本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定人力資源存取 AWS 資源
設定您的人力資源使用者如何透過 IAM Identity Center 驗證和存取 AWS 資源。本節涵蓋下列管理人力資源使用者存取您 AWS 環境的元件:
+ **身分驗證工作階段** – 了解 IAM Identity Center 如何管理不同類型的使用者工作階段,從互動式入口網站工作階段到背景應用程式工作階段,以及它們如何彼此互動。
+ **使用者存取管理** – 設定工作階段持續時間、停用使用者帳戶,以及實作整個組織的存取區塊,以維護安全性和合規性。
+ **密碼管理** – 對於在 Identity Center 目錄中建立的使用者,請設定密碼需求、處理使用者登入資料設定,以及管理使用者的密碼重設。
+ **多重要素驗證** – 對於在 Identity Center 目錄中建立的使用者,請使用驗證器應用程式、安全金鑰或內建驗證器來增強 MFA 的安全性,以保護使用者登入。
**Topics**
+ [了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)
+ [在 IAM Identity Center 中設定工作階段持續時間](configure-user-session.md)
+ [在 IAM Identity Center 中停用使用者對 AWS 帳戶 和應用程式的存取](disableuser.md)
+ [使用服務控制政策拒絕使用者存取](authconcept-revoke-access.md)
+ [管理 Identity Center 目錄中使用者的存取權](managing-workforce-access-identity-center-directory.md)
# 了解 IAM Identity Center 中的身分驗證工作階段
當使用者登入[AWS 存取入口網站](using-the-portal.md)時,IAM Identity Center 會建立代表使用者已驗證身分的身分驗證工作階段。
通過身分驗證後,使用者可以存取管理員授予他們使用許可的所有已指派 AWS 帳戶、[AWS 受管應用程式](awsapps.md)和[客戶受管應用程式](customermanagedapps.md),而無需額外的登入。
## 身分驗證工作階段的類型
### 使用者互動式工作階段
使用者登入 AWS 存取入口網站後,IAM Identity Center 會建立使用者互動式工作階段。此工作階段代表使用者在 IAM Identity Center 中的已驗證狀態,並做為建立其他工作階段類型的基礎。使用者互動式工作階段可持續 IAM Identity Center 中設定的持續時間,最長可達 90 天。
使用者互動式工作階段是主要身分驗證機制。它們會在使用者登出或管理員結束其工作階段時結束。這些工作階段的持續時間應根據組織的安全需求仔細設定。
如需設定使用者互動式工作階段持續時間的資訊,請參閱 [在 IAM Identity Center 中設定工作階段持續時間](configure-user-session.md)。
### 應用程式工作階段
應用程式工作階段是 IAM Identity Center 透過單一登入建立的使用者與 AWS 受管應用程式 (例如 Kiro 或 Amazon Quick) 之間的驗證連線。
根據預設,應用程式工作階段有一小時的生命週期,但只要基礎使用者互動式工作階段仍然有效,系統就會自動重新整理這些工作階段。此重新整理機制可為使用者提供無縫體驗,同時維護安全控制。當使用者互動式工作階段結束時,無論是透過使用者登出或管理員動作,應用程式工作階段都會在下一次重新整理嘗試時結束,通常在 30 分鐘內結束。
### 使用者背景工作階段
使用者背景工作階段是延長持續時間工作階段,專為需要執行程序數小時或數天而不會中斷的應用程式而設計。目前,此工作階段類型主要適用於 [Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html),其中資料科學家可能會執行需要數小時才能完成的機器學習訓練任務。
如需設定使用者背景工作階段持續時間的資訊,請參閱[使用者背景工作階段](user-background-sessions.md)。
### Kiro 工作階段
您可以擴展 Kiro 工作階段,以允許開發人員在 IDEs 中使用 Kiro 來維持身分驗證長達 90 天。當您處理程式碼時,此功能可減少登入中斷。
這些工作階段獨立於其他工作階段類型,不會影響使用者互動式工作階段或其他 AWS 受管應用程式。視您啟用 IAM Identity Center 的時間而定,此功能預設可能會啟用。
如需設定擴充 Kiro 工作階段的詳細資訊,請參閱 [Kiro 的延伸工作階段](90-day-extended-session-duration.md)。
### IAM Identity Center 建立的 IAM 角色工作階段
當使用者存取 AWS 管理主控台 或 時,IAM Identity Center 會建立不同類型的工作階段 AWS CLI。在這些情況下,IAM Identity Center 會使用登入工作階段,透過擔任使用者許可集中指定的 IAM 角色來取得 IAM 工作階段。
**重要**
與應用程式工作階段不同,IAM 角色工作階段會在建立後獨立運作。無論原始登入工作階段的狀態為何,它們會保留在許可集中設定的持續時間,最長可達 12 小時。此行為可確保長時間執行的 CLI 操作或主控台工作階段不會意外結束。
## IAM Identity Center 中最終使用者工作階段的方法
### 使用者啟動
當使用者登出 AWS 存取入口網站時,登入工作階段會結束,讓使用者無法存取任何新資源。
不過,現有的應用程式工作階段不會立即結束。相反地,當他們嘗試下一次重新整理並發現登入工作階段不再有效時,他們會在大約 30 分鐘內結束。現有的 IAM 角色工作階段會繼續,直到根據許可集組態過期為止,最長可能在 12 小時後。
### 管理員啟動
組織中具有 IAM Identity Center 管理許可的任何人,通常是 IT 管理員或安全團隊,都可以[結束使用者的工作階段](end-active-sessions.md)。此動作的運作方式與使用者自行登出的方式相同,可讓管理員在需要時要求使用者再次登入。當安全政策變更或偵測到可疑活動時,此功能很有用。
當 IAM Identity Center 管理員[刪除使用者](deleteusers.md)或[停用使用者的存取權](disableuser.md)時,使用者將失去 AWS 存取入口網站的存取權,且無法重新登入以啟動新的應用程式或 IAM 角色工作階段。使用者將在 30 分鐘內失去對現有應用程式工作階段的存取權。任何現有的 IAM 角色工作階段都會根據 IAM Identity Center 許可集中設定的工作階段持續時間繼續。工作階段持續時間上限為 12 小時。
## 當您結束工作階段時,使用者存取會發生什麼情況
此參考提供 IAM Identity Center 工作階段在採取管理動作時如何運作的詳細資訊。本節中的表格顯示使用者管理動作的持續時間和效果,以及存取 AWS 入口網站、應用程式和 AWS 帳戶 工作階段的許可變更。
### 使用者管理
此表格摘要說明使用者管理變更如何影響對 AWS 資源、應用程式工作階段和 AWS 帳戶工作階段的存取。
| Action | 使用者失去 IAM Identity Center 存取權 | 使用者無法建立新的應用程式工作階段 | 使用者無法存取現有的應用程式工作階段 | 使用者失去對現有 AWS 帳戶 工作階段的存取權 |
| --- | --- | --- | --- | --- |
| 使用者存取已停用 | 立即生效 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 使用者已刪除 | 立即生效 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 使用者工作階段已撤銷 | 使用者必須再次登入才能重新取得存取權 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 使用者登出 | 使用者必須再次登入才能重新取得存取權 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
### 群組成員資格
此資料表摘要說明使用者許可和群組成員資格的變更如何影響對 AWS 資源、應用程式工作階段和 AWS 帳戶工作階段的存取。
| Action | 使用者失去 IAM Identity Center 存取權 | 使用者無法建立新的應用程式工作階段 | 使用者無法存取現有的應用程式工作階段 | 使用者失去對現有 AWS 帳戶 工作階段的存取權 |
