사용자 풀 디바이스 추적 설정 지정 - Amazon Cognito

사용자 풀 디바이스 추적 설정 지정

보안을 강화하는 방법의 하나로서, 사용자가 로그인한 디바이스를 추적할 수 있습니다. 이 주제에서는 AWS Management Console에서 Amazon Cognito 사용자 풀에 디바이스 추적 기능을 추가하는 방법을 설명합니다.

기억된 디바이스 설정

Amazon Cognito 사용자 풀을 사용하면 Amazon Cognito가 애플리케이션에 액세스하는 데 사용된 디바이스를 기억하도록 하고 이러한 기억된 디바이스를 사용자 풀의 애플리케이션 사용자와 연결하도록 선택할 수 있습니다. 멀티 팩터 인증(MFA)을 설정한 경우, 기억된 디바이스를 사용하여 사용자에게로의 코드 전송을 중지하도록 선택할 수도 있습니다. 디바이스 추적 기능을 사용하려면 USER_SRP_AUTH 인증 흐름을 사용해야 합니다. 기억된 디바이스를 사용하여 MFA를 대체하려면 사용자 풀에 대해서도 MFA를 활성화해야 합니다.

Amazon Cognito 콘솔을 통해 기억된 디바이스 기능을 설정할 때, [항상(Always)], [사용자 옵트인(User Opt-In)] 및 [아니요(No)]라는 세 가지 옵션이 제공됩니다.

참고

새 Amazon Cognito 콘솔을 옵트인한 경우 디바이스 추적 옵션은 [항상(Always)], [사용자 옵트인(User Opt-In)], [기억 안 함(Don't remember)]입니다.

  • 아니요(No)(기본값) - 디바이스가 기억되지 않습니다.

  • 항상(Always) - 애플리케이션 사용자가 사용하는 모든 디바이스가 기억됩니다.

  • 사용자 옵트인(User Opt-In) - 해당 사용자가 해당 디바이스를 기억하도록 선택한 경우에만 사용자의 디바이스가 기억됩니다.

[항상(Always)] 또는 [사용자 옵트인(User Opt-In)]을 선택하면 사용자가 해당 디바이스에서 처음 로그인할 때 디바이스 식별자(키 및 보안 암호)가 각 디바이스에 할당됩니다. 이 키는 디바이스를 식별하는 것 이외의 다른 용도로 사용되지 않지만 서비스에서 추적됩니다.

[항상(Always)]을 선택하면, 사용자가 해당 디바이스에서 로그인할 때마다 Amazon Cognito가 디바이스 식별자(키 및 보안 암호)를 사용하여 사용자 인증 흐름의 일부로 디바이스를 인증합니다.

[사용자 옵트인(User Opt-In)]을 선택하면 애플리케이션 사용자가 선택한 경우에만 디바이스를 기억합니다. 사용자가 새 디바이스에서 로그인하면 추적을 시작하기 위한 요청의 응답에 사용자에게 디바이스를 기억할지를 묻는 메시지를 표시해야 할지 여부가 표시됩니다. 사용자에게 메시지를 표시하려면 사용자 인터페이스를 만들어야 합니다. 사용자가 디바이스를 기억하도록 선택하면 디바이스 상태가 '기억됨(remembered)' 상태로 업데이트됩니다.

AWS 모바일 SDK에는 기억된 디바이스를 보고(ListDevices, GetDevice), 디바이스를 기억하거나 기억되지 않는 상태로 표시하고(UpdateDeviceStatus), 디바이스 추적을 중지(ForgetDevice)하는 추가 API가 있습니다. REST API에는 승격된 권한을 가지며 모든 사용자에 대해 작동하는 이러한 API의 추가 관리자 버전이 있습니다. 해당 API의 API 이름은 AdminListDevices, AdminGetDevice 등입니다. 이들 API는 SDK를 통해 노출되지 않습니다.

기억된 디바이스를 사용하여 멀티 팩터 인증(MFA) 억제

[항상(Always)] 또는 [사용자 옵트인(User Opt-In)]을 선택한 경우, 애플리케이션 사용자의 기억된 디바이스에서 MFA 문제를 제한할 수도 있습니다. 이 기능을 사용하려면 사용자 풀에 대해 MFA를 사용해야 합니다. 자세한 정보는 사용자 풀에 MFA 추가을 참조하십시오.

참고

디바이스 기억 기능이 [항상(Always)]으로 설정되어 있고 [멀티 팩터 인증(MFA) 중에 두 번째 요소를 제한하기 위해 기억된 디바이스를 사용하시겠습니까?(Do you want to use a remembered device to suppress the second factor during multi-factor authentication (MFA)?)]가 [예(Yes)]로 설정되어 있는 경우, 위험 기반 MFA에서 중간/높음 위험에 대한 MFA 설정이 무시됩니다.