アダプティブ認証の使用 - Amazon Cognito

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

アダプティブ認証の使用

アダプティブ認証を使用すると、ユーザープールを構成して、疑わしいサインインをブロックしたり、リスクレベルの増加に応じて第2要素認証を追加したりできます。サインインの試行ごとに、Amazon Cognito はサインインリクエストが侵害されたソースからのものである可能性についてリスクスコアを生成します。このリスクスコアは、デバイス、ユーザーまたは IP アドレスが新規かどうかなど、多くの要因に基づきます。Adaptive Authenticationは、ユーザーレベルでMFAタイプが有効になっていないユーザーのリスクレベルに基づいてMFAを追加します。MFA タイプがユーザーレベルで有効になっている場合、アダプティブ認証の設定方法にかかわらず、認証中にこれらのユーザーは必ず 2 番目の要素チャレンジを受信します。

Amazon Cognito は、サインイン試行、リスクレベル、および失敗したチャレンジを Amazon CloudWatch に発行します。詳細については、を参照してください アドバンスドセキュリティのメトリクスの表示

アダプティブ認証をユーザープールに追加するには、「ユーザープールにアドバンスドセキュリティを追加する」を参照してください。

アダプティブ認証の概要

Amazon Cognito コンソールの [アドバンスドセキュリティ] ページで、リスクレベルごとの対応アクションやユーザーへの通知メッセージのカスタマイズなど、アダプティブ認証の設定を選択できます。

リスクレベルごとに、以下のオプションから選択できます。

オプション

アクション

許可 サインイン試行を追加要素なしで許可します。
オプションの MFA SMS用の電話番号*やTOTPソフトウェアトークンなど、2つ目の要素を持つユーザーは、サインインするために2つ目の要素の課題を完了する必要があります。2番目の要素が設定されていないユーザーは、追加要素なしでサインインできます。
MFA が必要 SMS用の電話番号*やTOTPソフトウェアトークンなど、2つ目の要素を持つユーザーは、サインインするために2つ目の要素の課題を完了する必要があります。2番目の要素が設定されていないユーザーは、サインインがブロックされます。
ブロック 該当するリスクレベルのすべてのサインイン試行がブロックされます。
注記

*SMSに第2の認証要素として使用するには、電話番号を確認する必要はありません。

デバイスのフィンガープリントの作成

お電話で Amazon Cognito 認証 APIsなど、 AdminInitiateAuth 又は AdminRespondToAuthChallenge のユーザーのソースIPを ContextData パラメータ。Amazon Cognito コンテキストデータコレクションライブラリを使用して収集したサーバー名、サーバーパス、およびエンコードされたデバイスフィンガープリントデータに加えて渡されます。

ウェブまたはモバイルアプリからアドバンスドセキュリティを有効にする詳細については、「アプリからユーザープールのアドバンスドセキュリティを有効にする」を参照してください。

アプリがサーバーから Amazon Cognito を呼び出すときに、クライアント側からユーザーコンテキストデータを収集します。次の例は、 JavaScript SDK法 getData.

var encodedData = AmazonCognitoAdvancedSecurityData.getData(username, userPoolId, clientId);

は、最新の Amazon CognitoSDK をアプリケーションに組み込むことをお勧めします。これにより、デバイス ID、モデル、およびタイムゾーンなどのデバイスのフィンガープリント情報を収集するためのアダプティブ認証が可能になります。詳細情報については、 Amazon Cognito SDKs、参照 ユーザー プールSDKのインストール.

ユーザーイベント履歴の表示

[ユーザーとグループ] の Amazon Cognito コンソールでユーザーを選択して、そのユーザーのサインイン履歴を表示できます。ユーザーイベント履歴は、Amazon Cognito によって 2 年間保持されます。


            ユーザーイベント履歴

サインインイベントごとに、イベント ID、コンテキストデータ (場所など)、デバイスの詳細、およびリスク検出結果が関連付けられています。


            ユーザーのサインインイベント

イベント ID を、発行されたトークンに関連付けることもできます。ID トークンやアクセストークンなどの発行済みトークンは、このイベント ID をペイロードで保持します。更新トークンを使用しても、元のイベント ID が保持されます。これは、Amazon Cognito トークンの発行につながったサインインイベントのイベント ID まで追跡できます。これにより、システム内のトークンの使用を、特定の認証イベントまで追跡できます。

イベントのフィードバックを提供

イベントのフィードバックは、リアルタイムでリスクの評価に反映され、長期的にリスク評価アルゴリズムの向上に寄与します。サインイン試行の有効性に関するフィードバックは、 Amazon Cognito コンソールと APIs.

コンソールの場合は、[ユーザーとグループ] タブにサインイン履歴が一覧表示されます。エントリをクリックして、イベントを有効または無効としてマークできます。また、ユーザープールAPIメソッドを介してフィードバックを入力することもできます。 AdminUpdateAuthEventFeedback、および AWS CLI コマンド 管理-更新-認証-イベント-フィードバック.

通知メッセージの送信

アドバンスドセキュリティ保護を使用して、Amazon Cognito はサインイン試行をユーザーに通知し、サインインの有効/無効を示すためにリンクをクリックするよう求めます。さらにユーザーのフィードバックを使用して、ユーザープールのリスク検出精度を向上させます。

アダプティブ認証で使用するには [リスクが低、中、高と評価されたサインイン試行で、アダプティブ認証をどのように使用しますか?] セクションで、低、中、高リスクケースに [ユーザーに通知] を選択します。


            ユーザーに通知

通知 E メールをカスタマイズして、プレーンテキストと HTML の両バージョンを提供できます。[アダプティブ認証通知メッセージ] から [カスタマイズ] を選択して、E メール通知をカスタマイズします。E メールテンプレートの詳細については、「メッセージテンプレート」を参照してください。