| --- | --- | --- | --- | --- |
| 從使用者移除的應用程式或 AWS 帳戶 存取權 | 否 - 使用者可以繼續存取 IAM Identity Center | 立即生效 | 1 小時內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 從已指派應用程式或 的群組中移除使用者 AWS 帳戶 | 否 - 使用者可以繼續存取 IAM Identity Center | 1 小時內 | 2 小時內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 從群組移除的應用程式或 AWS 帳戶 存取權 | 否 - 使用者可以繼續存取 IAM Identity Center | 立即生效 | 1 小時內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
**注意**
AWS 存取入口網站 和 AWS CLI 會在您從該群組新增或移除使用者後 1 小時內反映更新的使用者許可。
**了解計時差異**
+ **立即生效** – 需要立即重新驗證的動作。
+ **在 30 分鐘到 2 小時內** – 應用程式工作階段需要時間與 IAM Identity Center 檢查並探索任何變更。
+ **在 12 小時內 –** IAM 角色工作階段會獨立運作,且只會在其設定的持續時間過期時結束。
## 單一登出
IAM Identity Center 不支援由做為[您的身分來源](manage-your-identity-source.md)的身分提供者啟動的 SAML 單一登出 (當使用者登出時自動登出所有連線應用程式的通訊協定)。此外,它不會將 SAML 單一登出傳送至使用 IAM Identity Center 做為身分提供者的 [SAML 2.0 應用程式](customermanagedapps-saml2-oauth2.md)。
## 工作階段管理的最佳實務
有效的工作階段管理需要深思熟慮的組態和監控。組織應設定適合其安全需求的工作階段持續時間,通常針對敏感應用程式和環境使用較短的持續時間。
當使用者變更角色或離開組織時,實作程序以結束工作階段對於維護安全界限至關重要。應將作用中工作階段的定期審查納入安全監控實務中,以偵測可能表示安全問題的異常行為,例如異常存取模式、非預期的登入時間或位置,或存取正常工作職能以外的資源。
# 在 IAM Identity Center 中設定工作階段持續時間
您可以在員工使用者使用與 IAM Identity Center 搭配使用的 AWS 存取入口網站 和 應用程式時,為他們設定工作階段持續時間,包括 Kiro。IAM Identity Center 提供下列工作階段類型:使用者互動式工作階段、使用者背景工作階段,以及 Kiro 的延伸工作階段。
**Topics**
+ [使用者互動式工作階段](user-interactive-sessions.md)
+ [使用者背景工作階段](user-background-sessions.md)
+ [Kiro 的延伸工作階段](90-day-extended-session-duration.md)
+ [檢視和結束人力使用者的作用中工作階段](end-active-sessions.md)
+ [使用身分來源、CLI 和 SDK AWS 的工作階段持續時間考量 AWS SDKs](user-session-duration-prereqs-considerations.md)
# 使用者互動式工作階段
使用者互動式工作階段是與使用者登入 AWS 存取入口網站或受[AWS 管應用程式的](awsapps.md)存取相關聯的工作階段。和 AWS 存取入口網站 應用程式的工作階段身分驗證持續時間是使用者無需重新身分驗證即可登入的時間上限。如果您結束作用中的 AWS 存取入口網站工作階段,這也會結束這些受管應用程式的任何工作階段。
使用者互動式工作階段的預設工作階段持續時間為 8 小時。您可以指定不同的持續時間,從最短 15 分鐘到最長 90 天。自訂持續時間值必須以分鐘為單位輸入,且介於 15 分鐘到 129,600 分鐘 (90 天) 之間。如需詳細資訊,請參閱[了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
如需 IAM Identity Center 身分來源如何影響使用者互動式工作階段持續時間等考量事項,請參閱 [使用身分來源、CLI 和 SDK AWS 的工作階段持續時間考量 AWS SDKs](user-session-duration-prereqs-considerations.md)。
**設定使用者互動式工作階段的持續時間**
1. 開啟 IAM Identity Center 主控台。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**身分驗證**下,**工作階段持續時間**旁,選擇**設定**。隨即出現**設定工作階段持續時間**對話方塊。
1. 在**設定工作階段持續時間**對話方塊中,在**使用者互動式工作階段**下,選取下拉式箭頭,為您的使用者選擇工作階段持續時間上限。選擇工作階段的長度,然後選擇**儲存**。
**注意**
工作階段持續時間的變更僅適用於新的工作階段。目前的工作階段會保留其原始持續時間。
1. 您會返回身分**驗證**索引標籤。標籤上方出現綠色通知訊息,表示工作階段設定已成功更新。
# 使用者背景工作階段
使用者背景工作階段允許使用者在 [Amazon SageMaker Studio ](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html)等 AWS 受管應用程式上啟動長時間執行的任務,而不需要該使用者在任務執行期間保持登入狀態。任務會立即執行,並使用 IAM Identity Center [的信任身分傳播](trustedidentitypropagation-overview.md)功能,以確保在背景執行任務時維持使用者的許可。即使使用者關閉電腦、IAM Identity Center 登入工作階段過期,或使用者登出 AWS 存取入口網站,任務仍可繼續執行。此功能可讓資料科學家、機器學習工程師和其他人員開始在背景執行的分析和機器學習工作流程,而無需主動的使用者參與。
預設會針對支援的 AWS 受管應用程式啟用使用者背景工作階段,例如 Amazon SageMaker Studio。不過,若要使用此功能,您必須在建立或更新網域時,在 Amazon SageMaker Studio 中啟用信任的身分傳播。如需詳細資訊,請參閱[在您的 Amazon SageMaker AI 網域中啟用信任的身分傳播](https://docs.aws.amazon.com//sagemaker/latest/dg/trustedidentitypropagation-setup.html#trustedidentitypropagation-setup-enable)。
使用者背景工作階段的預設工作階段持續時間為 7 天。您可以指定不同的持續時間,從最短 15 分鐘到最長 90 天。自訂持續時間值必須以分鐘為單位輸入,且介於 15 分鐘到 129,600 分鐘 (90 天) 之間。
請記住下列使用者背景工作階段的考量事項:
+ 只有當使用者在 Amazon SageMaker Studio 中手動啟動任務時,才能建立使用者背景工作階段。自動化的排程工作流程不支援此功能。
+ 如需支援使用者背景工作階段 AWS 的區域清單,請參閱[支援 AWS 的區域](https://docs.aws.amazon.com//sagemaker/latest/dg/trustedidentitypropagation-compatibility.html#trustedidentitypropagation-compatibility-supported-regions)。
+ 您可以在 CloudTrail 中檢視使用者背景工作階段。如需詳細資訊,請參閱[識別使用者背景工作階段詳細資訊](sso-cloudtrail-use-cases.md#identifying-user-background-session-details)。
+ 您也可以結束組織中使用者的作用中工作階段。如需詳細資訊,請參閱[結束人力使用者的作用中工作階段](end-active-sessions.md)。
**設定使用者背景工作階段的持續時間**
1. 開啟 IAM Identity Center 主控台。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**身分驗證**下,**工作階段持續時間**旁,選擇**設定**。**設定工作階段持續時間**對話方塊隨即出現。
