l'accesso dopo un'autenticazione con password riuscita. Ciò consente di proteggere AWS gli ambienti dell'organizzazione con l'MFA senza dover registrare e distribuire singolarmente i dispositivi di autenticazione agli utenti. Durante l'iscrizione automatica, i tuoi utenti possono registrare qualsiasi dispositivo tra quelli disponibili Tipi di MFA disponibili per IAM Identity Center che hai abilitato in precedenza. Dopo aver completato la registrazione, gli utenti hanno la possibilità di assegnare un nome descrittivo al dispositivo MFA appena registrato, dopodiché IAM Identity Center reindirizza l'utente alla destinazione originale. Se il dispositivo dell'utente viene smarrito o rubato, puoi semplicemente rimuoverlo dal suo account e IAM Identity Center richiederà all'utente di registrare automaticamente un nuovo dispositivo al successivo accesso.

   • Richiedi loro di fornire una password monouso inviata via e-mail per accedere

     Utilizza questa opzione quando desideri che i codici di verifica vengano inviati agli utenti tramite e-mail. Poiché l'e-mail non è associata a un dispositivo specifico, questa opzione non soddisfa i requisiti dell'autenticazione a più fattori standard del settore. Ma migliora la sicurezza rispetto alla sola password. La verifica via e-mail verrà richiesta solo se un utente non ha registrato un dispositivo MFA. Se il metodo di autenticazione sensibile al contesto è stato abilitato, l'utente avrà la possibilità di contrassegnare come attendibile il dispositivo su cui riceve l'e-mail. Successivamente non sarà loro richiesto di verificare un codice e-mail per i futuri accessi da quella combinazione di dispositivo, browser e indirizzo IP.

     Nota

     Se utilizzi Active Directory come fonte di identità abilitata per IAM Identity Center, l'indirizzo e-mail sarà sempre basato sull'attributo Active Directoryemail. Le mappature personalizzate degli attributi di Active Directory non sostituiranno questo comportamento.

   • Blocca il loro accesso

     Usa l'opzione Blocca il loro accesso per imporre l'uso della MFA a tutti gli utenti prima che possano accedere. AWS

     Importante

     Se il metodo di autenticazione è impostato su Context-aware, un utente potrebbe selezionare la casella di controllo Questo è un dispositivo affidabile nella pagina di accesso. In tal caso, all'utente non verrà richiesta l'autenticazione a più fattori anche se hai abilitato l'impostazione Blocca il loro accesso. Se desideri che questi utenti vengano avvisati, modifica il metodo di autenticazione su Always On.

   • Consenti loro di accedere

     Utilizzate questa opzione per indicare che i dispositivi MFA non sono necessari per consentire agli utenti di accedere al portale di AWS accesso. Agli utenti che hanno scelto di registrare i dispositivi MFA verrà comunque richiesta l'MFA.

6. Seleziona Salvataggio delle modifiche.