本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 IAM Identity Center 的可用 MFA 类型
多重身份验证(MFA)是一种简单而有效的机制,可以增强用户的安全性。用户的第一个因素(他们的密码)是他们记住的秘密,也称为知识因素。其他因素可以是占有因素(您拥有的事物,例如安全密钥)或固有因素(您的身份,例如生物识别扫描)。强烈建议您配置 MFA,以便为您的帐户额外添加一层保护。
IAM Identity Center MFA 支持以下设备类型。所有 MFA 类型均支持基于浏览器的控制台访问以及搭配使用 Amazon CLI v2 和 IAM Identity Center。
-
FIDO2 身份验证器,包括内置的身份验证器和安全密钥
-
通过 Amazon Managed Microsoft AD 连接您自己的 RADIUS MFA 实施
一个用户最多可以将八台 MFA 设备注册到一个帐户,其中包括最多两个虚拟身份验证器应用程序和六个 FIDO 身份验证器。您还可以将 MFA 启用设置配置为在用户每次登录时都需要 MFA,或者启用不需要在每次登录时都使用 MFA 的信任设备。有关如何为您的用户配置 MFA 类型的更多信息,请参阅选择用户身份验证适用的 MFA 类型和配置 MFA 设备实施。
FIDO2 身份验证器
FIDO2
Amazon 支持 FIDO 身份验证器的两种最常见外形规格:内置身份验证器和安全密钥。有关最常见的 FIDO 身份验证器类型的更多信息,请参阅下文。
内置身份验证器
多个现代化计算机和移动电话配有内置身份验证器,例如 Macbook 上的 TouchID 或与 Windows Hello 兼容的摄像机。如果您的设备具有兼容 FIDO 的内置身份验证器,则可以使用指纹、面部或设备 PIN 码作为第二个因素。
安全密钥
安全密钥是兼容 FIDO 的外部硬件身份验证器,您可以通过 USB、BLE 或 NFC 购买并连接到您的设备。您收到 MFA 的提示时,只需使用密钥的传感器完成手势即可。安全密钥的一些示例包括 YubiKeys 和 Feitian 密钥,最常见的安全密钥会创建绑定设备的 FIDO 凭证。有关所有经过 FIDO 认证的安全密钥的列表,请参阅经过 FIDO 认证的产品
密码管理器、密钥提供商和其他 FIDO 身份验证器
多个第三方提供商支持移动应用程序中的 FIDO 身份验证,例如密码管理器中的功能、带有 FIDO 模式的智能卡以及其他外形规格。这些兼容 FIDO 的设备可以与 IAM Identity Center 配合使用,但我们建议您在为 MFA 启用此选项之前亲自测试 FIDO 身份验证器。
注意
有些 FIDO 身份验证器可以创建可发现的 FIDO 凭证,称为密钥。密钥可以绑定到创建密钥的设备,也可以同步并备份到云端。例如,您可以在支持的 Macbook 上使用 Apple Touch ID 注册密钥,然后按照登录时屏幕上的提示使用 Google Chrome,在 iCloud 中使用密钥从 Windows 笔记本电脑登录网站。有关哪些设备支持可同步密钥以及操作系统和浏览器之间当前密钥互操作性的更多信息,请参阅 passkeys.dev
虚拟身份验证器应用程序
身份验证器应用程序本质上是基于一次性密码(OTP)的第三方身份验证器。您可将安装在移动装置或平板电脑上的身份验证器应用程序用作授权的 MFA 设备。第三方身份验证器应用程序必须符合 RFC 6238,这是一种标准的基于时间的一次性密码(TOTP)算法,且能够生成六位数身份验证码。
提示进行多重身份验证时,用户必须在显示的输入框中输入来自其身份验证器应用程序的有效代码。分配给用户的每台 MFA 设备必须是唯一的。可为任意给定用户注册两个身份验证器应用程序。
经过测试的身份验证器应用程序
任何符合 TOTP 标准的应用程序都可使用 IAM Identity Center MFA。下表列出常见的第三方身份验证器应用程序以供选择。
操作系统 | 经过测试的身份验证器应用程序 |
---|---|
Android | Authy |
iOS | Authy |
RADIUS MFA
远程身份验证拨入用户服务 (RADIUS)
您可以在 IAM Identity Center 中使用 RADIUS MFA 或 MFA 来登录用户门户,但不能同时使用两者。如果您想使用 Amazon 原生双重因素身份验证来访问门户,IAM Identity Center 中的 MFA 可以作为 RADIUS MFA 的替代方案。
您在 IAM Identity Center 中启用 MFA 时,您的用户需要一台 MFA 设备才能登录 Amazon Web Services 访问门户。如果您之前使用 RADIUS MFA,则在 IAM Identity Center 启用 MFA 实际上会覆盖登录 Amazon Web Services 访问门户的用户的 RADIUS MFA。但是,当用户登录所有其他可与 Amazon Directory Service 配合使用的应用程序(例如 Amazon WorkDocs)时,RADIUS MFA 会继续向用户发出挑战。
如果您的 MFA 在 IAM Identity Center 控制台上被禁用,并且您已通过 Amazon Directory Service 配置 RADIUS MFA,则 RADIUS MFA 将控制 Amazon Web Services 访问门户的登录。这意味着,如果禁用 MFA,IAM Identity Center 将回退到 RADIUS MFA 配置。