SMS 및 이메일 메시지 MFA - Amazon Cognito
SMS 및 이메일 메시지에 대한 고려 사항 MFA

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SMS 및 이메일 메시지 MFA

SMS 및 이메일 MFA 메시지는 사용자가 로그인하기 전에 메시지 대상에 액세스할 수 있는지 확인합니다. 암호뿐만 아니라 원래 사용자의 SMS 메시지 또는 이메일 받은 편지함에도 액세스할 수 있는지 확인합니다. Amazon Cognito는 사용자가 사용자 이름과 암호를 성공적으로 제공한 후 사용자 풀이 보낸 짧은 코드를 제공하도록 요청합니다.

SMS 및 이메일 메시지는 사용자가 프로필에 이메일 주소 또는 전화번호를 추가한 후 추가 구성이 MFA 필요하지 않습니다. Amazon Cognito는 확인되지 않은 이메일 주소와 전화번호로 메시지를 보낼 수 있습니다. 사용자가 첫 번째 를 완료하면 MFA Amazon Cognito는 이메일 주소 또는 전화번호를 확인된 것으로 표시합니다.

MFA 인증은 가 있는 사용자가 애플리케이션에 사용자 이름과 암호를 MFA 입력할 때 시작됩니다. 애플리케이션은 InitiateAuth 또는 AdminInitiateAuth API 요청을 호출하는 SDK 메서드에 이러한 초기 파라미터를 제출합니다. API 응답ChallengeParameters의 에는 인증 코드가 전송된 위치를 나타내는 CODE_DELIVERY_DESTINATION 값이 포함됩니다. 애플리케이션에서 사용자에게 휴대폰을 확인하라는 메시지를 표시하고 코드에 대한 입력 요소를 포함합니다. 코드를 입력하면 챌린지 응답 API 요청에 제출하여 로그인 프로세스를 완료합니다.

호스팅 UI 에서 사용자 이름과 암호로 MFA 로그인한 사용자는 MFA 코드를 자동으로 입력하라는 메시지가 표시됩니다.

사용자 풀은 의 Amazon Simple Notification Service(Amazon SNS) 리소스를 사용하여 MFA 및 기타 Amazon Cognito 알림에 대한 SMS 메시지를 전송합니다 AWS 계정. Amazon Cognito 마찬가지로 사용자 풀은 계정의 Amazon Simple Email Service(Amazon SES) 리소스와 함께 이메일 메시지를 전송합니다. 이러한 연결된 서비스는 메시지 전송에 대한 AWS 청구서에 자체 비용이 발생합니다. 또한 프로덕션 볼륨에서 메시지를 보내기 위한 추가 요구 사항도 있습니다. 자세한 내용은 다음 링크를 참조하세요.

SMS 및 이메일 메시지에 대한 고려 사항 MFA

  • 사용자가 이메일 로 로그인하도록 허용하려면 MFA사용자 풀에 다음 구성 옵션이 있어야 합니다.

    1. 고급 보안 기능이 활성화되어 있습니다. 자세한 내용은 사용자 풀 고급 보안 기능 단원을 참조하십시오.

    2. 사용자 풀은 자체 Amazon SES 리소스와 함께 이메일 메시지를 전송합니다. 자세한 내용은 Amazon SES 이메일 구성 단원을 참조하십시오.

  • MFA 코드는 앱 클라이언트에 대해 설정한 인증 흐름 세션 기간에 유효합니다.

    App clients and analytics(앱 클라이언트 및 분석)에서 앱 클라이언트를 수정할 때 App integration(앱 통합) 탭의 Amazon Cognito 콘솔에서 인증 흐름 세션의 기간을 설정합니다. CreateUserPoolClient 또는 UpdateUserPoolClient API 요청에서 인증 흐름 세션 기간을 설정할 수도 있습니다. 자세한 내용은 사용자 풀 인증 흐름 단원을 참조하십시오.

  • 사용자가 Amazon Cognito가 확인되지 않은 전화번호 또는 이메일 주소로 보낸 SMS 또는 이메일 메시지의 코드를 성공적으로 제공하면 Amazon Cognito는 해당 속성을 확인된 것으로 표시합니다.

  • 사용자는 액세스 토큰을 사용하여 와 연결된 전화번호 또는 이메일 주소의 값을 변경할 수 없습니다MFA. 팀은 AdminUpdateUserAttributes API 요청에서 관리자 AWS 자격 증명을 사용하여 이러한 값을 변경해야 합니다.

  • 사용자가 와 연결된 전화번호 또는 이메일 주소의 값을 셀프 서비스로 변경하려면 액세스 토큰으로 로그인하여 요청을 승인MFA해야 합니다. 현재 전화번호 또는 이메일 주소에 액세스할 수 없는 경우 로그인할 수 없습니다. 팀은 AdminUpdateUserAttributes API 요청에서 관리자 AWS 자격 증명을 사용하여 이러한 값을 변경해야 합니다.

  • 사용자 풀에서 를 구성SMS한 후에는 SMS 메시지를 사용 가능한 MFA 요인으로 비활성화할 수 없습니다.