사용자 풀MFA에 추가 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 풀MFA에 추가

MFA 는 인증 요소가 있는 무언가를 일반적으로 사용자 이름 및 암호인 초기 알고 있는 무언가에 추가합니다. SMS 텍스트 메시지, 이메일 메시지 또는 시간 기반 일회용 암호(TOTP)를 추가 요인으로 선택하여 사용자에 로그인할 수 있습니다.

다중 인증(MFA)은 애플리케이션의 로컬 사용자의 보안을 강화합니다. 페더레이션 사용자 의 경우 Amazon Cognito는 모든 인증 프로세스를 IdP에 위임하며 추가 인증 요소를 제공하지 않습니다.

참고

새 사용자가 앱에 처음 로그인하면 Amazon Cognito는 사용자 풀에 가 필요한 경우에도 OAuth 2.0개의 토큰을 발급합니다MFA. 사용자가 처음 로그인할 때 두 번째 인증 요소는 Amazon Cognito가 사용자에게 보내는 확인 메시지를 확인하는 것입니다. 사용자 풀에 가 필요한 경우 MFA Amazon Cognito는 사용자에게 첫 번째 로그인 후 각 로그인 시도 시 사용할 추가 로그인 인수를 등록하라는 메시지를 표시합니다.

적응형 인증을 사용하면 위험 수준 증가에 대응하여 추가 인증 요소가 필요하도록 사용자 풀을 구성할 수 있습니다. 사용자 풀에 조정 인증을 추가하는 방법은 사용자 풀 고급 보안 기능 섹션을 참조하세요.

사용자 풀MFA에 required 대해 를 로 설정하면 모든 사용자가 를 완료MFA하여 로그인해야 합니다. 로그인하려면 각 사용자가 하나 이상의 MFA 요소를 설정해야 합니다. 를 MFA로 설정required하면 사용자 온보딩에 MFA 설정을 포함시켜 사용자 풀에서 로그인을 허용하도록 해야 합니다.

호스팅 UI는 사용자가 를 필수로 설정MFA하면 설정MFA하라는 메시지를 표시합니다. 사용자 풀에서 를 선택 사항MFA으로 설정하면 호스팅 UI는 사용자에게 프롬프트를 표시하지 않습니다. 선택적 를 사용하려면 앱에서 사용자가 설정하려는 를 선택하라는 메시지를 표시하는 인터페이스를 MFA빌드한 MFA다음 API 입력을 통해 추가 로그인 인자를 확인하도록 안내해야 합니다.

MFA에 대한 고려 사항

를 설정하기 전에 다음 사항을 MFA고려하세요.

  • 사용자가 선호하는 MFA 방법은 암호를 복구하는 데 사용할 수 있는 방법에 영향을 미칩니다. 이메일 메시지MFA로 선호하는 사용자는 이메일로 암호 재설정 코드를 받을 수 없습니다. SMS 메시지MFA로 선호하는 사용자는 에서 암호 재설정 코드를 받을 수 없습니다SMS.

    사용자가 선호하는 암호 재설정 방법을 사용할 수 없는 경우 암호 복구 설정에서 대체 옵션을 제공해야 합니다. 예를 들어 복구 메커니즘에 이메일이 최우선 순위일 수 있으며 사용자 풀에서 이메일이 옵션일 MFA 수 있습니다. 이 경우 SMS메시지 계정 복구를 두 번째 옵션으로 추가하거나 관리 API 작업을 사용하여 해당 사용자의 암호를 재설정합니다.

  • 사용자 풀MFA에서 를 활성화하고 SMS 문자 메시지를 두 번째 요인으로 선택하면 Amazon Cognito 에서 확인되지 않은 전화번호 속성으로 SMS 메시지를 보낼 수 있습니다. 사용자가 SMS 를 완료하면 MFA Amazon Cognito는 해당 phone_number_verified 속성을 로 설정합니다true.

