

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurar MFA no IAM Identity Center
<a name="mfa-configure"></a>

Você pode configurar os recursos de autenticação multifator (MFA) no IAM Identity Center quando sua fonte de identidade está configurada com o repositório de identidades do IAM Identity Center ou o AWS Managed Microsoft AD AD Connector. Atualmente, o MFA no IAM Identity Center não é compatível com [provedores de identidade externos](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html).

A seguir estão as recomendações gerais de MFA, dependendo das configurações do IAM Identity Center e das preferências organizacionais.
+ Os usuários são incentivados a registrar vários autenticadores de backup para todos os tipos de MFA habilitados. Essa prática pode evitar a perda de acesso no caso de um dispositivo de MFA quebrado ou extraviado. 
+ Não escolha a opção **Exigir que eles forneçam uma senha de uso único enviada por e-mail** se seus usuários precisarem entrar no portal de AWS acesso para acessar seus e-mails. Por exemplo, seus usuários podem usar Microsoft 365 no portal de AWS acesso para ler seus e-mails. Nesse caso, os usuários não conseguirão recuperar o código de verificação e não conseguirão entrar no portal de AWS acesso. Para obter mais informações, consulte [Configurar a imposição de dispositivos de MFA](how-to-configure-mfa-device-enforcement.md).
+ Se você já estiver usando o RADIUS MFA Directory Service com o qual você configurou, não precisa habilitar o MFA no IAM Identity Center. O MFA no IAM Identity Center é uma alternativa ao RADIUS MFA Microsoft Active Directory para usuários do IAM Identity Center. Para obter mais informações, consulte [RADIUS MFA](mfa-types.md#about-radius).
+ O YouTube vídeo a seguir fornece uma visão geral do MFA e do IAM Identity Center:

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/1iFvT8shnng?si=hpMeBAd85ypC3BTR/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/1iFvT8shnng?si=hpMeBAd85ypC3BTR)


**Topics**
+ [

# Solicite aos usuários o MFA
](mfa-getting-started.md)
+ [

# Escolher tipos de MFA para autenticação de usuário
](how-to-configure-mfa-types.md)
+ [

# Configurar a imposição de dispositivos de MFA
](how-to-configure-mfa-device-enforcement.md)
+ [

# Permita que os usuários registrem seus próprios dispositivos de MFA
](how-to-allow-user-registration.md)

# Solicite aos usuários o MFA
<a name="mfa-getting-started"></a>

Você pode usar as etapas a seguir para determinar com que frequência os usuários da força de trabalho são solicitados a usar a autenticação multifator (MFA) sempre que tentam entrar no portal de acesso. AWS Antes de começar, recomendamos que você entenda o [Tipos de MFA disponíveis para o IAM Identity Center](mfa-types.md).

**Importante**  
s instruções da presente secção aplicam-se a [Centro de Identidade do AWS IAM](https://aws.amazon.com/iam/identity-center/). Elas não se aplicam ao [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM). Os usuários, grupos e credenciais de usuário do IAM Identity Center são diferentes dos usuários, grupos e credenciais de usuário do IAM. Se você estiver procurando instruções sobre como desativar a MFA para usuários do IAM, consulte [Deactivating MFA devices](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html) no *User Guide AWS Identity and Access Management *.

**nota**  
Se você estiver usando um IdP externo, a seção **Autenticação multifatorial** não estará disponível. Seu IdP externo gerencia as configurações de MFA, em vez de gerenciá-las pelo IAM Identity Center.

**Para configurar a MFA**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. No painel de navegação à esquerda, escolha **Settings**.

