Adicionar MFA a um grupo de usuários - Amazon Cognito
Pré-requisitosComo configurar autenticação multifator

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar MFA a um grupo de usuários

A autenticação multifator (MFA) aumenta a segurança de sua aplicação. Ela adiciona um fator de autenticação do tipo algo que você tem ao fator algo que você sabe do nome de usuário e senha. Você pode optar por mensagens de texto SMS ou senhas de uso único com marcação temporal (TOTP) como fatores secundários para o login dos usuários.

nota

Na primeira vez em que um novo usuário entra na aplicação, o Amazon Cognito emite tokens OAuth 2.0, mesmo que seu grupo de usuários exija MFA. O segundo fator de autenticação quando o usuário faz login pela primeira vez é a confirmação da mensagem de verificação que o Amazon Cognito envia a ele. Se o grupo de usuários exigir MFA, o Amazon Cognito solicitará que o usuário inscreva um fator de login adicional para ser usado durante toda tentativa de login posterior à primeira.

Com a autenticação adaptável, você pode configurar o grupo de usuários para exigir a autenticação de segundo fator em resposta a um aumento no nível de risco. Para adicionar autenticação adaptável ao grupo de usuários, consulte Como adicionar segurança avançada a um grupo de usuários.

Quando você define a MFA como required para um grupo de usuários, todos os usuários devem concluir a MFA para fazer login. Para fazer login, cada usuário deve configurar pelo menos um fator de MFA, como SMS ou TOTP. Ao definir a MFA como required, você deve incluir a configuração da MFA na integração dos usuários para que seu grupo de usuários permita que eles façam login.

Se você ativar o SMS como fator de MFA, poderá exigir que os usuários forneçam números de telefone e façam a confirmação deles durante o cadastro. Se você tiver definido a MFA como required e apenas aceitar SMS como fator, os usuários precisarão fornecer números de telefone. Usuários sem números de telefone precisam de seu suporte para adicionar um número de telefone ao perfil deles para que possam fazer login. Você pode usar números de telefone não verificados para MFA SMS. Esses números receberão status verificado após o êxito da MFA.

Se você definiu a MFA como obrigatória e ativou SMS e TOTP como métodos de verificação compatíveis, o Amazon Cognito solicitará que novos usuários sem números de telefone configurem a MFA TOTP. Se tiver definido a MFA como obrigatória e o único método de MFA que você ativou for TOTP, o Amazon Cognito solicitará que todos os novos usuários configurem a MFA TOTP na segunda vez em que fizerem login. O Amazon Cognito gera um desafio para configurar o TOTP MFA em resposta InitiateAutha operações de API. AdminInitiateAuth

A interface de usuário hospedada solicita que os usuários configurem a MFA quando você a define como obrigatória. Quando você define a MFA como opcional no grupo de usuários, a interface de usuário hospedada não a solicita aos usuários. Para trabalhar com a MFA opcional, você deve criar uma interface na aplicação que solicite que os usuários selecionem se desejam configurar a MFA e, depois, oriente-os durante as entradas da API para verificar o fator adicional de login.

Depois de cinco tentativas malsucedidas de apresentar um código de MFA, o Amazon Cognito inicia o processo de bloqueio de tempo limite exponencial descrito em Fluxo de autenticação de grupo de usuários.

Tópicos

Pré-requisitos

Antes de configurar a MFA, considere o seguinte:

  • Ao ativar a MFA em seu grupo de usuários e escolher SMS text message (Mensagem de texto SMS) como um segundo fator, você pode enviar mensagens SMS para um atributo de número de telefone que você não verificou no Amazon Cognito. Depois que o usuário conclui a MFA SMS, o Amazon Cognito define o atributo phone_number_verified como true.

  • Se sua conta estiver na área restrita para testes de SMS na Região da AWS que contém os recursos do Amazon Simple Notification Service (Amazon SNS) para o grupo de usuários, você deverá verificar os números de telefone no Amazon SNS antes de enviar uma mensagem SMS. Para ter mais informações, consulte Configurações de mensagens SMS para grupos de usuários do Amazon Cognito.

  • Os recursos de segurança avançada exigem que você ative a MFA e a defina como opcional no console do grupo de usuários do Amazon Cognito. Para ter mais informações, consulte Como adicionar segurança avançada a um grupo de usuários.

Como configurar autenticação multifator

É possível configurar MFA no console do Amazon Cognito.

Para configurar MFA no console do Amazon Cognito

  1. Faça login no console do Amazon Cognito.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Escolha a guia Sign-in experience (Experiência de acesso). Encontre Multi-factor authentication (Autenticação multifator) e escolha Edit (Editar)

  5. Escolha o método MFA enforcement (Aplicação de MFA) que você deseja usar com o grupo de usuários.

    Notificar usuários

    1. Solicite a MFA. Todos os usuários do grupo de usuários devem fazer login com um código SMS adicional ou um fator de senha de uso único com marcação temporal (TOTP).

    2. Optional MFA (MFA opcional): é possível oferecer aos usuários a opção de cadastrar um fator adicional de acesso e ainda permitir o acesso por usuários sem MFA configurada. Se você usar a autenticação adaptativa, escolha essa opção. Para obter mais informações sobre autenticação adaptativa, consulte Como adicionar segurança avançada a um grupo de usuários.

    3. Sem MFA. Os usuários não podem registrar um fator adicional de login.

  6. Escolha os MFA methods (Métodos de MFA) que você aceitará em sua aplicação. Você pode definir SMS message (Mensagem SMS) ou Authenticator apps (Aplicações autenticadoras) geradoras de TOTP como segundo fator. Recomendamos que você implemente a MFA baseada em TOTP para que a recuperação da conta possa usar mensagens SMS.

  7. Se usar mensagens de texto SMS como segundo fator e não tiver uma função do IAM configurada para usar com o Amazon Simple Notification Service(Amazon SNS) para mensagens de SMS, você poderá criar uma no console. Na guia Messaging (Sistema de mensagens) para o grupo de usuários, localize SMS e escolha Edit (Editar). Você também pode usar uma função existente que permita que o Amazon Cognito envie mensagens SMS aos usuários por você. Para obter mais informações, consulte Perfis do IAM.

  8. Escolha Salvar alterações.