  • MFA 코드를 5번 제시하지 못하면 Amazon Cognito는 에 설명된 지수 제한 시간 잠금 프로세스를 시작합니다사용자 풀 인증 흐름.

  • 계정이 사용자 풀에 대한 Amazon Simple Notification Service(Amazon SNS) 리소스 AWS 리전 가 포함된 의 SMS샌드박스에 있는 경우SMS, 메시지를 보내기 SNS 전에 Amazon의 전화번호를 확인해야 합니다. 자세한 내용은 SMS Amazon Cognito 사용자 풀에 대한 메시지 설정 단원을 참조하십시오.

  • 고급 보안 기능을 사용하여 감지된 이벤트에 대한 응답으로 사용자의 MFA 상태를 변경하려면 Amazon Cognito 사용자 풀 콘솔에서 활성화MFA하고 선택 사항으로 설정합니다. 자세한 내용은 사용자 풀 고급 보안 기능 단원을 참조하십시오.

  • 이메일과 SMS 메시지는 사용자에게 각각 이메일 주소와 전화번호 속성을 포함해야 합니다. 사용자 풀에서 email 또는 를 필수 속성phone_number으로 설정할 수 있습니다. 이 경우 사용자는 전화번호를 제공하지 않으면 가입을 완료할 수 없습니다. 필요에 따라 이러한 속성을 설정하지 않고 이메일 또는 SMS 메시지를 보내려는 경우 사용자가 가입MFA할 때 이메일 주소 또는 전화번호를 묻는 메시지가 표시됩니다. 모범 사례로 이러한 속성을 확인하기 위해 사용자에게 자동으로 메시지를 보내도록 사용자 풀을 구성합니다.

    Amazon Cognito는 사용자가 또는 이메일 메시지를 통해 임시 코드를 성공적으로 수신하고 VerifyUserAttribute API 요청 시 해당 코드를 반환했는지 여부를 확인한 전화번호 SMS 또는 이메일 주소를 계산합니다. 또는 팀이 전화번호를 설정하고 AdminUpdateUserAttributes API 요청을 수행하는 관리 애플리케이션으로 확인한 것으로 표시할 수 있습니다.

  • MFA 를 필수로 설정하고 인증 요소를 두 개 이상 활성화한 경우 Amazon Cognito는 새 사용자에게 사용하려는 MFA 요소를 선택하라는 메시지를 표시합니다. 사용자는 SMS 메시지를 설정하려면 전화번호가 있어야 MFA하고 이메일 메시지를 설정하려면 이메일 주소가 있어야 합니다MFA. 사용자에게 사용 가능한 메시지 기반 에 대해 정의된 속성이 없는 경우 MFA Amazon Cognito는 를 설정하라는 메시지를 표시합니다TOTPMFA. MFA 인자(SELECT_MFA_TYPE)를 선택하고 선택한 인자(MFA_SETUP)를 설정하는 프롬프트는 InitiateAuthAdminInitiateAuth API 작업에 대한 챌린지 응답으로 표시됩니다.

사용자 MFA 기본 설정

사용자는 여러 MFA 요소를 설정할 수 있습니다. 하나만 활성화할 수 있습니다. 사용자 풀 설정 또는 사용자 프롬프트에서 사용자에게 효과적인 MFA 기본 설정을 선택할 수 있습니다. 사용자 풀 설정과 자체 사용자 수준 설정이 다음 조건을 충족할 때 사용자 풀은 사용자에게 MFA 코드를 묻는 메시지를 표시합니다.

  1. 사용자 풀에서 선택 사항 또는 필수로 MFA를 설정합니다.

  2. 사용자에게 유효 email또는 phone_number속성이 있거나 에 대한 인증자 앱을 설정했습니다TOTP.

  3. 하나 이상의 MFA 요소가 활성 상태입니다.

  4. 하나의 MFA 요소가 기본 설정으로 설정됩니다.

