• Home
• App-Integrationen
• MFA-Integrationen
• AWS MFA

AWS MFA (Amazon Web Services Multi-Factor Authentication) Sicherheit

---

AWS MFA – AWS Multi-Faktor-Authentifizierung (MFA)Die Lösung von miniOrange fügt Ihrem AWS-Login eine zusätzliche Sicherheitsebene hinzu. Wenn AWS MFA aktiviert ist, muss jeder, der versucht, sich bei Ihrem AWS-Konto anzumelden, zwei Authentifizierungsfaktoren durchlaufen, um Zugriff zu erhalten. AWS 2FA-Authentifizierung beginnt damit, dass ein Benutzer seinen herkömmlichen Benutzernamen und sein Passwort eingibt. Sobald der Benutzer mit der 1. Verifizierungsstufe erfolgreich authentifiziert wurde, fordert die konfigurierte 2FA-Methode (OTP über SMS, Push-Benachrichtigungen, YubiKey, TOTP, Google Authenticator usw.) zur 2. Verifizierungsstufe auf. Ein Benutzer, der beide Authentifizierungsschritte erfolgreich abgeschlossen hat, erhält Zugriff auf das Slack-Konto. Durch die Aktivierung von 2FA wird verhindert, dass jemand das Slack-Konto verwendet, selbst wenn Cyber-Angreifer Ihre Anmeldeinformationen erhalten.

miniorange bietet Mehr als 15 Authentifizierungsmethoden und Lösungen für verschiedene Anwendungsfälle. Organisationen können neben der Sicherheit auch spezifische Authentifizierungs- und Konfigurationsoptionen einrichten, darunter

• Rollenbasierte 2FA
• Passwortbeschränkungen
• Einschränken der Anmeldemethoden
• Passwortlose Authentifizierung
• Offline-2FA-Unterstützung

Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung für AWS MFA (Multi-Faktor-Authentifizierung für Amazon Web Services).

1. Amazon Web Services in miniOrange konfigurieren

• Melden Sie sich bei miniOrange an Admin-Konsole.
• Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .



• In Wählen Sie Anwendung, wählen SAML/WS-FED aus der Dropdown-Liste „Anwendungstyp“.



• Suchen Sie nach Amazon Web Services Wenn Sie Amazon Web Services nicht in der Liste finden, suchen Sie nach Original und Sie können Ihre Anwendung einrichten in Benutzerdefinierte SAML-App.

• Erleben Sie das Einfache. SP-Entitäts-ID oder Aussteller aus den Metadaten (https://signin.aws.amazon.com/static/saml-metadata.xml). Sie finden den Wert in der ersten Zeile unter entityID. Er ist auf urn:amazon:webservices kann jedoch für Regionen außerhalb der USA variieren.
• Stellen Sie sicher, dass die ACS-URL ist: https://signin.aws.amazon.com/saml
  . Dies kann für Regionen außerhalb der USA abweichen. In diesem Fall finden Sie es in den Metadaten ( https://signin.aws.amazon.com/static/saml-metadata.xml) als Location-Attribut von AssertionConsumerService.
• Klicken Sie auf Erweiterte Einstellungen anzeigenWählen Sie unter Relay State Benutzerdefinierter Attributwert & eingeben https://console.aws.amazon.com.
• Klicke Nächster, jetzt im Attributzuordnung Konfigurieren Sie die folgenden Attribute wie im Bild unten gezeigt.




• Klicken Sie auf Gespeichert.
• Ihre Bewerbung wurde erfolgreich gespeichert. Klicken Sie nun auf die Schaltfläche „Auswählen“ neben Ihrer neu erstellten Bewerbung. Gehen Sie zu Metadaten.




• Auf der Seite „Metadaten“ -
  
  1. Wenn Sie verwenden möchten miniOrange als User-Store d. h., Ihre IAM-Benutzeridentitäten werden in miniOrange gespeichert. Laden Sie dann die Metadatendatei unter der Überschrift „ERFORDERLICHE INFORMATIONEN, UM MINIORANGE ALS IDP festzulegen'.
  
  2. Wenn Sie Ihre IAM-Benutzer über einen beliebigen externer Identitätsanbieter wie Active Directory, Okta, OneLogin, Google, Apple ID usw., dann laden Sie die Metadatendatei unter der Überschrift 'FÜR DIE AUTHENTIFIZIERUNG ÜBER EXTERNE IDPS ERFORDERLICHE INFORMATIONEN'.




