Come posso configurare l'autenticazione a più fattori tramite e-mail per un pool di utenti Amazon Cognito?

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Risolvi l'errore del piano di funzionalità

Puoi attivare l'autenticazione a più fattori tramite e-mail solo con il piano di funzionalità Essentials o Plus.

Se il pool di utenti ha il piano Lite e tenti di attivare l'autenticazione a più fattori tramite e-mail, potresti ricevere un errore.

Nella console Amazon Cognito, potresti ricevere il seguente errore:

"Can't enable email MFA when user pool is not under the Essentials or Plus plan"

Se utilizzi AWS CLI, potresti ricevere il seguente errore:

"An error occurred (FeatureUnavailableInTierException) when calling the SetUserPoolMfaConfig operation: The following feature is not available for the LITE pricing tier configured: Email MFA"

Per risolvere l'errore, esegui l'aggiornamento al piano di funzionalità Essentials o Plus. Per modificare il piano, consulta Seleziona un piano di funzionalità.

Risolvi l'errore di configurazione e-mail

Amazon Cognito utilizza Amazon Simple Email Service (Amazon SES) per inviare codici MFA all'indirizzo e-mail dell'utente. Quando attivi l'autenticazione a più fattori tramite e-mail, devi configurare il pool di utenti in modo che utilizzi Amazon SES anziché la configurazione e-mail predefinita.

Se utilizzi la configurazione e-mail predefinita, potresti ricevere un errore.

Nella console Amazon Cognito, potresti ricevere il seguente errore:

"Can't enable email MFA with email sending in Send email with Cognito configuration"

Se utilizzi AWS CLI, potresti ricevere il seguente errore:

"An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool EmailConfiguration contains an EmailSendingAccount of COGNITO_DEFAULT. Update the value of EmailSendingAccount"

Per inviare codici MFA tramite e-mail agli utenti, configura un account Amazon SES, quindi configura Amazon SES con il pool di utenti.

Risolvi l'errore di recupero dell'account

Per questioni di sicurezza, Amazon Cognito prevede metodi separati per l'autenticazione a più fattori (MFA) e il ripristino dell'account. Gli utenti devono disporre di canali diversi per ricevere i codici MFA e i codici di reimpostazione della password.

Gli utenti non possono ricevere i codici MFA e di reimpostazione della password allo stesso indirizzo e-mail o allo stesso numero di telefono. Ad esempio, se configuri l'e-mail come metodo per l'autenticazione a più fattori, gli utenti devono utilizzare l'SMS come metodo per il ripristino dell'account. Se provi ad attivare l'autenticazione a più fattori tramite e-mail senza un metodo di ripristino separato, potresti ricevere un errore.

Nella console Amazon Cognito, potresti ricevere il seguente errore:

"Can't enable email MFA when user pool account recovery method is email-only or legacy."

Se utilizzi AWS CLI, potresti ricevere il seguente errore:

"An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool AccountRecoverySetting is not set or contains only verified_email in RecoveryMechanisms. At least one recovery mechanism other than verified_email should be present"

Per risolvere l'errore, imposta un metodo di ripristino dell'account aggiuntivo. Quindi configura l'autenticazione a più fattori (MFA) tramite e-mail. Per istruzioni, consulta Per configurare l'autenticazione a più fattori via e-mail nella console Amazon Cognito in MFA via e-mail.

Nota: per aiutare gli utenti a reimpostare le password, è consigliabile impostare sia email che phone_number come attributi obbligatori nel pool di utenti.

Informazioni correlate

Aggiunta dell'autenticazione MFA a un pool di utenti

Configurazione e-mail di Amazon SES