1. Na página **Configurações**, escolha a guia **Autenticação**.

1. Na seção **Autenticação multifator**, escolha **Configure**.

1. Na página **Configurar autenticação multifator**, em **Solicitar aos usuários o MFA**, escolha um dos seguintes modos de autenticação com base no nível de segurança que sua empresa precisa:
   + **Toda vez que eles fazem login (sempre ativo)**

     Nesse modo (a configuração padrão), o IAM Identity Center exige que os usuários com um dispositivo de MFA registrado sejam avisados sempre que fizerem login. Essa é a configuração mais segura e garante que suas políticas organizacionais ou de conformidade sejam aplicadas, exigindo que o MFA seja usado sempre que eles entrarem no portal de acesso AWS . Por exemplo, o PCI DSS recomenda fortemente o MFA durante cada login para acessar aplicativos que oferecem suporte a transações de pagamento de alto risco.
   + **Somente quando o contexto de login muda (sensível ao contexto)**

     Nesse modo, o IAM Identity Center oferece aos usuários a opção de confiar nos dispositivos durante o login. Depois que um usuário indica que deseja confiar em um dispositivo, o IAM Identity Center solicita ao usuário a MFA uma vez e analisa o contexto de login (como dispositivo, navegador e localização) para os logins subsequentes do usuário. Para logins subsequentes, o IAM Identity Center determina se o usuário está fazendo login com um contexto anteriormente confiável. Se o contexto de login do usuário mudar, o IAM Identity Center solicitará ao usuário o MFA, além de suas credenciais de endereço de e-mail e senha.

     Esse modo oferece facilidade de uso para usuários que fazem login com frequência no local de trabalho, mas é menos seguro do que a **opção sempre ativa**. Os usuários só receberão uma solicitação de MFA se o contexto de login mudar.
   + **Nunca (desativado)**

     Nesse modo, todos os usuários entrarão somente com seu nome de usuário e senha padrão. Escolher esta opção desabilita a MFA do IAM Identity Center e não é recomendada.

      Embora a MFA esteja desativada em seu diretório do Identity Center para usuários, você não pode gerenciar dispositivos de MFA em seus detalhes de usuário, e os usuários do diretório do Identity Center não podem gerenciar dispositivos de MFA a partir do portal de acesso. AWS 
**nota**  
Se você já estiver usando o RADIUS MFA Directory Service com e quiser continuar a usá-lo como seu tipo de MFA padrão, poderá deixar o modo de autenticação como desativado para ignorar os recursos de MFA no IAM Identity Center. A mudança do modo **Desativado** para o modo **sensível ao contexto** ou **Sempre ativo** substituirá as configurações existentes do RADIUS MFA. Para obter mais informações, consulte [RADIUS MFA](mfa-types.md#about-radius).

1. Escolha **Salvar alterações**.

   **Related Topics**
   + [Escolher tipos de MFA para autenticação de usuário](how-to-configure-mfa-types.md)
   + [Configurar a imposição de dispositivos de MFA](how-to-configure-mfa-device-enforcement.md)
   + [Permita que os usuários registrem seus próprios dispositivos de MFA](how-to-allow-user-registration.md)

# Escolher tipos de MFA para autenticação de usuário
<a name="how-to-configure-mfa-types"></a>

Use o procedimento a seguir para escolher os tipos de dispositivos com os quais seus usuários podem se autenticar quando solicitados a autenticação multifator (MFA) no portal de acesso. AWS 

**Para configurar os tipos de MFA para seus usuários**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. No painel de navegação à esquerda, escolha **Settings**.

1. Na página **Configurações**, escolha a guia **Autenticação**.

1. Na seção **Multi-factor authentication**, escolha **Configure**.

1. Na página **Configure multi-factor authentication**, em **Users can authenticate with these MFA types**, escolha um dos seguintes tipos de MFA com base nas necessidades de sua empresa. Para obter mais informações, consulte [Tipos de MFA disponíveis para o IAM Identity Center](mfa-types.md).
   + **Autenticadores e chaves de segurança integrados**
   + **Aplicativos de autenticador**

1. Escolha **Salvar alterações**.

# Configurar a imposição de dispositivos de MFA
<a name="how-to-configure-mfa-device-enforcement"></a>

Use o procedimento a seguir para determinar se seus usuários devem ter um dispositivo de MFA registrado ao entrar no portal de acesso AWS .

Para obter mais informações sobre MFA no IAM, consulte [Código da autenticação multifator no IAM da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). 

**Para configurar a imposição de dispositivos de MFA para seus usuários**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. No painel de navegação à esquerda, escolha **Settings**.