• Klicken Sie dann auf Metadaten herunterladen.

2. MFA in Amazon Web Services konfigurieren

• Loggen Sie sich Amazon Web Services (AWS)-Konsole als Administrator.
• Klicken Sie auf Leistungen Tab. Unter Sicherheit, Identität und Compliance Klicken Sie auf IAM (Identitäts- und Zugriffsverwaltung).



• Klicken Sie in der Liste auf der linken Seite auf Identitätsanbieter und dann auf klicken Anbieter erstellen Schaltfläche im rechten Bereich.

3. 2FA für Amazon Web Services konfigurieren

3.1: 2FA für Benutzer der Amazon Web Services-App aktivieren

• So aktivieren Sie 2FA für Benutzer der Amazon Web Services-Anwendung. Gehen Sie zu Richtlinien >> App-Anmelderichtlinie
• Klicken Sie auf Bearbeiten Symbol neben der von Ihnen konfigurierten Anwendung.



• Prüfen Sie die 2-Faktor-Authentifizierung (MFA) aktivieren .



• Klicken Sie auf Einreichen.

3.2: Konfigurieren Sie 2FA für Ihre Endbenutzer

• Um 2FA/MFA für Endbenutzer zu aktivieren, gehen Sie zu 2-Faktor-Authentifizierung >> 2FA-Optionen für Endbenutzer.
• Standard auswählen Zwei-Faktor-Authentifizierungsmethode für Endbenutzer. Sie können auch bestimmte 2FA-Methoden auswählen, die Sie auf dem Dashboard des Endbenutzers anzeigen möchten.
• Wenn Sie mit den Einstellungen fertig sind, klicken Sie auf Gespeichert um Ihre 2FA-Einstellungen zu konfigurieren.

3.3: 2FA-Setup für Endbenutzer

• Einloggen um Endbenutzer-Dashboard mithilfe der Endbenutzer-Anmelde-URL.
• Für die Cloud-Version: Die von Ihnen festgelegte Login-URL (Branding-URL).
• Für die On-Premise-Version: Die Anmelde-URL ist dieselbe wie die Administrator-Anmelde-URL.
• Auswählen 2FA einrichten Wählen Sie dann eine der 2FA-Methode erhältlich.
• Für den Moment haben wir ausgewählt: SMS >> OTP per SMS als unsere 2FA-Methode. Sie können die Anleitung zum Einrichten anderer 2FA-Methoden hier.
• Ermöglichen das OTP per SMS, wenn Sie Ihre Telefonnummer unter Ihren Kontoinformationen hinzugefügt haben, andernfalls klicken Sie auf Bearbeiten >> Klicken Sie hier, um Ihre Telefonnummer zu aktualisieren Link.



• Klicken Sie in den Kontoinformationen auf das Bearbeitungssymbol.



• Wählen Sie Ihre Landesvorwahl, geben Sie Ihre Handynummer ein und klicken Sie auf OTP senden.



• Geben Sie das an Ihr Telefon gesendete OTP ein und klicken Sie auf „Validieren“.



• Nachdem Sie Ihre Telefonnummer hinzugefügt haben, schalten Sie den Schalter ein, um OTP über SMS zu aktivieren.



• Umstellen 2-Faktor-Authentifizierung aktivieren falls dies nicht bereits geschehen ist, wie unten gezeigt.

4. Testen Sie Amazon Web Services 2FA

a. Wenn 2FA für Endbenutzer konfiguriert ist

• Gehen Sie zu Ihrem Amazon Web Services-Domäne. Sie werden weitergeleitet zu miniOrange Single Sign-On-Dienst Konsole.



• Geben Sie Ihre Anmeldeinformationen ein und klicken Sie auf „Anmelden“. Sie werden aufgefordert, sich anhand der konfigurierten 2FA-Methode zu verifizieren.
  Wenn Sie beispielsweise OTP über SMS konfiguriert haben, werden Sie nach der Anmeldung bei Amazon Web Services zur Eingabe von OTP aufgefordert.



• Geben Sie das OTP ein, das Sie auf Ihrem Telefon erhalten haben. Nach der erfolgreichen 2FA-Verifizierung werden Sie zum Dashboard von Amazon Web Services weitergeleitet.

b. Wenn 2FA für Endbenutzer nicht aktiviert ist

• Sie werden aufgefordert, sich für 2Fa als Endbenutzer zu registrieren. Dies ist ein einmaliger Vorgang.
• Konfigurieren Sie Ihre Basisdaten.



