Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de la MFA en IAM Identity Center
Puede configurar las capacidades de autenticación multifactor (MFA) en el Centro de identidad de IAM cuando su fuente de identidad esté configurada con el almacén de identidades del Centro de identidades de IAM AWS Managed Microsoft AD o AD Connector. Actualmente, los [proveedores de identidad externos](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) no admiten la MFA en IAM Identity Center.
Las siguientes son recomendaciones generales de MFA, en función de los ajustes de IAM Identity Center y de las preferencias organizativas.
+ Se recomienda a los usuarios que registren varios autenticadores de respaldo para todos los tipos de MFA habilitados. Esta práctica puede evitar la pérdida de acceso en caso de que un dispositivo MFA se rompa o se pierda.
+ No elija la opción **Exigirles que proporcionen una contraseña de un solo uso enviada por correo electrónico** si sus usuarios deben iniciar sesión en el portal de acceso para AWS acceder a su correo electrónico. Por ejemplo, sus usuarios podrían utilizar Microsoft 365 el portal de AWS acceso para leer su correo electrónico. En este caso, los usuarios no podrán recuperar el código de verificación ni podrán iniciar sesión en el portal de AWS acceso. Para obtener más información, consulte [Configurar la aplicación de dispositivos MFA](how-to-configure-mfa-device-enforcement.md).
+ Si ya utiliza el MFA RADIUS con el que configuró Directory Service, no necesita habilitar el MFA en IAM Identity Center. La MFA de IAM Identity Center es una alternativa a la MFA en RADIUS para los usuarios de Microsoft Active Directory de IAM Identity Center. Para obtener más información, consulte [MFA en RADIUS](mfa-types.md#about-radius).
+ El siguiente YouTube vídeo ofrece una descripción general del Centro de identidades de MFA e IAM:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/1iFvT8shnng?si=hpMeBAd85ypC3BTR)
**Topics**
+ [Solicitar MFA a los usuarios](mfa-getting-started.md)
+ [Elegir tipos de MFA para la autenticación de usuarios](how-to-configure-mfa-types.md)
+ [Configurar la aplicación de dispositivos MFA](how-to-configure-mfa-device-enforcement.md)
+ [Permita a los usuarios registrar sus propios dispositivos MFA](how-to-allow-user-registration.md)
# Solicitar MFA a los usuarios
Puede seguir los siguientes pasos para determinar con qué frecuencia se solicita a los usuarios de la fuerza laboral la autenticación multifactor (MFA) cada vez que intentan iniciar sesión en el portal de acceso AWS . Antes de comenzar, le recomendamos que comprenda los [Tipos de MFA disponibles para IAM Identity Center](mfa-types.md).
**importante**
Las instrucciones figuran en esta sección aplican a [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/). No se aplican a [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM). Los usuarios, grupos y credenciales de usuario de IAM Identity Center son diferentes de los usuarios, grupos y credenciales de usuario de IAM. Si busca instrucciones sobre cómo desactivar la MFA para los usuarios de IAM, consulte [Desactivación de dispositivos de MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html) en la *Guía del usuario de AWS Identity and Access Management *.
**nota**
Si utiliza un IdP externo, la sección de **Autenticación multifactor** no estará disponible. Su IdP externo gestiona la configuración de MFA en lugar de IAM Identity Center.
**Para configurar la MFA**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, seleccione la pestaña **Autenticación**.
1. En la sección **Autenticación multifactor**, seleccione **Configurar**.
1. En la página **Configurar la autenticación multifactor**, en **Solicitar MFA a los usuarios**, elija uno de los siguientes modos de autenticación en función del nivel de seguridad que necesite su empresa:
+ **Cada vez que inician sesión (siempre activo)**
En este modo (la configuración predeterminada), IAM Identity Center requiere que se pregunte a los usuarios con un dispositivo MFA registrado cada vez que inicien sesión. Esta es la configuración más segura y garantiza que se apliquen las políticas organizativas o de cumplimiento al exigir que se utilice la MFA cada vez que inicien sesión en el portal de AWS acceso. Por ejemplo, PCI DSS recomienda encarecidamente la MFA durante cada inicio de sesión para acceder a las aplicaciones que admiten transacciones de pago de alto riesgo.