1. 在**設定工作階段持續時間**對話方塊中,如果尚未選取**啟用使用者背景工作階段**核取方塊,請選取它。清除核取方塊以停用使用者背景工作階段。
**注意**
如果您停用使用者背景工作階段,目前工作階段不會受到影響。
1. 在**使用者背景工作階段**下,選取下拉式箭頭,以選擇工作階段持續時間上限。選擇工作階段的長度,然後選擇**儲存**。
**注意**
工作階段持續時間的變更僅適用於新的工作階段。目前的工作階段會保留其原始持續時間。
1. 您會返回身分**驗證**索引標籤。標籤上方出現綠色通知訊息,表示工作階段設定已成功更新。
**注意**
客戶受管應用程式無法建立使用者背景工作階段。
# Kiro 的延伸工作階段
如果您的開發人員使用 Kiro 做為整合開發環境 (IDE) 的一部分,您可以將 Kiro 的工作階段持續時間設定為 90 天。視您啟用 IAM Identity Center 的時間而定,預設可能會啟用 Kiro 的延長工作階段持續時間。此延伸工作階段不會影響 AWS 存取入口網站或其他 AWS 受管應用程式的工作階段持續時間。
如需 IAM Identity Center 身分來源如何影響延長工作階段持續時間等考量,請參閱 [使用身分來源、CLI 和 SDK AWS 的工作階段持續時間考量 AWS SDKs](user-session-duration-prereqs-considerations.md)。
**注意**
Kiro 可從設定為商業 AWS 區域 且預設為啟用的主控台存取。如果您的 IAM Identity Center 執行個體位於目前無法存取 Kiro 的區域,則啟用 90 天的延長工作階段持續時間不會覆寫預設設定。這表示無論您是否啟用 90 天的延長工作階段持續時間,工作階段持續時間都不會改變。如需詳細資訊,[請參閱 Kiro 支援的 AWS 區域](https://docs.aws.amazon.com//amazonq/latest/qdeveloper-ug/regions.html)。
**擴展 Kiro 的工作階段**
1. 開啟 IAM Identity Center 主控台。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**身分驗證**下,**工作階段持續時間**旁,選擇**設定**。隨即出現**設定工作階段持續時間**對話方塊。
1. 在**設定工作階段持續時間**對話方塊中,選取**啟用 Kiro 的延伸工作階段**核取方塊。清除核取方塊以停用 Kiro 的延伸工作階段工作階段。
1. 選擇**儲存**以返回**設定**頁面。
# 檢視和結束人力使用者的作用中工作階段
身為 IAM Identity Center 管理員,您可以檢視人力使用者作用中工作階段的清單,並視需要結束使用者的一或多個工作階段。例如,您可能需要在以下情況下結束使用者的工作階段:
+ 使用者不再需要工作階段。
+ 使用者不應維持其目前的身分驗證狀態。當他們離開公司或其許可變更時,可能會發生這種情況。
您可以使用 IAM Identity Center 主控台來檢視和結束這些工作階段。您的使用者也可以使用 AWS 存取入口網站檢視和結束自己的工作階段。如需有關您的人力資源使用者如何在無需管理員協助的情況下檢視和結束其工作階段的資訊,請參閱 [檢視和結束作用中工作階段](end-user-how-to-end-active-sessions-accessportal.md)。
**注意**
結束 IAM Identity Center 使用者的作用中工作階段不會結束 AWS 管理主控台 或 中的任何作用中 IAM 角色工作階段 AWS CLI。如需詳細資訊,請參閱[了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
**結束人力使用者的作用中工作階段 (IAM Identity Center 主控台)**
1. 開啟 IAM Identity Center 主控台。
1. 選擇 **Users** (使用者)。
1. 在**使用者**頁面上,選擇您要管理其工作階段的使用者名稱。這會帶您前往包含使用者資訊的頁面。
1. 在使用者頁面上,選擇**作用中工作階段**索引標籤。**作用中工作階段**旁的括號中的數字表示此使用者的作用中工作階段數量。
1.
**搜尋使用者背景工作階段 (選用)**
若要依使用工作階段之任務的 Amazon Resource Name (ARN) 搜尋工作階段,請在**工作階段類型**清單中,選擇**使用者背景工作階段**,然後在搜尋方塊中輸入任務 ARN。
**注意**
您只能結束載入的作用中工作階段。如果使用者有許多工作階段,請選擇**載入更多作用中工作階段**以顯示其他工作階段。
1. 選取您要結束的每個工作階段旁的核取方塊,然後選擇**結束工作階段**。
1. 隨即出現對話方塊,確認您要結束此使用者的作用中工作階段。檢閱資訊,如果您想要繼續,請輸入 `confirm`,然後選擇**結束工作階段**。
1. 您會回到使用者的頁面。會出現綠色通知訊息,指出選取的工作階段已成功結束。
# 使用身分來源、CLI 和 SDK AWS 的工作階段持續時間考量 AWS SDKs
如果您使用 Microsoft Active Directory (AD) 或外部身分提供者 (IdP) 做為身分來源,或 AWS 軟體開發套件 (SDKs) 或其他 AWS 開發工具以程式設計方式存取 AWS 服務 AWS Command Line Interface,則設定工作階段持續時間的考量如下。
## Kiro 的 Microsoft Active Directory、使用者互動式工作階段和延伸工作階段
如果您使用 Microsoft Active Directory (AD) 做為身分來源,並為 Kiro 的使用者互動式工作階段或延伸工作階段設定工作階段持續時間,請謹記下列考量。
**注意**
這些考量不適用於使用者背景工作階段。
無論您是在 中使用 AWS Managed Microsoft AD 或 AD Connector AWS Directory Service,在 Microsoft AD 中定義的使用者 Kerberos 票證最長生命週期可能會影響 Kiro 的使用者互動式工作階段和延伸工作階段的有效時間。如需此設定的詳細資訊,請參閱 Microsoft 網站上的[使用者票證生命週期上限](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket)。
+ **AWS Managed Microsoft AD**:如果您在 中使用 AWS Managed Microsoft AD 設定 AWS Directory Service,使用者 Kerberos 票證的生命週期上限固定為 10 小時。因此,使用者互動式工作階段持續時間設定為較短的 IAM Identity Center 設定和 10 小時。例如,如果您將使用者互動式工作階段持續時間設定為 12 小時,您的使用者必須在 10 小時後在 AWS 存取入口網站中重新驗證身分。相同的 10 小時限制適用於 Kiro 的延伸工作階段。
+ **AD Connector**:如果您使用在 中設定的 AD Connector AWS Directory Service,使用者 Kerberos 票證的最長生命週期會在 AD Connector 後方的 Microsoft AD 中定義。預設值為 10 小時,且對使用者互動式工作階段和延伸工作階段的影響與 相同 AWS Managed Microsoft AD。雖然此限制可能可在 Microsoft AD 中設定,但我們建議您與 IT 管理員合作考慮風險,尤其是因為此設定可能會影響其他 Microsoft AD 用戶端應用程式的工作階段持續時間。
## Kiro 的外部身分提供者、使用者互動式工作階段和延伸工作階段
如果您使用外部身分提供者 (IdP),並為 Kiro 的使用者互動式工作階段或延伸工作階段設定工作階段持續時間,請謹記下列考量。
**注意**
這些考量不適用於使用者背景工作階段。
IAM Identity Center 使用來自 SAML 聲明的`SessionNotOnOrAfter`屬性,以協助判斷工作階段的有效時間長度。
+ 如果 `SessionNotOnOrAfter` 未在 SAML 聲明中傳遞,則 AWS 存取入口網站 (使用者互動式) 工作階段的持續時間和延伸工作階段不受外部 IdP 工作階段的持續時間影響。例如,如果您的 IdP 工作階段持續時間為 24 小時,而且您在 IAM Identity Center 中設定了 18 小時的工作階段持續時間,您的使用者必須在 18 小時後在 AWS 存取入口網站中重新驗證。同樣地,如果您為 Kiro 設定 90 天的延長工作階段,您的 Kiro 使用者需要在 90 天後重新驗證。