• Konfigurieren Sie eine Authentifizierungsmethode Ihrer Wahl.



• Nach erfolgreicher Registrierung werden Sie in Ihr Amazon Web Services-Konto.


Sie können MFA nicht konfigurieren oder testen?


Kontaktieren Sie uns oder mailen Sie uns an idpsupport@xecurify.com und wir helfen Ihnen, es im Handumdrehen einzurichten.

5. Konfigurieren Sie Ihr Benutzerverzeichnis (optional)

miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, Microsoft Entra ID, OpenLDAP, Google, AWS Cognito usw.), Identitätsanbieter (wie Okta, Shibboleth, Ping, OneLogin, KeyCloak), Datenbanken (wie MySQL, Maria DB, PostgreSQL) und viele mehr. Sie können Ihr vorhandenes Verzeichnis/Ihren vorhandenen Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.

• Richten Sie miniOrange als IDP ein
• AD als Benutzerverzeichnis einrichten
• Externen IDP einrichten

• Um Ihre Benutzer in miniOrange hinzuzufügen, gibt es zwei Möglichkeiten:
• Benutzer in miniOrange erstellen
• Benutzer für Massen-Upload

1. Benutzer in miniOrange erstellen

• Klicken Sie auf Benutzer >> Benutzerliste >> Benutzer hinzufügen.



• Füllen Sie hier die Benutzerdaten ohne Passwort aus und klicken Sie anschließend auf Benutzer erstellen .



• Nach erfolgreicher Benutzererstellung wird eine Benachrichtigungsmeldung angezeigt „Ein Endbenutzer wurde erfolgreich hinzugefügt“ wird oben im Dashboard angezeigt.



• Klicken Sie auf Registerkarte „Onboarding-Status“. Überprüfen Sie die E-Mail mit der registrierten E-Mail-ID und wählen Sie Aktion Aktivierungsmail mit Link zum Zurücksetzen des Passworts senden von Aktion auswählen Dropdown-Liste und klicken Sie dann auf Bewerben .



• Öffnen Sie nun Ihre E-Mail-ID. Öffnen Sie die E-Mail, die Sie von miniOrange erhalten haben, und klicken Sie dann auf Link um Ihr Kontopasswort festzulegen.
• Geben Sie auf dem nächsten Bildschirm das Passwort ein und bestätigen Sie das Passwort. Klicken Sie dann auf Single Sign-On (SSO) Kennwort zurücksetzen .



• Jetzt können Sie sich durch Eingabe Ihrer Anmeldeinformationen beim MiniOrange-Konto anmelden.

2. Massenupload von Benutzern in miniOrange durch Hochladen einer CSV-Datei.

• Navigieren Benutzer >> Benutzerliste. Klicken Sie auf Benutzer hinzufügen .



• Massenregistrierung von Benutzern Beispiel-CSV-Format herunterladen von unserer Konsole aus und bearbeiten Sie diese CSV-Datei gemäß den Anweisungen.



• Um Benutzer in großen Mengen hochzuladen, wählen Sie die Datei aus und stellen Sie sicher, dass sie in Komma-getrenntes CSV-Dateiformat Klicken Sie dann auf Hochladen.



• Nach dem erfolgreichen Hochladen der CSV-Datei wird Ihnen eine Erfolgsmeldung mit einem Link angezeigt.
• Klicken Sie auf diesen Link. Sie sehen eine Liste der Benutzer, denen eine Aktivierungsmail gesendet werden soll. Wählen Sie Benutzer aus, denen eine Aktivierungsmail gesendet werden soll, und klicken Sie auf „Aktivierungsmail senden“. Eine Aktivierungsmail wird an die ausgewählten Benutzer gesendet.

• Klicken Sie auf Identitätsanbieter >> Identitätsanbieter hinzufügen im linken Menü des Dashboards



• Wählen Sie unter „Identitätsanbieter auswählen“ AD/LDAP-Verzeichnisse aus dem Dropdown.



• Dann suchen Sie nach AD/LDAP und klicke es an.