사용자 풀 설정 및 MFA 옵션에 미치는 영향

사용자 풀의 구성은 사용자가 선택할 수 있는 MFA 방법에 영향을 미칩니다. 다음은 사용자의 MFA 기본 설정 기능에 영향을 미치는 일부 사용자 풀 설정입니다.

  • Amazon Cognito 콘솔의 로그인 환경 탭에 있는 다중 인증 구성에서 선택 사항 또는 필수MFA로 설정하거나 끌 수 있습니다. 이 설정과 API 동일한 값은 CreateUserPool, 및 의 MfaConfiguration 파라미터입니다UpdateUserPoolSetUserPoolMfaConfig.

    또한 다중 인증 구성에서 MFA 메서드 설정은 사용자가 설정할 수 있는 MFA 요소를 결정합니다. 이 설정과 API 동일한 값은 SetUserPoolMfaConfig 작업입니다.

    사용자 계정 복구로그인 환경 탭에서 사용자 풀이 암호를 잊어버린 사용자에게 메시지를 보내는 방법을 구성할 수 있습니다. 사용자가 선호하는 MFA 메서드는 사용자 풀에서 가장 높은 우선 순위의 복구 메시지 전송 메서드와 동일한 전송 메서드를 가질 수 없습니다. 이 구성과 API 동일한 는 CreateUserPool 및 의 AccountRecoverySetting 파라미터입니다UpdateUserPool.

    예를 들어 복구 옵션이 이메일 전용이거나 사용 가능한 경우 이메일일 때는 이메일을 기본 설정MFA으로 설정할 수 없습니다. 그렇지 않으면 입니다. SMS 전송 방법을 SMS로만 변경하거나 SMS 사용 가능한 경우 로 이메일을 보내세요.

  • 사용 가능한 MFA 메서드를 하나만 설정하면 사용자 MFA 기본 설정을 관리할 필요가 없습니다.

  • 활성 SMS 구성은 SMS 메시지를 사용자 풀에서 사용할 수 있는 MFA 방법으로 자동으로 만듭니다.

    사용자 풀에 자체 Amazon SES 리소스가 있는 활성 이메일 구성과 활성 고급 보안 기능은 자동으로 이메일 메시지를 사용자 풀에서 사용 가능한 MFA 방법으로 만듭니다.

  • 사용자 풀에서 MFA를 필수로 설정하면 사용자는 어떤 MFA 메서드도 활성화하거나 비활성화할 수 없습니다. 선호하는 방법만 설정할 수 있습니다.

  • 사용자 풀에서 선택 사항으로 MFA를 설정하면 호스팅 UI는 사용자에게 를 설정하라는 메시지를 표시하지 MFA않지만, 선호하는 MFA 방법이 있는 경우 사용자에게 MFA 코드를 묻는 메시지를 표시합니다.

  • 고급 보안 기능을 활성화하고 전체 기능 모드에서 적응형 인증 응답을 구성하는 경우 는 사용자 풀에서 선택 사항이어야 MFA 합니다. 적응형 인증을 사용하는 응답 옵션 중 하나는 로그인 시도가 평가되는 MFA 사용자에게 위험 수준을 포함하도록 요구하는 것입니다.

    콘솔의 가입 환경 탭에 있는 필수 속성 설정에 따라 사용자가 애플리케이션에 가입하기 위해 이메일 주소 또는 전화번호를 제공해야 하는지 여부가 결정됩니다. 이메일과 SMS 메시지는 사용자에게 해당 속성이 있을 때 적격 MFA 요소가 됩니다. 의 스키마 파라미터는 필요에 따라 속성을 CreateUserPool 설정합니다.

  • 사용자 풀에서 MFA를 필수로 설정하고 사용자가 호스팅 UI로 로그인하면 Amazon Cognito는 사용자 풀에 사용 가능한 MFA 방법 중에서 방법을 선택하라는 메시지를 표시합니다. 호스팅 UI는 이메일 주소 또는 전화번호의 모음과 의 설정을 처리합니다TOTP.