+ 如果`SessionNotOnOrAfter`傳入 SAML 聲明,工作階段持續時間值會設定為較短的 AWS 存取入口網站 (使用者互動式) 工作階段或延長工作階段持續時間和您的 SAML IdP 工作階段持續時間。如果您在 IAM Identity Center 中設定 72 小時的工作階段持續時間,且 IdP 的工作階段持續時間為 18 小時,您的使用者將有權存取 IdP 中定義的 18 小時 AWS 的資源。同樣地,如果您為 Kiro 設定 90 天的延長工作階段,您的 Kiro 使用者需要在 18 小時後在 Kiro 中重新驗證身分。
+ 如果 IdP 的工作階段持續時間超過 IAM Identity Center 中設定的工作階段持續時間,您的使用者可以啟動新的 IAM Identity Center 工作階段,而無需根據其使用 IdP 的仍然有效登入工作階段重新輸入其憑證。
## AWS CLI 和 SDK 工作階段
如果您使用 AWS CLI、 AWS SDKs 或其他 AWS 開發工具以程式設計方式存取 AWS 服務,則必須符合下列先決條件,才能設定 AWS 存取入口網站和 AWS 受管應用程式的工作階段持續時間。
+ 您必須在 IAM Identity Center 主控台中[設定 AWS 存取入口網站工作階段持續時間](user-interactive-sessions.md)。
+ 您必須為共用 AWS 組態檔案中的單一登入設定定義設定檔。此設定檔用於連線至 AWS 存取入口網站。我們建議您使用 SSO 權杖提供者組態。使用此組態,您的 AWS SDK 或工具可以自動擷取重新整理的身分驗證字符。如需詳細資訊,請參閱 *AWS SDK 和工具參考指南*中的 [SSO 權杖提供者組態](https://docs.aws.amazon.com//sdkref/latest/guide/feature-sso-credentials.html#sso-token-config)。
+ 使用者必須執行支援工作階段管理的 AWS CLI 或 SDK 版本。
### AWS CLI 支援工作階段管理的 最低版本
以下是 AWS CLI 支援工作階段管理的 最低版本。
+ AWS CLI V2 2.9 或更新版本
+ AWS CLI V1 1.27.10 或更新版本
**注意**
對於帳戶存取使用案例,如果您的使用者正在執行 AWS CLI,如果您在 IAM Identity Center 工作階段設定為過期之前重新整理許可集,且工作階段持續時間設定為 20 小時,而許可集持續時間設定為 12 小時,則 AWS CLI 工作階段的執行時間最長為 20 小時,加上 12 小時,總計為 32 小時。如需 IAM Identity Center CLI 的詳細資訊,請參閱 [AWS CLI 命令參考。](https://docs.aws.amazon.com/cli/latest/reference/identitystore)
### 支援 IAM Identity Center 工作階段管理的SDKs最低版本
以下是支援 IAM Identity Center 工作階段管理的SDKs最低版本。
****
| SDK | 最低版本 |
| --- | --- |
| Python | 1.26.10 |
| PHP | 3.245.0 |
| Ruby | aws-sdk-core 3.167.0 |
| Java V2 | AWS 適用於 Java 的 SDK v2 (2.18.13) |
| Go V2 | 整個 SDK: Release-2022-11-11 和特定 Go 模組: credentials/v1.13.0、config/v1.18.0 |
| JS V2 | 2.1253.0 |
| JS V3 | v3.210.0 |
| C\$1\$1 | 1.9.372 |
| .NET | v3.7.400.0 |
# 在 IAM Identity Center 中停用使用者對 AWS 帳戶 和應用程式的存取
當您在 IAM Identity Center 目錄中停用使用者存取權時,您無法編輯其使用者詳細資訊、重設密碼、將使用者新增至群組,或檢視其群組成員資格。停用使用者存取可防止他們登入 AWS 存取入口網站,而且他們將無法再存取其指派 AWS 帳戶 的應用程式。當您稍後可能需要還原存取權時,請使用停用使用者存取權來移除臨時存取權。
使用下列程序,使用 IAM Identity Center 主控台停用 Identity Center 目錄中的使用者存取。
**注意**
當您在 IAM Identity Center 中停用使用者存取或刪除使用者時,該使用者將立即無法登入 AWS 存取入口網站,且無法建立新的登入工作階段。如需詳細資訊,請參閱[了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
**在 IAM Identity Center 中停用使用者存取**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**重要**
本頁面上的指示適用於 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)。它們不適用於 [AWS Identity and Access Management](https://aws.amazon.com/iam/)(IAM)。IAM Identity Center 使用者、群組和使用者憑證與 IAM 使用者、群組和 IAM 使用者憑證不同。如果您要尋找在 IAM 中停用使用者的指示,請參閱[《 使用者指南》中的管理 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html)。 *AWS Identity and Access Management *
1. 選擇 **Users** (使用者)。
1. 選取您要停用其存取權的使用者名稱。
1. 在您要停用其存取權的使用者使用者名稱下方,在**一般資訊**區段中,選擇**停用使用者存取權**。
1. 在**停用使用者存取**對話方塊中,選擇**停用使用者存取**。
# 使用服務控制政策拒絕使用者存取
若要在停用 IAM Identity Center 使用者的存取權或刪除使用者時,立即拒絕存取以進行授權的 API 呼叫,您可以:
1. [新增或更新](howtoviewandchangepermissionset.md)指派給使用者的許可集[的內嵌政策](permissionsetcustom.md#permissionsetsinlineconcept) (透過在所有資源上新增所有動作的明確`Deny`效果)。
1. 指定 `aws:userid`或 `identitystore:userid`條件索引鍵。
或者,您可以使用[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)來拒絕使用者在您組織中所有成員帳戶的存取權。
**Example 拒絕存取的 SCP 範例**
此拒絕政策會封鎖特定使用者的所有 AWS 動作,無論他們可能在別處獲得其他許可。此政策會覆寫任何`Allow`政策。
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:UserId": "*:deleteduser@domain.com"
}
}
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"identitystore:UserId": "DELETEDUSER_ID"
}
}
}
]
}
```
# 管理 Identity Center 目錄中使用者的存取權
了解如何在 IAM Identity Center 目錄中管理使用者的密碼和多重驗證 (MFA)。這些安全功能有助於保護使用者帳戶。
**注意**
這些功能不適用於 Active Directory 使用者或外部身分提供者使用者。
管理員可以透過 IAM Identity Center 主控台管理密碼和 MFA。這些安全功能僅適用於內建的 Identity Center 目錄。
## 密碼管理
密碼管理包含下列功能:
+ 使用電子郵件指示重設密碼
+ 產生一次性密碼
+ 為 API 建立的使用者設定自動電子郵件驗證
AWS 強制執行固定的安全要求,包括複雜性規則和密碼重複使用限制。
## MFA
MFA 預設為啟用,並支援每個使用者最多八個裝置。
支援的裝置類型包括:
+ 驗證器應用程式
