Comment configurer l'authentification multifactorielle par e-mail pour un groupe d'utilisateurs Amazon Cognito ?

Lecture de 4 minute(s)

Je souhaite configurer l'authentification multifactorielle par e-mail (MFA) pour mon groupe d'utilisateurs Amazon Cognito, mais je ne suis pas certain de la configuration requise.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Résoudre une erreur liée au forfait de fonctionnalités

Vous ne pouvez activer l'authentification multifactorielle pour les e-mails que dans le cadre du plan de fonctionnalités Essentials ou Plus.

Si votre groupe d'utilisateurs dispose du forfait Lite et que vous essayez d'activer l'authentification multifactorielle par e-mail, un message d'erreur peut s’afficher.

Dans la console Amazon Cognito, le message d'erreur suivant peut s'afficher :

« Can't enable email MFA when user pool is not under the Essentials or Plus plan »

Si vous utilisez l'interface de ligne de commande AWS, le message d'erreur suivant peut s'afficher :

« An error occurred (FeatureUnavailableInTierException) when calling the SetUserPoolMfaConfig operation: The following feature is not available for the LITE pricing tier configured: Email MFA »

Pour résoudre l'erreur du forfait de fonctionnalités, effectuez une mise à niveau vers le forfait de fonctionnalités Essentials ou Plus. Pour modifier votre forfait, consultez la section Sélection d'un forfait de fonctionnalités.

Résoudre l'erreur de configuration des e-mails

Amazon Cognito utilise Amazon Simple Email Service (Amazon SES) pour envoyer des codes MFA à l'adresse e-mail de votre utilisateur. Lorsque vous activez l'authentification multifactorielle par e-mail, vous devez configurer votre groupe d'utilisateurs pour utiliser Amazon SES au lieu de la configuration des e-mails par défaut.

Si vous utilisez la configuration des e-mails par défaut, un message d'erreur peut s’afficher.

Dans la console Amazon Cognito, le message d'erreur suivant peut s'afficher :

« Can't enable email MFA with email sending in Send email with Cognito configuration »

Si vous utilisez l'interface de ligne de commande AWS, le message d'erreur suivant peut s'afficher :

« An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool EmailConfiguration contains an EmailSendingAccount of COGNITO_DEFAULT. Update the value of EmailSendingAccount »

Pour envoyer des codes MFA par e-mail à vos utilisateurs, créez un compte Amazon SES, puis configurez Amazon SES avec votre groupe d'utilisateurs.

Résoudre l'erreur de récupération de compte

Amazon Cognito nécessite des méthodes distinctes pour l'authentification multifactorielle et la récupération de compte afin de garantir la sécurité. Les utilisateurs doivent disposer de différents canaux pour recevoir les codes MFA et les codes de réinitialisation de mot de passe.

Les utilisateurs ne peuvent pas recevoir de codes MFA et de réinitialisation de mot de passe à la même adresse e-mail ou au même numéro de téléphone. Par exemple, si vous configurez l’e-mail pour la MFA, vos utilisateurs doivent utiliser le SMS pour récupérer leur compte. Si vous essayez d'activer l'authentification multifactorielle par e-mail sans méthode de récupération distincte, un message d'erreur peut s’afficher.

Dans la console Amazon Cognito, le message d'erreur suivant peut s'afficher :

« Can't enable email MFA when user pool account recovery method is email-only or legacy. »

Si vous utilisez l'interface de ligne de commande AWS, le message d'erreur suivant peut s'afficher :

« An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool AccountRecoverySetting is not set or contains only verified_email in RecoveryMechanisms. At least one recovery mechanism other than verified_email should be present »

Pour résoudre l'erreur, configurez une méthode de récupération de compte supplémentaire. Puis, configurez l'authentification multifactorielle par e-mail. Pour obtenir des instructions, consultez la section Pour configurer l'authentification multifactorielle par e-mail dans la console Amazon Cognito dans Authentification multifactorielle par e-mail.

Remarque : Pour aider les utilisateurs à réinitialiser leur mot de passe, il est recommandé de définir à la fois e-mail et phone_number en tant qu’attributs obligatoires dans votre groupe d'utilisateurs.

Informations connexes

Ajouter la MFA à un groupe d'utilisateurs

Configuration des e-mails Amazon SES

Sujets: Security, Identity, & Compliance
Balises: Amazon Cognito
Langue: Français

AWS OFFICIELA mis à jour il y a un mois

Aucun commentaire

Contenus pertinents

Utilisateur de Amazon Simple Email Service je souhaiterais envoyer désormais des SMS. Dois je utiliser PinPoint SMS ?
Clement
demandé il y a un an
AWS SES Bloqué suite à un problème critique lié à votre envoi d'e-mails
rePost-User-2050300
demandé il y a un an
Amazon SES - 4.4.1 Unable to connect to remote host de la part d'Orange.fr
Lionel
demandé il y a un an
Où trouver l'état des SMS envoyés pour le MFA ?
Réponse acceptée
Nicolas
demandé il y a 2 ans
Problème d'ajout d'IP V4 Publique secondaire sur une instance
Stephan
demandé il y a 2 ans
Comment puis-je résoudre les messages d’erreur d'authentification multifactorielle dans mon groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 2 mois
Comment résoudre les échecs de livraison d’e-mails et de SMS MFA ?
AWS OFFICIELA mis à jour il y a 2 mois
Comment puis-je activer l'authentification multifactorielle TOTP pour les groupes d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment intégrer Amazon SES à un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 4 mois