• LDAP-KONFIGURATION IN MINIORANGE SPEICHERN: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in miniOrange behalten möchten. Befindet sich das Active Directory hinter einer Firewall, müssen Sie die Firewall öffnen, um eingehende Anfragen an Ihr AD zuzulassen.
• SPEICHERN SIE DIE LDAP-KONFIGURATION VOR ORT: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in Ihrem Gebäude behalten und nur den Zugriff auf AD innerhalb des Gebäudes zulassen möchten. Sie müssen herunterladen und installieren miniOrange-Gateway auf Ihrem Gelände.




• AD/LDAP eingeben Display Name kombiniert mit einem nachhaltigen Materialprofil. Identifizieren Namen.
• Auswählen Verzeichnistyp as Active Directory.
• Geben Sie die LDAP-Server-URL oder IP-Adresse für das LDAP ein Server-URL Feld.
• Klicken Sie auf Verbindung testen Klicken Sie auf die Schaltfläche, um zu überprüfen, ob die Verbindung mit Ihrem LDAP-Server.



• Gehen Sie in Active Directory zu den Eigenschaften von Benutzercontainern/OUs und suchen Sie nach dem Distinguished Name-AttributDas Bind-Konto sollte über die erforderlichen Mindestleseberechtigungen in Active Directory verfügen, um Verzeichnissuchen zu ermöglichen. Wenn der Anwendungsfall die Bereitstellung umfasst (z. B. Erstellen, Aktualisieren oder Löschen von Benutzern oder Gruppen), muss dem Konto auch die entsprechenden Schreibberechtigungen erteilt werden.



• Geben Sie das gültige Kennwort für das Bind-Konto ein.
• Klicken Sie auf Testen der Anmeldeinformationen für das Bind-Konto Schaltfläche, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.



• Suchbasis ist die Stelle im Verzeichnis, an der die Suche nach einem Benutzer beginnt. Sie erhalten diese von derselben Stelle, an der Sie Ihren Distinguished Name haben.



• Wählen Sie einen geeigneten Suchfilter aus dem Dropdown-Menü. Wenn Sie Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind. Um benutzerdefinierte Suchfilter zu verwenden, wählen Sie „Schreiben Sie Ihren benutzerdefinierten Filter“ Option und passen Sie sie entsprechend an.



• Klicken Sie auf Nächster oder gehen Sie zum Anmeldeoptionen Tab.
• Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf das Nächster Schaltfläche, um einen Benutzerspeicher hinzuzufügen.




Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.

Attribut	Beschreibung
Aktivieren Sie LDAP	Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
Fallback-Authentifizierung	Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
Administratoranmeldung aktivieren	Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
Benutzern IdP anzeigen	Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
Benutzer in miniOrange synchronisieren	Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt



• Klicken Sie auf Nächster oder gehen Sie zum Attribute Tab.

Attributzuordnung aus AD

• Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Gespeichert Schaltfläche. Um zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:

  An SP gesendeter Attributname = Organisation
  Attributname vom IDP = Unternehmen






• Klicken Sie auf Nächster oder gehen Sie zum Provisioning Tab.

Benutzerimport und Provisionierung aus AD

• Wenn Sie die Bereitstellung einrichten möchten, bitte hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.

Testverbindungen

• Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Verbindung testen.



• Es wird ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, um Ihre LDAP-Konfiguration zu überprüfen.



• On Erfolgreich Bei der Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.

Testen Sie die Attributzuordnung

• Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Testen Sie die Attributzuordnung.



• Ein Popup wird angezeigt, in dem Sie einen Benutzernamen eingeben und auf klicken können. Test.



• Das Ergebnis der Testattributzuordnung wird angezeigt.

Die Konfiguration „AD als externes Verzeichnis einrichten“ ist abgeschlossen.

Hinweis: Verweisen Sie auf unsere Guide um LDAP auf einem Windows-Server einzurichten.

miniOrange lässt sich in verschiedene externe Benutzerquellen wie Verzeichnisse, Identitätsanbieter usw. integrieren.

• Okta
• ADFS
• Pingen
• AWS Cognito
• Viel mehr

Sie können Ihren IdP nicht finden oder benötigen Hilfe bei der Einrichtung?

Kontaktieren Sie uns oder mailen Sie uns an idpsupport@xecurify.com und wir helfen Ihnen, es im Handumdrehen einzurichten.