+ 安全金鑰
+ 內建生物識別驗證器
管理員可以為使用者註冊和管理 MFA 裝置。
**Topics**
+ [密碼管理](#password-management-overview)
+ [MFA](#mfa-overview)
+ [設定使用者密碼](set-up-user-passwords.md)
+ [MFA for Identity Center 目錄使用者](enable-mfa.md)
# 設定使用者密碼
對於在 Identity Center 目錄中建立的使用者,管理員可以管理密碼政策、在沒有初始密碼的情況下處理使用者,以及在需要時重設密碼。這些密碼管理功能僅適用於內建 Identity Center 目錄中的使用者。如果您使用的是 Active Directory 或外部身分提供者,則必須在這些系統中管理密碼。
**密碼管理選項**
+ **密碼要求** – 使用者在設定或變更密碼時必須符合的安全要求。這包括複雜性規則和重複使用限制。
+ **一次性密碼設定** – 為沒有初始密碼的 API 或 CLI 建立的使用者設定電子郵件驗證。您也可以產生臨時密碼以供立即存取。
+ **密碼重設** – 為遭鎖定或需要新登入資料的使用者重設密碼。您可以使用電子郵件傳送重設指示或產生一次性密碼。
**Topics**
+ [在 IAM Identity Center 中管理身分時的密碼需求](password-requirements.md)
+ [透過電子郵件將一次性密碼傳送給使用 API 或 CLI 建立的使用者](userswithoutpwd.md)
+ [重設最終使用者的 IAM Identity Center 使用者密碼](reset-password-for-user.md)
# 在 IAM Identity Center 中管理身分時的密碼需求
**注意**
這些要求僅適用於在 Identity Center 目錄中建立的使用者。如果您已設定 IAM Identity Center 以外的身分來源進行身分驗證,例如 [https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)或[外部身分提供者](confirm-identity-source.md),則會在這些系統中定義和強制執行使用者的密碼政策,而不是在 IAM Identity Center 中。如果您的身分來源是 AWS Managed Microsoft AD,請參閱[管理 的密碼政策 AWS Managed Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_password_policies.html)以取得更多資訊。
當您使用 IAM Identity Center 做為身分來源時,使用者必須遵循下列密碼要求來設定或變更其密碼:
+ 密碼區分大小寫。
+ 密碼長度必須介於 8 到 64 個字元之間。
+ 密碼必須至少包含下列四個類別中的一個字元:
+ 小寫字母 (a-z)
+ 大寫字母 (A-Z)
+ 數字 (0-9)
+ 非英數字元 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
+ 最後三個密碼無法重複使用。
+ 無法使用透過從第三方洩露的資料集公開知道的密碼。
# 透過電子郵件將一次性密碼傳送給使用 API 或 CLI 建立的使用者
當您使用 API [https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateUser.html](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateUser.html) 操作或 CLI `create-user` 命令建立使用者時,使用者沒有密碼。如果您在建立使用者時已為使用者指定電子郵件,則可以更新 IAM Identity Center 中的設定,在使用者第一次嘗試登入後傳送驗證電子郵件給這些使用者。收到驗證電子郵件後,使用者必須設定密碼以登入。
如果您未啟用此設定,則必須[產生一次性密碼](reset-password-for-user.md),並與使用 CreateUser API 或 CLI `create-user` 命令建立的使用者共用。
**將電子郵件地址驗證電子郵件傳送給使用 CreateUser API 或 CLI `create-user` 命令建立的使用者**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**標準身分驗證**區段中,選擇**設定**。
1. 在**設定標準身分驗證**對話方塊中,選取**傳送電子郵件 OTP** 核取方塊。然後選擇 **Save (儲存)**。狀態會從**已停用**更新為**已啟用**。
# 重設最終使用者的 IAM Identity Center 使用者密碼
此程序適用於需要重設 IAM Identity Center 目錄中使用者密碼的管理員。您將使用 IAM Identity Center 主控台來重設密碼。
**身分提供者和使用者類型的考量事項**
+ **Microsoft Active Directory 或外部提供者** – 如果您要將 IAM Identity Center 連線至 Microsoft Active Directory 或外部提供者,則必須從 Active Directory 或外部提供者中重設使用者密碼。這表示無法從 IAM Identity Center 主控台重設這些使用者的密碼。
+ **IAM Identity Center 目錄中的使用者** – 如果您是 IAM Identity Center 使用者,您可以重設自己的 IAM Identity Center 密碼,請參閱 [重設您的 AWS 存取入口網站使用者密碼](resetpassword-accessportal.md)。
**重設 IAM Identity Center 最終使用者的密碼**
**重要**
本頁面上的指示適用於 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)。它們不適用於 [AWS Identity and Access Management](https://aws.amazon.com/iam/)(IAM)。IAM Identity Center 使用者、群組和使用者憑證與 IAM 使用者、群組和 IAM 使用者憑證不同。如果您要尋找變更 IAM 使用者密碼的指示,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[管理 IAM 使用者的密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html)。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Users** (使用者)。
1. 選取您要重設其密碼的使用者名稱。
1. 在使用者詳細資訊頁面上,選擇**重設密碼**。
1. 在**重設密碼**對話方塊中,選取下列其中一個選項,然後選擇**重設密碼**:
1. **向使用者傳送電子郵件,其中包含重設密碼的指示** – 此選項會自動向使用者傳送來自 Amazon Web Services 的電子郵件,引導他們如何重設密碼。
**警告**
基於安全最佳實務,請先驗證此使用者的電子郵件地址是否正確,再選取此選項。如果此密碼重設電子郵件傳送到不正確或設定錯誤的電子郵件地址,惡意收件人可能會使用它來未經授權存取您的 AWS 環境。
1. **產生一次性密碼並與使用者共用密碼** – 此選項為您提供密碼詳細資訊,您可以從您的電子郵件地址手動傳送給使用者。
# MFA for Identity Center 目錄使用者
**重要**
IAM Identity Center 中的 MFA 目前不支援[外部身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。
IAM Identity Center 預設會預先設定多重要素驗證 (MFA),因此所有使用者除了使用者名稱和密碼之外,還必須使用 MFA 登入。這可確保使用者必須使用下列兩個因素登入 AWS 存取入口網站:
+ 他們的使用者名稱和密碼。這是使用者知道的第一個因素。
+ 程式碼、安全金鑰或生物識別。這是第二個因素,是使用者擁有 (擁有) 或 (生物指標) 的項目。第二個因素可能是從其行動裝置產生的身分驗證代碼、連接到其電腦的安全金鑰,或使用者的生物識別掃描。
除非已成功完成有效的 MFA 挑戰,否則這些因素可共同防止未經授權存取您的 AWS 資源,從而提高安全性。
