SMSe mensagem de e-mail MFA

SMSe MFA as mensagens de e-mail confirmam que os usuários têm acesso a um destino de mensagem antes de poderem fazer login. Eles confirmam que não só têm acesso a uma senha, mas também às SMS mensagens ou à caixa de entrada de e-mail do usuário original. O Amazon Cognito solicita que os usuários forneçam um código curto que seu grupo de usuários envia após fornecerem com sucesso um nome de usuário e uma senha.

SMSe a mensagem de e-mail não MFA exigem configuração adicional depois que o usuário adiciona um endereço de e-mail ou número de telefone ao perfil. O Amazon Cognito pode enviar mensagens para endereços de e-mail e números de telefone não verificados. Quando um usuário conclui a primeiraMFA, o Amazon Cognito marca seu endereço de e-mail ou número de telefone como verificado.

MFAa autenticação começa quando um usuário MFA insere seu nome de usuário e senha em seu aplicativo. Seu aplicativo envia esses parâmetros iniciais em um SDK método que invoca uma solicitação or. InitiateAuthAdminInitiateAuthAPI O ChallengeParameters na API resposta inclui um CODE_DELIVERY_DESTINATION valor que indica para onde o código de autorização foi enviado. Em seu aplicativo, exiba um formulário que solicite que o usuário verifique o telefone e inclua um elemento de entrada para o código. Ao inserir o código, envie-o em uma API solicitação de desafio-resposta para concluir o processo de login.

Depois que um usuário faz MFA login com nome de usuário e senha na interface hospedada, ele é automaticamente solicitado a fornecer o MFA código.

Grupos de usuários enviam SMS mensagens para MFA e outras notificações do Amazon Cognito com recursos do Amazon Simple Notification Service SNS (Amazon) em seu. Conta da AWS Da mesma forma, grupos de usuários enviam mensagens de e-mail com recursos do Amazon Simple Email Service (AmazonSES) em sua conta. Esses serviços vinculados incorrem em seus próprios custos em sua AWS fatura de entrega de mensagens. Eles também têm requisitos adicionais para enviar mensagens em volumes de produção. Consulte os links a seguir para obter mais informações:

• SMSconfigurações de mensagem para grupos de usuários do Amazon Cognito

• SMSPreços em todo o mundo

• Configurações de e-mail para grupos de usuários do Amazon Cognito

• SESPreços da Amazon

Considerações sobre uma mensagem SMS de e-mail MFA

• Para permitir que os usuários façam login com e-mailMFA, seu grupo de usuários deve ter as seguintes opções de configuração:

  1. Os recursos avançados de segurança estão ativos. Para obter mais informações, consulte Recursos avançados de segurança do grupo de usuários.

  2. Seu grupo de usuários envia mensagens de e-mail com seus próprios SES recursos da Amazon. Para obter mais informações, consulte Configuração de SES e-mail da Amazon.

• O MFA código é válido para a duração da sessão do fluxo de autenticação que você definiu para o cliente do aplicativo.

  Defina a duração de uma sessão de fluxo de autenticação no console do Amazon Cognito na guia App integration (Integração de aplicações), quando você modifica o cliente da aplicação em App clients and analytics (Clientes e análise de aplicações). Você também pode definir a duração da sessão do fluxo de autenticação em uma UpdateUserPoolClient API solicitação CreateUserPoolClient or. Para obter mais informações, consulte Fluxo de autenticação de grupo de usuários.

• Quando um usuário fornece com sucesso um código de uma mensagem de e-mail SMS ou de uma mensagem enviada pelo Amazon Cognito para um número de telefone ou endereço de e-mail não verificado, o Amazon Cognito marca o atributo correspondente como verificado.

• Um usuário não pode usar seu token de acesso para alterar o valor de um número de telefone ou endereço de e-mail associado MFA a. Sua equipe deve alterar esses valores com AWS as credenciais de administrador nas AdminUpdateUserAttributesAPIsolicitações.

• Para que um usuário faça uma alteração de autoatendimento no valor de um número de telefone ou endereço de e-mail associado aMFA, ele deve entrar e autorizar a solicitação com um token de acesso. Se não conseguirem acessar o número de telefone ou endereço de e-mail atual, não conseguirão fazer login. Sua equipe deve alterar esses valores com AWS as credenciais de administrador nas AdminUpdateUserAttributesAPIsolicitações.

• Depois de configurar SMS em seu grupo de usuários, você não pode desativar SMS as mensagens como um MFA fator disponível.