指定用户池设备跟踪设置 - Amazon Cognito
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

指定用户池设备跟踪设置

作为进一步提高安全性的一种方式,您可以跟踪用户登录的设备。本主题介 Amazon Cognito 何在Amazon Web Services Management Console。

设置记忆设备

借助 Amazon Cognito 用户池,您可以选择让 Amazon Cognito 记住用于访问您的应用程序的设备,并在用户池中将这些记住的设备与应用程序用户关联。如果您设置了多重验证 (MFA),还可以选择使用记忆设备来停止向用户发送代码。

通过 Amazon Cognito 控制台设置记忆设备功能时,您有三种选择:ALWAY用户选择加入, 和

  • No (默认值) - 不记住设备。

  • Always - 记住应用程序用户使用的每台设备。

  • User Opt-In - 只有当您的用户选择记住设备时,该设备才会被记住。

如果选择了始终用户选择加入,那么对于每台设备,系统都会在用户首次使用该设备登录时,为其分配一个设备标识符(键和密钥)。除了识别设备,此密钥不会用于其他任何地方,但会被服务跟踪。

如果您选择ALWAY,作为用户身份验证流的一部分,Amazon Cognito 将使用设备标识符 (密钥和私有密钥) 在每个用户使用设备登录时,对该设备进行身份验证。

如果您选择用户选择加入,则只有当应用程序的用户选择记住设备时,您才能记住该设备。当用户使用新设备登录时,请求启动跟踪的响应将指示是否应该提示用户记住他们的设备。您必须创建用户界面来提示用户。如果用户选择记住设备,则系统会将设备状态更新为“已记住”状态。

这些区域有:Amazon移动软件开发工具包还有其他 API 来查看记住的设备(ListDevicesGetDevice),请将设备标记为已记住或未记住(UpdateDeviceStatus),并停止跟踪设备(ForgetDevice)。在 REST API 中,还提供了这些 API 的管理员版本,这些版本的 API 具备提升的权限,适用于任何用户。它们的 API 名称分别为 AdminListDevicesAdminGetDevice,等等。它们不通过开发工具包提供。

使用记忆设备停止多重验证 (MFA)

如果您选择了始终用户选择加入,则还可以选择为应用程序的用户在记住的设备上停止 MFA 质询。要使用此功能,您必须为您的用户池启用 MFA。有关更多信息,请参阅向用户池添加多重验证 (MFA)

注意

如果设备记住功能设置为始终并且是否要使用记忆设备隐藏多重验证 (MFA) 的第二安全要素?设置为,则在基于风险的 MFA 中会忽略中/高风险的 MFA 设置。