每個使用者最多可以註冊兩個虛擬驗證器應用程式,這是安裝在行動裝置或平板電腦上的一次性密碼驗證器應用程式,以及六個 FIDO 驗證器,其中包含內建驗證器和安全金鑰,總共**八個** MFA 裝置。進一步了解 [IAM Identity Center 可用的 MFA 類型](mfa-types.md)。
**Topics**
+ [IAM Identity Center 可用的 MFA 類型](mfa-types.md)
+ [在 IAM Identity Center 中設定 MFA](mfa-configure.md)
+ [為使用者註冊 MFA 裝置](how-to-register-device.md)
+ [在 IAM Identity Center 中重新命名和刪除 MFA 裝置](how-to-manage-device.md)
# IAM Identity Center 可用的 MFA 類型
多重要素驗證 (MFA) 是一種簡單且有效的機制,可增強使用者的安全性。使用者的第一個因素 — 其密碼 — 是他們記住的秘密,也稱為知識因素。其他因素可以是擁有因素 (您擁有的事物,例如安全金鑰) 或繼承因素 (您自身的事物,例如生物特徵掃描)。我們強烈建議您設定 MFA 為您的帳戶新增額外的安全層。
IAM Identity Center MFA 支援下列裝置類型。所有 MFA 類型都支援瀏覽器型主控台存取,以及搭配 IAM Identity Center 使用 AWS CLI v2。
+ [FIDO2 驗證器](#mfa-types-fido2),包括內建驗證器和安全金鑰
+ [虛擬驗證器應用程式](#mfa-types-apps)
+ 您自己的[RADIUS MFA](#about-radius)實作透過 連線 AWS Managed Microsoft AD
使用者最多可以有**八個** MFA 裝置,其中包含最多兩個虛擬驗證器應用程式和六個 FIDO 驗證器,註冊到一個 AWS 帳戶。您也可以將 MFA 設定設定為當 MFA 嘗試從新裝置或瀏覽器登入,或從未知 IP 地址登入時需要 MFA。如需如何為使用者設定 MFA 設定的詳細資訊,請參閱 [選擇 MFA 類型進行使用者身分驗證](how-to-configure-mfa-types.md)和 [設定 MFA 裝置強制執行](how-to-configure-mfa-device-enforcement.md)。
## FIDO2 驗證器
[FIDO2](https://fidoalliance.org/fido2/) 是包含 CTAP2 和 [WebAuthn](https://www.w3.org/TR/webauthn-2/) 的標準,以公有金鑰密碼編譯為基礎。FIDO 登入資料具有網路釣魚防護,因為它們對建立登入資料的網站是唯一的,例如 AWS。
AWS 支援 FIDO 驗證器的兩種最常見形式因素:內建驗證器和安全金鑰。如需 FIDO 驗證器最常見類型的詳細資訊,請參閱下文。
**Topics**
+ [內建驗證器](#mfa-types-built-in-auth)
+ [安全金鑰](#mfa-types-keys)
+ [密碼管理員、通行金鑰提供者和其他 FIDO 驗證器](#mfa-types-other)
### 內建驗證器
許多現代電腦和行動電話都有內建的身分驗證器,例如 Macbook 上的 TouchID 或 Windows Hello 相容相機。如果您的裝置具有與 FIDO 相容的內建驗證器,您可以使用指紋、臉部或裝置接腳做為第二個因素。
### 安全金鑰
安全金鑰是與 FIDO 相容的外部硬體驗證器,您可以透過 USB、BLE 或 NFC 購買並連線至您的裝置。系統提示您輸入 MFA 時,您只需使用金鑰的感應器完成手勢即可。安全金鑰的一些範例包括 YubiKeys 和 Feitian 金鑰,而最常見的安全金鑰會建立裝置繫結 FIDO 憑證。如需所有 FIDO 認證安全金鑰的清單,請參閱 [FIDO 認證產品](https://fidoalliance.org/certification/fido-certified-products/)。
### 密碼管理員、通行金鑰提供者和其他 FIDO 驗證器
多個第三方供應商支援行動應用程式中的 FIDO 身分驗證,作為密碼管理員、具有 FIDO 模式的智慧卡和其他規格尺寸的功能。這些與 FIDO 相容的裝置可與 IAM Identity Center 搭配使用,但我們建議您先自行測試 FIDO 驗證器,再為 MFA 啟用此選項。
**注意**
有些 FIDO 驗證器可以建立可探索的 FIDO 登入資料,稱為通行金鑰。通行金鑰可能繫結至建立通行金鑰的裝置,也可能可同步並備份至雲端。例如,您可以在支援的 Macbook 上使用 Apple Touch ID 註冊通行金鑰,然後在 iCloud 中使用 Google Chrome 搭配通行金鑰從 Windows 筆記型電腦登入 網站,方法是遵循登入時的螢幕提示。如需哪些裝置支援作業系統和瀏覽器之間的可同步通行金鑰和目前通行金鑰互通性的詳細資訊,請參閱 [passkeys.dev](https://passkeys.dev/) 中的[裝置支援](https://passkeys.dev/device-support/),這是 FIDO Alliance and World Wide Web Consortium (W3C) 維護的資源。
## 虛擬驗證器應用程式
驗證器應用程式基本上是一次性密碼 (OTP) 第三方身分驗證器。您可以使用安裝在行動裝置或平板電腦上的驗證器應用程式,做為授權的 MFA 裝置。第三方驗證器應用程式必須符合 RFC 6238,這是標準型的一次性密碼 (TOTP) 演算法,能夠產生六位數驗證碼。
當提示輸入 MFA 時,使用者必須在顯示的輸入方塊中輸入來自驗證器應用程式的有效代碼。每個指派給使用者的 MFA 裝置都必須是唯一的。您可以為任何指定的使用者註冊兩個驗證器應用程式。
### 已測試的驗證器應用程式
任何符合 TOTP 的應用程式都可以使用 IAM Identity Center MFA。下表列出知名的第三方驗證器應用程式供您選擇。
| 作業系統 | 已測試的驗證器應用程式 |
| --- | --- |
| Android | [https://play.google.com/store/apps/details?id=com.authy.authy](https://play.google.com/store/apps/details?id=com.authy.authy), [https://play.google.com/store/apps/details?id=com.duosecurity.duomobile](https://play.google.com/store/apps/details?id=com.duosecurity.duomobile), [https://play.google.com/store/apps/details?id=com.azure.authenticator](https://play.google.com/store/apps/details?id=com.azure.authenticator), [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) |
| iOS | [https://apps.apple.com/us/app/authy/id494168017](https://apps.apple.com/us/app/authy/id494168017), [https://apps.apple.com/us/app/duo-mobile/id422663827](https://apps.apple.com/us/app/duo-mobile/id422663827), [https://apps.apple.com/us/app/microsoft-authenticator/id983156458](https://apps.apple.com/us/app/microsoft-authenticator/id983156458), [https://apps.apple.com/us/app/google-authenticator/id388497605](https://apps.apple.com/us/app/google-authenticator/id388497605) |
## RADIUS MFA
[遠端身分驗證撥入使用者服務 (RADIUS)](https://en.wikipedia.org/wiki/RADIUS) 是一種業界標準的用戶端伺服器通訊協定,可提供身分驗證、授權和會計管理,讓使用者可以連線至網路服務。 Directory Service 包含 RADIUS 用戶端,可連線至您已實作 MFA 解決方案的 RADIUS 伺服器。如需詳細資訊,請參閱[啟用 的多重要素驗證 AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)。