+ **Solo cuando su contexto de inicio de sesión cambie (en función del contexto)**
En este modo, IAM Identity Center ofrece a los usuarios la opción de confiar en su dispositivo durante el inicio de sesión. Cuando un usuario indica que quiere confiar en un dispositivo, IAM Identity Center solicita al usuario la MFA una vez y analiza el contexto de inicio de sesión (como el dispositivo, el navegador y la ubicación) para los siguientes inicios de sesión del usuario. Para los inicios de sesión posteriores, IAM Identity Center determina si el usuario inicia sesión con un contexto en el que anteriormente se confiaba. Si el contexto de inicio de sesión del usuario cambia, IAM Identity Center solicita al usuario la MFA además de sus credenciales de dirección de correo electrónico y contraseña.
Este modo facilita su uso a los usuarios que inician sesión con frecuencia desde su lugar de trabajo, pero es menos seguro que la opción **siempre activa**. Solo se les solicita a los usuarios la MFA si cambia su contexto de inicio de sesión.
+ **Nunca (desactivado)**
Mientras estén en este modo, todos los usuarios iniciarán sesión únicamente con su nombre de usuario y contraseña estándar. Al elegir esta opción, se deshabilita la MFA de IAM Identity Center, por lo que no se recomienda.
Si bien la MFA está deshabilitada en el directorio de usuarios de Identity Center, no puede administrar los dispositivos MFA en sus detalles de usuario y los usuarios del directorio de Identity Center no pueden administrar los dispositivos MFA desde el portal de acceso. AWS
**nota**
Si ya utiliza el MFA RADIUS y desea seguir utilizándolo como el tipo de MFA predeterminado, puede dejar el modo de autenticación desactivado para omitir las capacidades de MFA en IAM Identity Center. Directory Service Al cambiar del modo **Desactivada** al modo **En función del contexto** o **Siempre activo**, se anulará la configuración de MFA en RADIUS existente. Para obtener más información, consulte [MFA en RADIUS](mfa-types.md#about-radius).
1. Elija **Save changes (Guardar cambios)**.
**Temas relacionados**
+ [Elegir tipos de MFA para la autenticación de usuarios](how-to-configure-mfa-types.md)
+ [Configurar la aplicación de dispositivos MFA](how-to-configure-mfa-device-enforcement.md)
+ [Permita a los usuarios registrar sus propios dispositivos MFA](how-to-allow-user-registration.md)
# Elegir tipos de MFA para la autenticación de usuarios
Utilice el siguiente procedimiento para elegir los tipos de dispositivos con los que los usuarios pueden autenticarse cuando se solicite la autenticación multifactor (MFA) en el portal de acceso. AWS
**Cómo configurar los tipos de MFA para sus usuarios**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, seleccione la pestaña **Autenticación**.
1. En la sección **Autenticación multifactor**, seleccione **Configurar**.
1. En la página **Configurar la autenticación multifactor**, en **Los usuarios pueden autenticarse con estos tipos de MFA**, elija uno de los siguientes tipos de MFA en función de las necesidades de su empresa. Para obtener más información, consulte [Tipos de MFA disponibles para IAM Identity Center](mfa-types.md).
+ **Autenticadores y claves de seguridad integrados**
+ **Aplicaciones de autenticación**
1. Seleccione **Save changes (Guardar cambios)**.
# Configurar la aplicación de dispositivos MFA
Siga el procedimiento que se indica a continuación para determinar si los usuarios deben tener un dispositivo MFA registrado al iniciar sesión en el portal de acceso AWS .
Para obtener información sobre MFA en IAM, consulte [AWS Autenticación multifactor en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html).
**Cómo configurar la aplicación de dispositivos de MFA para sus usuarios**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, seleccione la pestaña **Autenticación**.