API MFA 기본 설정 구성 작업

액세스 토큰 권한이 있는 셀프 서비스 모델 또는 관리 API 작업이 있는 관리자 관리형 모델에서 사용자에 대한 MFA 기본 설정을 구성할 수 있습니다. 이러한 작업은 MFA 메서드를 활성화 또는 비활성화하고 여러 메서드 중 하나를 기본 옵션으로 설정합니다. 사용자가 MFA 기본 설정을 지정하면 Amazon Cognito는 로그인 시 기본 설정 MFA 방법의 코드를 제공하도록 요청합니다. 기본 설정을 지정하지 않은 사용자는 SELECT_MFA_TYPE 챌린지에서 선호하는 방법을 선택하라는 프롬프트를 받게 됩니다.

  • 사용자 셀프 서비스 모델 또는 퍼블릭 애플리케이션에서 로그인한 사용자의 액세스 토큰으로 SetUserMfaPreference권한이 부여된 는 MFA 구성을 설정합니다.

  • 관리자 관리형 또는 기밀 애플리케이션에서 관리 AWS 자격 증명으로 AdminSetUserPreference승인된 는 MFA 구성을 설정합니다.

Amazon Cognito 콘솔의 사용자 탭에서 사용자 MFA 기본 설정을 지정할 수도 있습니다. Amazon Cognito 사용자 풀의 퍼블릭 및 기밀 인증 모델에 대한 자세한 내용은 섹션을 API참조하세요사용자 풀 API 및 권한 부여 서버 사용.

다중 인증을 위한 사용자 풀 구성

Amazon Cognito 콘솔MFA에서 를 구성할 수 있습니다.

Amazon Cognito 콘솔MFA에서 구성하려면
  1. Amazon Cognito 콘솔에 로그인합니다.

  2. [사용자 풀(User Pools)]을 선택합니다.

  3. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  4. [로그인 환경(Sign-in experience)] 탭을 선택합니다. 멀티 팩터 인증(Multi-factor authentication)을 찾아서 편집(Edit)을 선택합니다.

  5. 사용자 풀에 사용할 MFA 적용 방법을 선택합니다.

    사용자 알림
    1. 가 필요합니다MFA. 사용자 풀의 모든 사용자는 추가 SMS 코드 또는 시간 기반 일회용 암호(TOTP) 인자로 로그인해야 합니다.

    2. 선택 MFA 사항 - 사용자에게 추가 로그인 인자를 등록할 수 있는 옵션을 제공해도 로그인MFA을 구성하지 않은 사용자는 계속 허용할 수 있습니다. 조정 인증을 사용하는 경우 이 옵션을 선택합니다. 조정 인증에 대한 자세한 내용은 사용자 풀 고급 보안 기능 섹션을 참조하세요.

    3. 아니요. MFA 사용자는 추가 로그인 요소를 등록할 수 없습니다.

  6. 앱에서 지원하는 MFA 방법을 선택합니다. 이메일 메시지 , SMS 메시지 또는 TOTP-generating Authenticator 앱을 두 번째 요소로 설정할 수 있습니다.

  7. SMS 문자 메시지를 두 번째 요인으로 사용하고 SMS 메시지에 Amazon Simple Notification Service(Amazon SNS)를 사용하도록 IAM 역할을 구성하지 않은 경우 콘솔에서 하나를 생성합니다. 사용자 풀의 메시징 탭에서 SMS 를 찾아 편집을 선택합니다. 또한 Amazon Cognito가 사용자에게 메시지를 보낼 수 있는 기존 역할을 사용할 수도 SMS 있습니다. 자세한 내용은 IAM 역할을 참조하십시오.

  8. Save changes(변경 사항 저장)를 선택합니다.