提示用户完成 MFA
您可以使用以下步骤来确定工作用户在每次尝试登录 AWS 访问门户时被提示进行多重身份验证(MFA)的频率。在开始之前,我们建议您首先了解 适用于 IAM Identity Center 的可用 MFA 类型。
重要
本部分中的说明适用于 AWS IAM Identity Center
注意
如果您使用的是外部 IdP,则多重身份验证部分将不可用。您的外部 IdP 管理 MFA 设置,而不是 IAM Identity Center 管理这些设置。
配置 MFA
-
在左侧导航窗格中,选择 设置。
-
在设置页面上,选择身份验证选项卡。
-
在多重身份验证部分,选择配置。
-
在配置多重身份验证页面的提示用户完成 MFA 项下,根据您的业务所需的安全级别选择以下身份验证模式之一:
-
他们每次登录时(始终开启)
在此模式(默认设置)下,IAM Identity Center 要求拥有已注册 MFA 设备的用户每次登录时都会收到提示。这是最安全的设置,通过要求每次登录 AWS 访问门户时都必须使用 MFA,来确保执行您的组织或合规策略。例如,PCI DSS 强烈建议在每次登录时完成 MFA,以访问支持高风险支付交易的应用程序。
-
仅当他们的登录上下文发生变化时(上下文感知)
在此模式下,IAM Identity Center 为用户提供了在登录期间信任其设备的选项。在用户表示要信任某设备后,IAM Identity Center 会提示用户进行一次 MFA,然后分析登录上下文(例如设备、浏览器和位置),以便用户后续登录。对于后续登录,IAM Identity Center 会确定用户是否使用先前信任的上下文登录。如果用户的登录上下文发生变化,除了电子邮件地址和密码凭证外,IAM Identity Center 还会提示用户完成 MFA。
此模式为经常从工作场所登录的用户提供了易用性,但安全性低于始终开启选项。只有当用户的登录上下文发生变化时,才会提示他们完成 MFA。
-
从不(已禁用)
在此模式下,所有用户仅使用其标准用户名和密码登录。选择此选项将禁用 IAM Identity Center MFA,不建议这样做。
虽然 Identity Center 目录用户禁用 MFA,但您无法在其用户详细信息中管理 MFA 设备,并且 Identity Center 目录用户无法通过 AWS 访问门户管理 MFA 设备。
注意
如果您已经在搭配使用 RADIUS MFA 和 Directory Service,并希望继续将其用作默认 MFA 类型,则可以将身份验证模式保留为禁用状态,以绕过 IAM Identity Center 中的 MFA 功能。从禁用模式更改为上下文感知或始终开启模式将覆盖现有的 RADIUS MFA 设置。有关更多信息,请参阅 RADIUS MFA。
-
-
选择保存更改。
相关主题
