本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于 IAM Identity Center 的可用 MFA 类型
<a name="mfa-types"></a>

多重身份验证（MFA）是一种简单而有效的机制，可以增强用户的安全性。用户的第一个因素（他们的密码）是他们记住的秘密，也称为知识因素。其他因素可以是占有因素（您拥有的事物，例如安全密钥）或固有因素（您的身份，例如生物识别扫描）。强烈建议您配置 MFA，以便为您的帐户额外添加一层保护。

IAM Identity Center MFA 支持以下设备类型。所有的 MFA 类型均支持基于浏览器的控制台访问以及使用 Amazon CLI v2 和 IAM 身份中心。
+ [FIDO2 身份验证器](#mfa-types-fido2)，包括内置的身份验证器和安全密钥
+ [虚拟身份验证器应用程序](#mfa-types-apps)
+ 你自己的[RADIUS MFA](#about-radius)实现通过以下方式连接 Amazon Managed Microsoft AD

一个用户最多可以将**八**台 MFA 设备注册到一个 Amazon Web Services 账户，其中包括最多两个虚拟身份验证器应用程序和六个 FIDO 身份验证器。您还可以配置 MFA 设置，以要求用户在尝试从新设备或浏览器登录时，或者从未知 IP 地址登录时进行 MFA。有关如何为您的用户配置 MFA 设置的更多信息，请参阅 [选择用户身份验证适用的 MFA 类型](how-to-configure-mfa-types.md) 和 [配置 MFA 设备实施](how-to-configure-mfa-device-enforcement.md)。

## FIDO2 身份验证器
<a name="mfa-types-fido2"></a>

[FIDO2](https://fidoalliance.org/fido2/)是一个包括 CTAP2 [WebAuthn](https://www.w3.org/TR/webauthn-2/)和基于公钥加密的标准。FIDO 凭证具有防网络钓鱼功能，因为它们是创建凭证的网站所独有的，例如 Amazon。

Amazon 支持 FIDO 身份验证器的两种最常见外形规格：内置身份验证器和安全密钥。有关最常见的 FIDO 身份验证器类型的更多信息，请参阅下文。

**Topics**
+ [内置身份验证器](#mfa-types-built-in-auth)
+ [安全密钥](#mfa-types-keys)
+ [密码管理器、密钥提供商和其他 FIDO 身份验证器](#mfa-types-other)

### 内置身份验证器
<a name="mfa-types-built-in-auth"></a>

多个现代化计算机和移动电话配有内置身份验证器，例如 Macbook 上的 TouchID 或与 Windows Hello 兼容的摄像机。如果您的设备具有兼容 FIDO 的内置身份验证器，则可以使用指纹、面部或设备 PIN 码作为第二个因素。

### 安全密钥
<a name="mfa-types-keys"></a>

安全密钥是兼容 FIDO 的外部硬件身份验证器，您可以通过 USB、BLE 或 NFC 购买并连接到您的设备。您收到 MFA 的提示时，只需使用密钥的传感器完成手势即可。安全密钥的一些示例包括 YubiKeys 和 Feitian 密钥，最常见的安全密钥会创建绑定设备的 FIDO 凭证。有关所有经过 FIDO 认证的安全密钥的列表，请参阅[经过 FIDO 认证的产品](https://fidoalliance.org/certification/fido-certified-products/)。

### 密码管理器、密钥提供商和其他 FIDO 身份验证器
<a name="mfa-types-other"></a>

多个第三方提供商支持移动应用程序中的 FIDO 身份验证，例如密码管理器中的功能、带有 FIDO 模式的智能卡以及其他外形规格。这些兼容 FIDO 的设备可以与 IAM Identity Center 配合使用，但我们建议您在为 MFA 启用此选项之前亲自测试 FIDO 身份验证器。

