Wie richte ich E-Mail-MFA für einen Amazon Cognito-Benutzerpool ein?

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Fehler im Feature-Plan beheben

Du kannst MFA nur für E-Mails mit dem Feature-Plan Essentials oder Plus aktivieren.

Wenn der Benutzerpool den Lite-Plan hat und du versuchst, E-Mail-MFA zu aktivieren, erhältst du möglicherweise eine Fehlermeldung.

In der Amazon Cognito-Konsole erhältst du möglicherweise die folgende Fehlermeldung:

„Can't enable email MFA when user pool is not under the Essentials or Plus plan“

Wenn du die AWS-CLI verwendest, wird möglicherweise die folgende Fehlermeldung angezeigt:

„An error occurred (FeatureUnavailableInTierException) when calling the SetUserPoolMfaConfig operation: The following feature is not available for the LITE pricing tier configured: Email MFA“

Um den Feature-Plan-Fehler zu beheben, führe ein Upgrade auf den Feature-Plan „Essentials“ oder „Plus“ durch. Informationen zum Ändern des Plans findest du unter Einen Feature-Plan auswählen.

E-Mail-Konfigurationsfehler beheben

Amazon Cognito verwendet Amazon Simple Email Service (Amazon SES), um MFA-Codes an die E-Mail-Adresse deines Benutzers zu senden. Wenn du E-Mail-MFA aktivierst, musst du den Benutzerpool so konfigurieren, dass Amazon SES anstelle der Standard-E-Mail-Konfiguration verwendet wird.

Wenn du die Standard-E-Mail-Konfiguration verwendest, erhältst du möglicherweise eine Fehlermeldung.

In der Amazon Cognito-Konsole erhältst du möglicherweise die folgende Fehlermeldung:

„Can't enable email MFA with email sending in Send email with Cognito configuration“

Wenn du die AWS-CLI verwendest, wird möglicherweise die folgende Fehlermeldung angezeigt:

„An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool EmailConfiguration contains an EmailSendingAccount of COGNITO_DEFAULT. Update the value of EmailSendingAccount“

Um E-Mail-MFA-Codes an die Benutzer zu senden, richte ein Amazon SES-Konto ein und konfiguriere dann Amazon SES mit dem Benutzerpool.

Fehler bei der Kontowiederherstellung beheben

Amazon Cognito erfordert separate Methoden für MFA und Kontowiederherstellung, um die Sicherheit zu gewährleisten. Benutzer müssen über verschiedene Kanäle verfügen, um MFA-Codes und Codes zum Zurücksetzen des Passworts zu erhalten.

Benutzer können keine MFA-Codes und Codes zum Zurücksetzen des Passworts über dieselbe E-Mail-Adresse oder Telefonnummer erhalten. Wenn du beispielsweise E-Mail für MFA konfigurierst, müssen die Benutzer SMS für die Kontowiederherstellung verwenden. Wenn du versuchst, E-Mail-MFA ohne eine separate Wiederherstellungsmethode zu aktivieren, erhältst du möglicherweise eine Fehlermeldung.

In der Amazon Cognito-Konsole erhältst du möglicherweise die folgende Fehlermeldung:

„Can't enable email MFA when user pool account recovery method is email-only or legacy.“

Wenn du die AWS-CLI verwendest, wird möglicherweise die folgende Fehlermeldung angezeigt:

„An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool AccountRecoverySetting is not set or contains only verified_email in RecoveryMechanisms. At least one recovery mechanism other than verified_email should be present“

Richte eine zusätzliche Methode zur Kontowiederherstellung ein, um den Fehler zu beheben. Richte dann E-Mail-MFA ein. Anweisungen findest du unter So richtest du E-Mail-MFA in der Amazon Cognito-Konsole ein in E-Mail-MFA.

Hinweis: Um Benutzern beim Zurücksetzen ihrer Passwörter zu helfen, empfiehlt es sich, sowohl email als auch phone_number als erforderliche Attribute im Benutzerpool festzulegen.

Ähnliche Informationen

Hinzufügen von MFA zu einem Benutzerpool

Amazon SES-E-Mail-Konfiguration