6. Adaptive Authentifizierung mit Amazon Web Services

A. Einschränken des Zugriffs auf Amazon Web Services mit der IP-Konfiguration

Sie können die adaptive Authentifizierung mit Amazon Web Services Single Sign-On (SSO) verwenden, um die Sicherheit und Funktionalität von Single Sign-On zu verbessern. Sie können eine IP-Adresse in einem bestimmten Bereich für SSO zulassen oder sie je nach Ihren Anforderungen verweigern und den Benutzer auch auffordern, seine Authentizität zu bestätigen. Die adaptive Authentifizierung verwaltet die Benutzerauthentifizierung basierend auf verschiedenen Faktoren wie Geräte-ID, Standort, Zugriffszeit, IP-Adresse und vielem mehr.

Sie können die adaptive Authentifizierung mit IP-Blockierung folgendermaßen konfigurieren:

• Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung >> Richtlinie hinzufügen.



• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.
• Auswählen Maßnahmen zur Verhaltensänderung, drücke den Bearbeiten Link, und wählen Sie dann die entsprechende Action kombiniert mit einem nachhaltigen Materialprofil. Herausforderungstyp für den Benutzer aus diesem Abschnitt.





Aktion für Verhaltensänderungsoptionen:




Attribut	Beschreibung
Erlauben	Erlauben Sie Benutzern die Authentifizierung und Nutzung von Diensten, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Ablehnen	Verweigern Sie Benutzerauthentifizierungen und den Zugriff auf Dienste, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Herausforderung	Fordern Sie Benutzer mit einer der drei unten genannten Methoden zur Überprüfung der Benutzerauthentizität heraus.




Optionen für den Herausforderungstyp:




Attribut	Beschreibung
Benutzer zweiter Faktor	Der Benutzer muss sich mit dem zweiten Faktor authentifizieren, den er gewählt oder zugewiesen hat, wie zum Beispiel OTP über SMS Push-Benachrichtigung OTP über E-Mail und viele mehr.
KBA (Wissensbasierte Authentifizierung)	Das System stellt dem Benutzer zwei von drei Fragen, die er in seiner Self-Service-Konsole konfiguriert hat. Erst wenn beide Fragen richtig beantwortet wurden, kann der Benutzer fortfahren.
OTP über alternative E-Mail	Der Benutzer erhält ein OTP an die alternative E-Mail-Adresse, die er über die Self-Service-Konsole konfiguriert hat. Sobald der Benutzer das richtige OTP angegeben hat, kann er fortfahren.



• Klicken Sie nun auf Bearbeiten Option von der IP-Konfiguration zum Konfigurieren des benutzerdefinierten IP-Bereichs.
• Auswählen IP hinzufügen wenn der Benutzer IP Address ist nicht in der konfigurierten Liste.
• Geben Sie die IP-Adresse an, die Sie auf die Whitelist setzen möchten. Für andere IP-Bereiche als die auf der Whitelist können Sie die oben stehende Einstellung auswählen.
• Wählen Sie entweder „Zulassen“ oder „Ablehnen“, indem Sie die entsprechende Option aus der Dropdown-Liste auswählen.
• Wenn ein Benutzer versucht, sich mit der auf der Whitelist stehenden IP-Adresse anzumelden, wird ihm immer der Zugriff gestattet.
• Wir unterstützen IP-Adressbereiche in drei Formaten, nämlich: IPv4, IPv4 CIDR und IPv6 CIDR. Sie können aus dem Dropdown-Menü auswählen, was für Sie geeignet ist.
• Sie können mehrere IPs oder IP-Bereiche hinzufügen, indem Sie auf das + IP hinzufügen .



• Sobald die Änderungen vorgenommen wurden, scrollen Sie bis zum Ende und klicken Sie auf Gespeichert.

B. Adaptive Authentifizierung mit begrenzter Anzahl von Geräten

Mithilfe der adaptiven Authentifizierung können Sie auch die Anzahl der Geräte beschränken, auf denen der Endbenutzer auf die Dienste zugreifen kann. Sie können Endbenutzern den Zugriff auf Dienste auf einer festen Anzahl von Geräten gestatten. Die Endbenutzer können auf dieser festen Anzahl von Geräten auf die von uns bereitgestellten Dienste zugreifen.

Sie können die adaptive Authentifizierung mit Gerätebeschränkung folgendermaßen konfigurieren


• Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung >> Richtlinie hinzufügen.
• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.
• Wählen Sie Ihre Maßnahmen zur Verhaltensänderung kombiniert mit einem nachhaltigen Materialprofil. Herausforderungstyp für Benutzer aus dem Maßnahmen zur Verhaltensänderung Abschnitt.



