IAM Identity Center 的可用MFA類型 - AWS IAM Identity Center
FIDO2 身分驗證器虛擬身分驗證器應用程式RADIUS MFA

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Identity Center 的可用MFA類型

多重要素驗證 (MFA) 是一種簡單且有效的機制,可增強使用者的安全性。使用者的第一個因素 — 其密碼 — 是他們記住的秘密,也稱為知識因素。其他因素可以是擁有因素 (您擁有的東西,例如安全金鑰) 或固有因素 (您本身的東西,例如生物特徵掃描)。我們強烈建議您設定 MFA,將額外的安全層新增至您的帳戶。

IAM Identity Center MFA支援下列裝置類型。所有MFA類型都支援瀏覽器型主控台存取,以及搭配 IAM Identity Center 使用 AWS CLI v2。

使用者最多可以有八個MFA裝置,其中包含最多兩個虛擬身分驗證器應用程式和六個身分FIDO驗證器,註冊到一個帳戶。您也可以設定MFA啟用設定,以在每次使用者登入MFA時要求 或 啟用每次MFA登入時不需要的受信任裝置。如需如何為使用者設定MFA類型的詳細資訊,請參閱 選擇使用者身分驗證的MFA類型設定MFA裝置強制執行

FIDO2 身分驗證器

FIDO2 是包含 WebAuthn CTAP2和 的標準,以公有金鑰密碼編譯為基礎。FIDO 憑證具有網路釣魚防護,因為它們對建立憑證的網站是唯一的,例如 AWS。

AWS 支援身分FIDO驗證器的兩種最常見形式因素:內建身分驗證器和安全金鑰。如需最常見FIDO身分驗證器類型的詳細資訊,請參閱下文。

內建身分驗證器

許多現代電腦和行動電話都有內建身分驗證器,例如 Macbook 上的 TouchID 或 Windows Hello 相容攝影機。如果您的裝置具有 FIDO相容的內建身分驗證器,您可以使用指紋、人臉或裝置 PIN 作為第二個因素。

安全金鑰

安全金鑰是 FIDO相容的外部硬體身分驗證器,您可以透過 USB、 BLE或 購買並連線至您的裝置NFC。當您收到 的提示時MFA,您只需使用 金鑰的感應器完成手勢即可。一些安全金鑰的範例包括 YubiKeys 和 Feitian 金鑰,而最常見的安全金鑰會建立裝置繫結FIDO的憑證。如需所有 FIDO認證安全金鑰的清單,請參閱 FIDO 認證產品

密碼管理器、密碼金鑰提供者和其他FIDO身分驗證器

多個第三方供應商支援行動應用程式中的FIDO身分驗證,作為密碼管理器、具有 FIDO 模式的智慧卡和其他規格尺寸的功能。這些 FIDO相容的裝置可以與 IAM Identity Center 搭配使用,但建議您先自行測試FIDO身分驗證器,再為 啟用此選項MFA。

注意

有些FIDO身分驗證器可以建立可探索的FIDO憑證,稱為密碼金鑰。密碼金鑰可能繫結至建立密碼的裝置,也可能可同步並備份至雲端。例如,您可以在支援的 Macbook 上使用 Apple Touch ID 註冊密碼金鑰,然後在登入時遵循螢幕上的提示iCloud,使用 Google Chrome 搭配您的密碼登入,從 Windows 筆記型電腦登入網站。如需哪些裝置支援作業系統和瀏覽器之間的可同步密碼金鑰和目前密碼金鑰互通性的詳細資訊,請參閱位於 passkeys.dev 的裝置支援,這是 FIDO Alliance And World Wide Web Consortium (W3C) 維護的資源。 https://passkeys.dev/

虛擬身分驗證器應用程式

驗證器應用程式基本上是一次性密碼 (OTP) 型第三方身分驗證器。您可以使用安裝在行動裝置或平板電腦上的身分驗證器應用程式作為授權MFA裝置。第三方身分驗證器應用程式必須符合 RFC 6238,這是標準型一次性密碼 (TOTP) 演算法,能夠產生六位數身分驗證碼。

提示 時MFA,使用者必須在顯示的輸入方塊中輸入來自身分驗證器應用程式的有效代碼。指派給使用者的每個MFA裝置都必須是唯一的。可為任何指定使用者註冊兩個身分驗證器應用程式。

已測試的身分驗證器應用程式

任何 TOTP合規應用程式都可以與 IAM Identity Center 搭配使用MFA。下表列出知名的第三方身分驗證器應用程式以供選擇。

作業系統 已測試的身分驗證器應用程式
Android Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RADIUS MFA

遠端身分驗證撥入使用者服務 (RADIUS) 是一種業界標準用戶端伺服器通訊協定,可提供身分驗證、授權和會計管理,讓使用者可以連線至網路服務。 AWS Directory Service 包含RADIUS用戶端,可連線至您實作MFA解決方案的RADIUS伺服器。如需詳細資訊,請參閱啟用 的多重要素驗證 AWS Managed Microsoft AD

您可以在 MFA IAM Identity Center 中使用 RADIUSMFA或 登入使用者入口網站,但不能同時使用兩者。MFA 在 IAM Identity Center RADIUS MFA 中,如果您想要 AWS 原生雙因素身分驗證來存取 入口網站, 是 的替代方案。

當您MFA在 IAM Identity Center 中啟用 時,您的使用者需要MFA裝置才能登入 AWS 存取入口網站。如果您先前已使用 RADIUS MFA,在 IAM Identity Center MFA中啟用 RADIUSMFA會有效地覆寫登入 AWS 存取入口網站的使用者。不過,當使用者登入使用 的所有其他應用程式時, RADIUSMFA仍會繼續挑戰使用者 AWS Directory Service,例如 Amazon WorkDocs。

如果您的 MFA 已在 IAM Identity Center 主控台上停用,且您已RADIUSMFA使用 設定 AWS Directory Service,則 會RADIUSMFA管理 AWS 存取入口網站登入。這表示如果MFA已停用IAM,身分中心會回到RADIUSMFA組態。