As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de MFA disponíveis para o IAM Identity Center
A autenticação multifator (MFA) é um mecanismo simples e eficaz para aumentar sua segurança. O primeiro fator, sua senha, é um segredo que você memoriza, também conhecido como fator de conhecimento. Outros fatores podem ser fatores de posse (algo que você tem, como uma chave de segurança) ou fatores de inerência (algo que você é, como um escaneamento biométrico). É altamente recomendável configurar a MFA para adicionar uma camada adicional de segurança à sua conta.
O IAM Identity Center MFA é compatível com os seguintes tipos de dispositivos. Todos os tipos de MFA são compatíveis tanto para o acesso ao console baseado em navegador quanto para o uso da AWS CLI v2 com o IAM Identity Center.
-
Autenticadores FIDO2, incluindo autenticadores e chaves de segurança integrados
-
A implementação de sua própria RADIUS MFA conectada por meio de AWS Managed Microsoft AD
Um usuário pode ter até oito dispositivos de MFA, que incluem até dois aplicativos autenticadores virtuais e seis autenticadores FIDO, registrados em uma conta. Você também pode definir as configurações de habilitação de MFA para exigir MFA sempre que seus usuários fizerem login ou para habilitar dispositivos confiáveis que não exigem MFA a cada login. Para obter mais informações sobre como configurar seu servidor RADIUS para funcionar com Escolha os tipos de MFA e MFA, consulte Configurar a imposição de dispositivos de MFA.
Autenticadores FIDO2
O FIDO2
A AWS suporta os dois formatos mais comuns dos autenticadores FIDO: autenticadores integrados e chaves de segurança. Veja abaixo mais informações sobre os tipos mais comuns de autenticadores FIDO.
Tópicos
Autenticadores integrados
Alguns dispositivos têm autenticadores integrados, como o TouchID no MacBook ou uma câmera compatível com o Windows Hello. Se seu dispositivo tiver um autenticador integrado compatível com FIDO, você poderá usar sua impressão digital, rosto ou pin do dispositivo como um segundo fator.
Chaves de segurança
As chaves de segurança são autenticadores de hardware externos compatíveis com FIDO que você pode comprar e conectar ao seu dispositivo via USB, BLE ou NFC. Quando você é solicitado a inserir o MFA, basta concluir um gesto com o sensor da chave. Alguns exemplos de chaves de segurança incluem chaves YubiKeys e Feitian, e as chaves de segurança mais comuns criam credenciais FIDO vinculadas ao dispositivo. Para obter uma lista de todas as chaves de segurança certificadas pela FIDO, consulte FIDO Certified Products
Gerenciadores de senhas, fornecedores de chaves de acesso e outros autenticadores FIDO
Vários provedores terceirizados oferecem suporte à autenticação FIDO em aplicativos móveis, como atributos em gerenciadores de senhas, cartões inteligentes com modo FIDO, entre outros formatos. Esses dispositivos compatíveis com FIDO podem funcionar com o IAM Identity Center, mas recomendamos que você mesmo teste um autenticador FIDO antes de ativar essa opção para MFA.
nota
Alguns autenticadores FIDO podem criar credenciais FIDO detectáveis, conhecidas como chaves de acesso. As chaves de acesso podem estar vinculadas ao dispositivo que as criou, ou podem ser sincronizadas e armazenadas em uma nuvem. Por exemplo, você pode registrar uma chave de acesso usando o Apple Touch ID em um Macbook compatível e, em seguida, fazer login em um site a partir de um laptop Windows usando o Google Chrome com sua chave de acesso no iCloud, seguindo as instruções na tela ao fazer login. Para obter mais informações sobre quais dispositivos suportam chaves de acesso sincronizáveis e a interoperabilidade atual de chaves de acesso entre sistemas operacionais e navegadores, consulte Device Support
Aplicativos de autenticação virtual
Os aplicativos autenticadores são autenticadores terceirizados baseados em senha de uso único (OTP). Você pode usar um aplicativo autenticador instalado em seu dispositivo móvel ou tablet como um dispositivo de MFA autorizado. O aplicativo autenticador de terceiros deve estar em conformidade com RFC 6238, que é um algoritmo de senha de uso único com marcação temporal (TOTP) padrão capaz de gerar códigos de autenticação de seis dígitos.
Quando a MFA for solicitada, você deve inserir um código válido do seu aplicativo autenticador na caixa de entrada apresentada. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Dois aplicativos autenticadores podem ser registrados para qualquer usuário.
Aplicativo autenticador testado
Qualquer aplicativo compatível com TOTP funcionará com o IAM Identity Center MFA. Você pode escolher entre os seguintes aplicativos autenticadores de terceiros conhecidos.
| Sistema operacional | Aplicativo autenticador testado |
|---|---|
| Android | Authy |
| iOS | Authy |
RADIUS MFA
O Remote Authentication Dial-In User Service (RADIUS)
Você pode usar o RADIUS MFA ou o MFA no IAM Identity Center para fazer login do usuário no portal do usuário, mas não ambos. O MFA no IAM Identity Center é uma alternativa ao RADIUS MFA nos casos em que você deseja a autenticação nativa AWS de dois fatores para acessar o portal.
Quando você ativa a MFA no IAM Identity Center, seus usuários precisam de um dispositivo de MFA para entrar no portal de acesso AWS. Se você já usou o RADIUS MFA, habilitar o MFA no IAM Identity Center substitui efetivamente o RADIUS MFA para usuários que fazem login no portal de acesso AWS. No entanto, o RADIUS MFA continua desafiando os usuários quando eles se conectam a todos os outros aplicativos AWS Directory Service com os quais funcionam, como o Amazon WorkDocs.
Se seu MFA estiver desativado no console do IAM Identity Center e você tiver configurado o RADIUS MFA comAWS Directory Service, o RADIUS MFA controla AWS o login no portal de acesso. Isso significa que o IAM Identity Center retornará à configuração RADIUS MFA se o MFA estiver desativado.