**注意**  
有些 FIDO 身份验证器可以创建可发现的 FIDO 凭证，称为密钥。密钥可以绑定到创建密钥的设备，也可以同步并备份到云端。例如，您可以在支持的 Macbook 上使用 Apple Touch ID 注册密钥，然后按照登录时屏幕上的提示使用 Google Chrome，在 iCloud 中使用密钥从 Windows 笔记本电脑登录网站。有关哪些设备支持可同步密钥以及操作系统和浏览器之间当前密钥互操作性的更多信息，请参阅 [passkeys.dev](https://passkeys.dev/) 上的[设备支持](https://passkeys.dev/device-support/)资源，该资源由 FIDO 联盟和万维网联盟 (W3C) 负责维护。

## 虚拟身份验证器应用程序
<a name="mfa-types-apps"></a>

身份验证器应用程序本质上是基于一次性密码（OTP）的第三方身份验证器。您可将安装在移动装置或平板电脑上的身份验证器应用程序用作授权的 MFA 设备。第三方身份验证器应用程序必须符合 RFC 6238，这是一种标准的基于时间的一次性密码（TOTP）算法，且能够生成六位数身份验证码。

提示进行多重身份验证时，用户必须在显示的输入框中输入来自其身份验证器应用程序的有效代码。分配给用户的每台 MFA 设备必须是唯一的。可为任意给定用户注册两个身份验证器应用程序。

### 经过测试的身份验证器应用程序
<a name="mfa-types-apps-tested"></a>

任何符合 TOTP 标准的应用程序都可使用 IAM Identity Center MFA。下表列出常见的第三方身份验证器应用程序以供选择。


| 操作系统 | 经过测试的身份验证器应用程序 | 
| --- | --- | 
| Android | [https://play.google.com/store/apps/details?id=com.authy.authy](https://play.google.com/store/apps/details?id=com.authy.authy), [https://play.google.com/store/apps/details?id=com.duosecurity.duomobile](https://play.google.com/store/apps/details?id=com.duosecurity.duomobile), [https://play.google.com/store/apps/details?id=com.azure.authenticator](https://play.google.com/store/apps/details?id=com.azure.authenticator), [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) | 
| iOS | [https://apps.apple.com/us/app/authy/id494168017](https://apps.apple.com/us/app/authy/id494168017), [https://apps.apple.com/us/app/duo-mobile/id422663827](https://apps.apple.com/us/app/duo-mobile/id422663827), [https://apps.apple.com/us/app/microsoft-authenticator/id983156458](https://apps.apple.com/us/app/microsoft-authenticator/id983156458), [https://apps.apple.com/us/app/google-authenticator/id388497605](https://apps.apple.com/us/app/google-authenticator/id388497605) | 

## RADIUS MFA
<a name="about-radius"></a>

[远程身份验证拨入用户服务 (RADIUS)](https://en.wikipedia.org/wiki/RADIUS) 是一种行业标准的客户端-服务器协议，它提供身份验证、授权和记账管理，因此用户可以连接到网络服务。 Amazon Directory Service 包括一个 RADIUS 客户端，该客户端可连接到您实施了 MFA 解决方案的 RADIUS 服务器。有关更多信息，请参阅[为 Amazon Managed Microsoft AD启用多重身份验证](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ms_ad_mfa.html)。

您可以在 IAM Identity Center 中使用 RADIUS MFA 或 MFA 来登录用户门户，但不能同时使用两者。如果您想要使用 Amazon 原生双因素身份验证来访问门户，IAM 身份中心中的 MFA 是 RADIUS MFA 的替代方案。

您在 IAM Identity Center 中启用 MFA 时，您的用户需要一台 MFA 设备才能登录 Amazon Web Services 访问门户。如果您之前使用过 RADIUS MFA，则在 IAM 身份中心启用 MFA 实际上会覆盖登录访问门户的用户的 RADIUS MFA。 Amazon Web Services 但是，当用户登录所有其他可与之配合使用的应用程序（例如适用于 SQL Server 的 Amazon RDS for SQL Server）时 Amazon Directory Service，RADIUS MFA 会继续向他们提出质疑。

如果您的 MFA 在 IAM 身份中心控制台上被**禁用**，并且您已将 RADIUS MFA 配置为，则 Amazon Directory Service RADIUS MFA 将控制访问门户的登录。 Amazon Web Services 这意味着，如果禁用 MFA，IAM Identity Center 将回退到 RADIUS MFA 配置。