1. En la sección **Autenticación multifactor**, seleccione **Configurar**.
1. En la página **Configurar la autenticación multifactor**, en **Si un usuario aún no tiene un dispositivo MFA registrado**, elija una de las siguientes opciones en función de las necesidades de su empresa:
+ **Exija que registren un dispositivo MFA al iniciar sesión**
Esta es la configuración predeterminada al configurar MFA por primera vez para IAM Identity Center. Utilice esta opción cuando desee solicitar a los usuarios que aún no tengan un dispositivo MFA registrado que autoinscriban un dispositivo durante el inicio de sesión tras una autenticación con contraseña correcta. Esto le permite proteger los AWS entornos de su organización con MFA sin tener que inscribir y distribuir individualmente los dispositivos de autenticación a sus usuarios. Durante la inscripción automática, sus usuarios pueden registrar cualquier dispositivo de los [Tipos de MFA disponibles para IAM Identity Center](mfa-types.md) disponibles que haya activado anteriormente. Tras completar el registro, los usuarios tienen la opción de asignar un nombre descriptivo a su dispositivo MFA recién inscrito, tras lo cual IAM Identity Center redirige al usuario a su destino original. Si el dispositivo del usuario se pierde o se lo roban, solo tiene que eliminarlo de su cuenta y IAM Identity Center le pedirá que registre automáticamente un dispositivo nuevo la próxima vez que inicie sesión.
+ **Solicite que proporcionen una contraseña de un solo uso enviada por correo electrónico para iniciar sesión**
Use esta opción si desea que los códigos de verificación se envíen a los usuarios por correo electrónico. Como el correo electrónico no está enlazado a un dispositivo específico, esta opción no cumple con los requisitos de autenticación multifactor estándar del sector. Sin embargo, mejora la seguridad en comparación con tener solo una contraseña. La verificación por correo electrónico solo se solicitará si el usuario no ha registrado un dispositivo MFA. Si se ha habilitado el método de autenticación **Dependiente del contexto**, el usuario tendrá la oportunidad de marcar el dispositivo en el que recibe el correo electrónico como de confianza. Posteriormente, no se les pedirá que verifiquen un código de correo electrónico en futuros inicios de sesión desde esa combinación de dispositivo, navegador y dirección IP.
**nota**
Si utiliza Active Directory como fuente de identidad habilitada para IAM Identity Center, la dirección de correo electrónico siempre se basará en el atributo de Active Directory `email`. Las asignaciones personalizadas de atributos de Active Directory no anularán este comportamiento.
+ **Bloquear su inicio de sesión**
Utilice la opción **Bloquear su inicio de sesión** cuando desee obligar a todos los usuarios a utilizar MFA antes de que puedan iniciar sesión en AWS.
**importante**
Si el método de autenticación está configurado como **En función del contexto**, el usuario puede seleccionar la casilla **Este es un dispositivo de confianza** en la página de inicio de sesión. En ese caso, no se le solicitará la MFA a ese usuario aunque tenga habilitada la configuración **Bloquear su inicio de sesión**. Si desea que se les pregunte a estos usuarios, cambie el método de autenticación a **Siempre activo**.
+ **Permitirles iniciar sesión**
Utilice esta opción para indicar que los dispositivos MFA no son necesarios para que los usuarios inicien sesión en el portal de AWS acceso. A los usuarios que hayan decidido registrar dispositivos MFA se les seguirá solicitando la MFA.
1. Seleccione **Save changes (Guardar cambios)**.
# Permita a los usuarios registrar sus propios dispositivos MFA
Los administradores de IAM Identity Center pueden permitir que los usuarios registren automáticamente sus propios dispositivos MFA.
**Cómo permitir a los usuarios registrar sus propios dispositivos MFA**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, seleccione la pestaña **Autenticación**.
1. En la sección **Autenticación multifactor**, seleccione **Configurar**.
1. En la página **Configurar la autenticación multifactor**, en **Quién puede administrar los dispositivos MFA**, elija **Los usuarios pueden agregar y administrar sus propios dispositivos MFA**.
1. Seleccione **Save changes (Guardar cambios)**.
**nota**
Tras configurar el registro automático de los usuarios, es posible que desee enviarles un enlace al procedimiento de [Registro de un dispositivo para MFAAntes de empezar](user-device-registration.md). En este tema se proporcionan instrucciones sobre cómo configurar sus propios dispositivos de MFA.