1. Na página **Configurações**, escolha a guia **Autenticação**.

1. Na seção **Multi-factor authentication**, escolha **Configure**.

1. Na página **Configure multi-factor authentication**, em **If a user does not yet have a registered MFA device**, escolha uma das seguintes opções com base nas necessidades de sua empresa:
   + **Exija que eles registrem um dispositivo de MFA no login**

     Essa é a configuração padrão quando você configura o MFA pela primeira vez para o IAM Identity Center. Use essa opção quando quiser exigir que os usuários que ainda não têm um dispositivo de MFA registrado inscrevam automaticamente um dispositivo durante o login após uma autenticação de senha bem-sucedida. Isso permite que você proteja os AWS ambientes da sua organização com a MFA sem precisar inscrever e distribuir dispositivos de autenticação individualmente para seus usuários. Durante a autoinscrição, seus usuários podem registrar qualquer dispositivo a partir dos [Tipos de MFA disponíveis para o IAM Identity Center](mfa-types.md) disponíveis que você ativou anteriormente. Depois de concluir o registro, os usuários têm a opção de dar um nome amigável ao dispositivo de MFA recém-inscrito, após o qual o IAM Identity Center redireciona o usuário para o destino original. Se o dispositivo do usuário for perdido ou roubado, você pode simplesmente remover esse dispositivo da conta, e o IAM Identity Center exigirá que ele inscreva automaticamente um novo dispositivo durante o próximo login.
   + **Exija que eles forneçam uma senha única enviada por e-mail para fazer login**

     Use essa opção quando quiser que os códigos de verificação sejam enviados aos usuários por e-mail. Como o e-mail não está vinculado a um dispositivo específico, essa opção não atende aos padrões da autenticação multifator padrão do setor. Mas isso melhora a segurança do que ter apenas uma senha. A verificação por e-mail só será solicitada se o usuário não tiver registrado um dispositivo de MFA. Se o método de autenticação **Context-aware** tiver sido ativado, o usuário terá a oportunidade de marcar o dispositivo no qual recebeu o e-mail como confiável. Posteriormente, eles não precisarão verificar um código de e-mail em futuros logins a partir dessa combinação de dispositivo, navegador e endereço IP.
**nota**  
Se você estiver usando o Active Directory como sua fonte de identidade habilitada para o IAM Identity Center, o endereço de e-mail sempre será baseado no `email` atributo do Active Directory. Os mapeamentos personalizados de atributos do Active Directory não substituirão esse comportamento. 
   + **Block their sign-in**

     Use a opção **Block Their Sign-In** quando quiser impor o uso de MFA por todos os usuários antes que eles possam fazer login em AWS.
**Importante**  
Se seu método de autenticação estiver definido como **Context-aware**, um usuário poderá marcar a caixa de seleção **Este é um dispositivo confiável** na página de login. Nesse caso, esse usuário não receberá uma solicitação de MFA, mesmo que você tenha a configuração **Block their sign in** ativada. Se você quiser que esses usuários sejam avisados, altere seu método de autenticação para **Always On**.
   + **Permita que eles façam login**

     Use essa opção para indicar que os dispositivos de MFA não são necessários para que seus usuários entrem no portal de AWS acesso. Os usuários que optarem por registrar dispositivos de MFA ainda receberão uma solicitação de MFA.

1. Escolha **Save changes**.

# Permita que os usuários registrem seus próprios dispositivos de MFA
<a name="how-to-allow-user-registration"></a>

Os administradores do IAM Identity Center podem permitir que os usuários registrem automaticamente seus próprios dispositivos de MFA.

**Permita que os usuários registrem seus próprios dispositivos de MFA**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. No painel de navegação à esquerda, escolha **Settings**.

1. Na página **Configurações**, escolha a guia **Autenticação**.

1. Na seção **Multi-factor authentication**, escolha **Configure**.

1. Na página **Configure multi-factor authentication**, em **Who can manage MFA devices**, escolha **Users can add and manage their own MFA devices**.

1. Escolha **Salvar alterações**.

**nota**  
Depois de configurar o autorregistro para seus usuários, talvez você queira enviar a eles um link para o procedimento [Registro de um dispositivo para MFAAntes de começar](user-device-registration.md). Este tópico fornece instruções sobre como configurar os próprios dispositivos MFA.