Comment renforcer la sécurité dans Amazon Cognito en utilisant les paramètres MFA pour les utilisateurs et les groupes d'utilisateurs ?

Last updated : 10/01/2023

Les paramètres MFA pour Amazon Cognito peuvent être désactivés, facultatifs ou obligatoires pour les utilisateurs et les groupes d'utilisateurs.

Si l'authentification multifacteur est désactivée, aucun utilisateur n'est invité à lancer un défi MFA lors de la connexion. Si l'authentification multifacteur est facultative, elle est ajoutée au niveau de l'utilisateur. Seuls les utilisateurs qui ont configuré l'authentification multifacteur sont invités à lancer un défi MFA lors de la connexion. Si l'authentification multifacteur est requise, chaque utilisateur est invité à lancer un défi MFA lors de la connexion.

Les SMS et les mots de passe uniques à durée limitée (TOTP) sont tous deux des options de deuxième facteur d'authentification pour les utilisateurs et les groupes d'utilisateurs Amazon Cognito.

1.    Configurez l'authentification multifacteur pour votre groupe d'utilisateurs Amazon Cognito.

Important : Les paramètres MFA du groupe d'utilisateurs peuvent modifier le flux d'authentification. Pour plus d'informations, consultez Flux d'authentification groupe d’utilisateurs.

2.    Configurez un deuxième facteur d'authentification pour les utilisateurs d'Amazon Cognito.

Pour configurer les SMS en tant que deuxième facteur pour les utilisateurs, procédez comme suit :

• Assurez-vous que chaque utilisateur possède un numéro de téléphone. Les numéros de téléphone sont marqués comme vérifiés une fois que les SMS ont été confirmés.
• Configurez un MFA par SMS.
• Configurez des SMS dans les groupes d'utilisateurs Amazon Cognito.
• Utilisez l'API AdminSetUserMFAPreference ou l'API SetUserMFAPreference, selon le cas d'utilisation. Pour les paramètres SMSMFA, définissez Enabled et PreferredMFA surTrue.
• Fournissez tous les autres paramètres requis en fonction de l'API, puis invoquez l'API.

Pour configurer le TOTP comme deuxième facteur pour les utilisateurs, procédez comme suit :

• Configurez un MFA à jetons logiciels TOTP.
• Utilisez l'API AdminSetUserMFAPreference ou l'API SetUserMFAPreference, selon le cas d'utilisation. Pour les SoftwareTokenMfaSettings, définissez Enabled et PreferredMFA sur True.
• Fournissez tous les autres paramètres requis en fonction de l'API, puis invoquez l'API.

Remarque : Vous pouvez utiliser l'interface de ligne de commande AWS (AWS CLI) pour associer un jeton logiciel TOTP MFA, puis définir TOTP comme deuxième facteur d'authentification. Pour plus d'informations, consultez l'article Comment activer le MFA TOTP pour les groupes d'utilisateurs Amazon Cognito ?