您可以在 IAM Identity Center 中使用 RADIUS MFA 或 MFA 來登入使用者入口網站,但不能同時使用兩者。IAM Identity Center 中的 MFA 是 RADIUS MFA 的替代方案,如果您需要 AWS 原生雙重驗證來存取入口網站。
當您在 IAM Identity Center 中啟用 MFA 時,您的使用者需要 MFA 裝置才能登入 AWS 存取入口網站。如果您先前已使用 RADIUS MFA,在 IAM Identity Center 中啟用 MFA 會有效地覆寫登入 AWS 存取入口網站的使用者的 RADIUS MFA。不過,RADIUS MFA 會在使用者登入使用 的所有其他應用程式時繼續挑戰使用者 Directory Service,例如 Amazon RDS for SQL Server。
如果您的 MFA 在 IAM Identity Center 主控台上**已停用**,且您已使用 設定 RADIUS MFA Directory Service,則 RADIUS MFA 會管理 AWS 存取入口網站登入。這表示如果停用 MFA,IAM Identity Center 會回到 RADIUS MFA 組態。
# 在 IAM Identity Center 中設定 MFA
使用 IAM Identity Center 的身分存放區或 AD Connector 設定身分來源時 AWS Managed Microsoft AD,您可以在 IAM Identity Center 中設定多重要素驗證 (MFA) 功能。IAM Identity Center 中的 MFA 目前不支援[外部身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。
以下是一般 MFA 建議,取決於您的 IAM Identity Center 設定和組織偏好設定。
+ 建議使用者為所有啟用的 MFA 類型註冊多個備份驗證器。如果 MFA 裝置損壞或放置錯誤,此做法可以防止存取遺失。
+ 如果您的使用者必須登入 AWS 存取入口網站才能存取其電子郵件,請勿選擇**需要他們提供透過電子郵件傳送的一次性密碼**選項。例如,您的使用者可能會在 AWS 存取入口網站Microsoft 365中使用 來讀取其電子郵件。在此情況下,使用者將無法擷取驗證碼,也無法登入 AWS 存取入口網站。如需詳細資訊,請參閱[設定 MFA 裝置強制執行](how-to-configure-mfa-device-enforcement.md)。
+ 如果您已使用您設定的 RADIUS MFA Directory Service,則不需要在 IAM Identity Center 中啟用 MFA。IAM Identity Center 中的 MFA 是 IAM Identity Center Microsoft Active Directory使用者的 RADIUS MFA 替代方案。如需詳細資訊,請參閱[RADIUS MFA](mfa-types.md#about-radius)。
+ 下列 YouTube 影片提供 MFA 和 IAM Identity Center 的概觀:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/1iFvT8shnng?si=hpMeBAd85ypC3BTR)
**Topics**
+ [MFA 提示使用者](mfa-getting-started.md)
+ [選擇 MFA 類型進行使用者身分驗證](how-to-configure-mfa-types.md)
+ [設定 MFA 裝置強制執行](how-to-configure-mfa-device-enforcement.md)
+ [允許使用者註冊自己的 MFA 裝置](how-to-allow-user-registration.md)
# MFA 提示使用者
您可以使用下列步驟,判斷當員工使用者嘗試登入 AWS 存取入口網站時,提示他們進行多重要素驗證 (MFA) 的頻率。開始之前,建議您先了解 [IAM Identity Center 可用的 MFA 類型](mfa-types.md)。
**重要**
本節中的指示適用於 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)。它們不適用於 [AWS Identity and Access Management](https://aws.amazon.com/iam/)(IAM)。IAM Identity Center 使用者、群組和使用者憑證與 IAM 使用者、群組和 IAM 使用者憑證不同。如果您要尋找停用 IAM 使用者 MFA 的指示,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[停用 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html)。
**注意**
如果您使用的是外部 IdP,則**多重要素驗證**區段將無法使用。您的外部 IdP 會管理 MFA 設定,而不是管理它們的 IAM Identity Center。
**設定 MFA**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面**的提示 MFA 使用者**下,根據您的業務需求,選擇下列其中一種身分驗證模式:
+ **每次他們登入時 (一律開啟)**
在此模式中 (預設設定),IAM Identity Center 會要求具有已註冊 MFA 裝置的使用者在每次登入時收到提示。這是最安全的設定,並要求每次登入 AWS 存取入口網站時都使用 MFA,以確保強制執行您的組織或合規政策。例如,PCI DSS 強烈建議在每次登入期間使用 MFA,以存取支援高風險付款交易的應用程式。
+ **只有當其登入內容變更時 (context-aware)**
在此模式中,IAM Identity Center 提供使用者在登入期間信任其裝置的選項。在使用者指出他們想要信任裝置之後,IAM Identity Center 會提示使用者 MFA 一次,並分析使用者後續登入的登入內容 (例如裝置、瀏覽器和位置)。對於後續登入,IAM Identity Center 會判斷使用者是否使用先前信任的內容登入。如果使用者的登入內容變更,除了其電子郵件地址和密碼登入資料之外,IAM Identity Center 還會提示使用者輸入 MFA。
此模式為經常從其工作場所登入,但相較於**永遠開啟**選項較不安全的使用者提供易於使用的功能。只有在使用者的登入內容變更時,才會提示使用者輸入 MFA。
+ **從不 (已停用)**
在此模式中,所有使用者只會使用其標準使用者名稱和密碼登入。選擇此選項會停用 IAM Identity Center MFA,不建議這麼做。
為使用者停用 Identity Center 目錄的 MFA 時,您無法在其使用者詳細資訊中管理 MFA 裝置,而 Identity Center 目錄使用者無法從 AWS 存取入口網站管理 MFA 裝置。
**注意**
如果您已經搭配 使用 RADIUS MFA Directory Service,並想要繼續使用它做為預設 MFA 類型,則可以將身分驗證模式保持停用狀態,以略過 IAM Identity Center 中的 MFA 功能。從**停用**模式變更為**上下文感知**或**永遠開啟**模式會覆寫現有的 RADIUS MFA 設定。如需詳細資訊,請參閱[RADIUS MFA](mfa-types.md#about-radius)。
1. 選擇 **Save changes** (儲存變更)。
**相關主題**
+ [選擇 MFA 類型進行使用者身分驗證](how-to-configure-mfa-types.md)
+ [設定 MFA 裝置強制執行](how-to-configure-mfa-device-enforcement.md)
+ [允許使用者註冊自己的 MFA 裝置](how-to-allow-user-registration.md)
# 選擇 MFA 類型進行使用者身分驗證
使用下列程序,選擇使用者在 AWS 存取入口網站中提示進行多重要素驗證 (MFA) 時,可以驗證的裝置類型。
**為您的使用者設定 MFA 類型**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面上,**使用者可以使用這些 MFA 類型進行身分驗證**,根據您的業務需求選擇下列其中一個 MFA 類型。如需詳細資訊,請參閱[IAM Identity Center 可用的 MFA 類型](mfa-types.md)。
+ **安全金鑰和內建驗證器**
+ **驗證器應用程式**
1. 選擇**儲存變更**。
# 設定 MFA 裝置強制執行
使用下列程序來判斷您的使用者在登入 AWS 存取入口網站時是否必須擁有已註冊的 MFA 裝置。
如需 IAM 中 MFA 的詳細資訊,請參閱 [AWS IAM 中的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
**為您的使用者設定 MFA 裝置強制執行**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面上,**如果使用者還沒有已註冊的 MFA 裝置,**請根據您的業務需求選擇下列其中一個選項:
+ **要求他們在登入時註冊 MFA 裝置**
這是您第一次為 IAM Identity Center 設定 MFA 時的預設設定。當您想要要求尚未註冊 MFA 裝置的使用者在成功密碼身分驗證後,在登入期間自行註冊裝置時,請使用此選項。這可讓您使用 MFA 保護組織 AWS 的環境,而不必個別註冊身分驗證裝置並將其分發給使用者。在自我註冊期間,您的使用者可以從[IAM Identity Center 可用的 MFA 類型](mfa-types.md)先前啟用的可用 註冊任何裝置。完成註冊後,使用者可以選擇為其新註冊的 MFA 裝置提供易記名稱,之後 IAM Identity Center 會將使用者重新導向至其原始目的地。如果使用者的裝置遺失或遭竊,您可以從其帳戶移除該裝置,IAM Identity Center 會要求他們在下次登入時自行註冊新裝置。
+ **要求他們提供透過電子郵件傳送的一次性密碼來登入**
如果您想要透過電子郵件將驗證碼傳送給使用者,請使用此選項。由於電子郵件未繫結至特定裝置,此選項不符合業界標準多重要素驗證的 標準。但它確實比單獨使用密碼來提高安全性。只有在使用者尚未註冊 MFA 裝置時,才會請求電子郵件驗證。如果已啟用**內容感知**身分驗證方法,使用者將有機會將收到電子郵件的裝置標記為信任。之後,他們不需要在未來從該裝置、瀏覽器和 IP 地址組合登入時驗證電子郵件代碼。
**注意**
如果您使用 Active Directory 做為已啟用 IAM Identity Center 的身分來源,則電子郵件地址一律會以 Active Directory `email` 屬性為基礎。自訂 Active Directory 屬性映射不會覆寫此行為。
+ **封鎖他們的登入**
當您想要強制每個使用者使用 MFA 時,請在他們可以登入 之前,使用**封鎖他們的登入**選項 AWS。
**重要**
如果您的身分驗證方法設定為**了解內容**,使用者可以在登入頁面上選取**這是信任的裝置**核取方塊。在這種情況下,即使您已啟用**封鎖其登入**設定,也不會提示該使用者輸入 MFA。如果您希望系統提示這些使用者,請將您的身分驗證方法變更為 **Always On**。
+ **允許他們登入**
使用此選項表示不需要 MFA 裝置,您的使用者才能登入 AWS 存取入口網站。選擇註冊 MFA 裝置的使用者仍會收到 MFA 提示。
1. 選擇**儲存變更**。
# 允許使用者註冊自己的 MFA 裝置
IAM Identity Center 管理員可以允許使用者自行註冊自己的 MFA 裝置。
**允許使用者註冊自己的 MFA 裝置**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面的**誰可以管理 MFA 裝置**下,選擇**使用者可以新增和管理自己的 MFA 裝置**。
1. 選擇**儲存變更**。
**注意**
為使用者設定自我註冊後,建議您將程序 的連結傳送給他們[為您的裝置註冊 MFA開始之前](user-device-registration.md)。本主題說明如何設定自己的 MFA 裝置。
# 為使用者註冊 MFA 裝置
IAM Identity Center 管理員可以在 IAM Identity Center 主控台中設定新 MFA 裝置以供特定使用者存取。管理員必須擁有使用者 MFA 裝置的實體存取權,才能註冊它。例如,如果您為將在智慧型手機上執行的 MFA 裝置的使用者設定 MFA,您將需要智慧型手機的實體存取權才能完成註冊程序。或者,您可以允許使用者設定和管理自己的 MFA 裝置。如需詳細資訊,請參閱[允許使用者註冊自己的 MFA 裝置](how-to-allow-user-registration.md)。
**註冊 MFA 裝置**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側導覽窗格中,選擇 **Users (使用者)**。在清單中選擇使用者。請勿選取此步驟的使用者旁的核取方塊。
1. 在使用者詳細資訊頁面上,選擇 **MFA 裝置**索引標籤,然後選擇**註冊 MFA 裝置**。
1. 在**註冊 MFA 裝置**頁面上,選取下列其中一個 MFA 裝置類型,然後遵循指示:
+ **驗證器應用程式**
1. 在**設定驗證器應用程式**頁面上,IAM Identity Center 會顯示新 MFA 裝置的組態資訊,包括 QR 碼圖形。圖形是秘密金鑰的表示,可在不支援 QR 代碼的裝置上手動輸入。
1. 使用實體 MFA 裝置,執行下列動作:
1. 開啟相容的 MFA 驗證器應用程式。如需可與 MFA 裝置搭配使用的已測試應用程式清單,請參閱 [虛擬驗證器應用程式](mfa-types.md#mfa-types-apps)。如果 MFA 應用程式支援多個帳戶 (多個 MFA 裝置),請選擇建立新帳戶 (新的 MFA 裝置) 的選項。
1. 判斷 MFA 應用程式是否支援 QR 代碼,然後在**設定驗證器應用程式**頁面上執行下列其中一項操作:
1. 選擇**顯示 QR 碼**,然後使用應用程式掃描 QR 碼。例如,您可以選擇攝影機圖示或選擇類似於**掃描碼**的選項。然後使用裝置的攝影機掃描程式碼。
1. 選擇**顯示私密金鑰**,然後在 MFA 應用程式中輸入該私密金鑰。
**重要**
當您為 IAM Identity Center 設定 MFA 裝置時,建議您將 QR 碼或私密金鑰的副本儲存在*安全的地方*。如果指派的使用者遺失電話或必須重新安裝 MFA 驗證器應用程式,這會很有幫助。如果發生上述任一情況,您可以快速重新設定應用程式以使用相同的 MFA 組態。這可避免需要在 IAM Identity Center 中為使用者建立新的 MFA 裝置。
1. 在**設定驗證器應用程式**頁面的**驗證器程式碼**下,輸入目前出現在實體 MFA 裝置上的一次性密碼。
**重要**
產生代碼之後立即提交您的請求。如果您產生程式碼,然後等待太久才提交請求,MFA 裝置就會成功與使用者建立關聯。但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置。
1. 選擇 **Assign MFA (指派 MFA)**。MFA 裝置現在可以開始產生一次性密碼,現在可以與 搭配使用 AWS。
+ **安全金鑰**
1. 在**註冊使用者的安全金鑰**頁面上,遵循瀏覽器或平台提供給您的指示。
**注意**
這裡的體驗會根據不同的作業系統和瀏覽器而有所不同,因此請遵循瀏覽器或平台顯示的指示。成功註冊使用者的裝置後,您可以選擇將易記顯示名稱與使用者新註冊的裝置建立關聯。如果您想要變更此項目,請選擇**重新命名**、輸入新名稱,然後選擇**儲存**。如果您已啟用 選項以允許使用者管理自己的裝置,使用者將在 AWS 存取入口網站中看到此易記名稱。
# 在 IAM Identity Center 中重新命名和刪除 MFA 裝置
IAM Identity Center 管理員可以使用下列程序來重新命名或刪除使用者的 MFA 裝置。
**重新命名 MFA 裝置**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側導覽窗格中,選擇 **Users (使用者)**。在清單中選擇使用者。請勿選取此步驟的使用者旁的核取方塊。
1. 在使用者詳細資訊頁面上,選擇 **MFA 裝置**索引標籤,選取裝置,然後選擇**重新命名**。
1. 出現提示時,輸入新名稱,然後選擇**重新命名**。
**刪除 MFA 裝置**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側導覽窗格中,選擇 **Users (使用者)**。在清單中選擇使用者。
1. 在使用者詳細資訊頁面上,選擇 **MFA 裝置**索引標籤,選取裝置,然後選擇**刪除**。
1. 若要確認,請輸入 **DELETE**,然後選擇**刪除**。