• Auf dem Richtlinie hinzufügen Registerkarte, gehen Sie zu Gerätekonfiguration Abschnitt und klicken Sie auf die Bearbeiten .
• Geben Sie die Anzahl der zulässigen Geräteregistrierungen je nach Bedarf. (2–3 Geräte werden empfohlen.)
• Wählen Action wenn die Anzahl der Geräte überschritten wird (Dies überschreibt Ihre Einstellung für Maßnahmen zur Verhaltensänderung.)
• Herausforderung: Der Benutzer muss sich mit einer der drei in der Tabelle genannten Methoden verifizieren Schritt 5.1
• Ablehnen : Benutzern den Zugriff auf das System verweigern
• Ermöglichen Einschränkung für Mobilgeräte um Anmeldungen von Mobilgeräten zu blockieren. Dadurch wird sichergestellt, dass alle Anmeldeversuche von Mobilgeräten abgelehnt werden.
• Ermöglichen Einschränkung basierend auf MAC-Adresse wenn Sie den Zugriff basierend auf der MAC-Adresse des Geräts einschränken möchten.



• Scrollen Sie bis zum Ende der Seite und klicken Sie auf Gespeichert.

C. Fügen Sie Amazon Web Services eine adaptive Authentifizierungsrichtlinie hinzu

• Einloggen um Self-Service-Konsole >> Richtlinien >> Anmelderichtlinie hinzufügen.
• Klicken Sie auf Bearbeiten Symboloption für vordefinierte App-Richtlinien.



• Legen Sie Ihre Richtlinie in der Versicherungsname und wählen Sie Passwort als Erster Faktor.
• Ermöglichen Adaptive Authentifizierung auf der Seite „Anmelderichtlinie bearbeiten“ und wählen Sie die gewünschte Einschränkungsmethode als eine Option.
• Ab Wählen Sie „Anmelderichtlinie“ Wählen Sie im Dropdown-Menü die Richtlinie aus, die wir im letzten Schritt erstellt haben, und klicken Sie auf „Senden“.

D. Benachrichtigungs- und Warnmeldung.

In diesem Abschnitt werden die Benachrichtigungen und Warnungen im Zusammenhang mit der adaptiven Authentifizierung behandelt. Er bietet die folgenden Optionen:

• Erhalten Sie E-Mail-Benachrichtigungen, wenn sich Benutzer von unbekannten Geräten oder Standorten aus anmelden: Administratoren müssen diese Option aktivieren, um den Empfang von Benachrichtigungen für verschiedene Benachrichtigungsoptionen zu ermöglichen.
  
  
  

Option	Beschreibung
Benutzer melden sich von unbekannten IP-Adressen, Geräten oder Standorten aus an	Durch Aktivieren dieser Option können Sie sich von unbekannten IP-Adressen oder Geräten und sogar Standorten aus anmelden.
Anzahl der Geräteregistrierungen hat die zulässige Anzahl überschritten	Mit dieser Option können Sie mehr Geräte registrieren, als Sie nummeriert haben.
Herausforderung abgeschlossen und Gerät registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt und ein Gerät registriert.
Herausforderung abgeschlossen, aber Gerät nicht registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt, das Gerät jedoch nicht registriert.
Herausforderung fehlgeschlagen	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer die Herausforderung nicht meistert.




• Der nächste Unterabschnitt ist E-Mail-Benachrichtigungen senden Damit können wir Warnungen für Administratoren und Endbenutzer aktivieren oder deaktivieren. Um Warnungen für Administratoren zu aktivieren, können Sie die Administratoren Kontrollkästchen.



• Wenn Sie möchten, dass mehrere Administratorkonten Benachrichtigungen erhalten, können Sie die Option für Administratoren aktivieren und dann die Administrator-E-Mails durch ein ',' getrennt in das Eingabefeld neben eingeben. E-Mail des Administrators zum Empfangen von Benachrichtigungen Bezeichnung. Um Warnungen für Endbenutzer zu aktivieren, können Sie die Endbenutzer Kontrollkästchen.
• Falls Sie die Ablehnungsnachricht anpassen möchten, die der Endbenutzer erhält, wenn seine Authentifizierung aufgrund einer adaptiven Richtlinie verweigert wird, können Sie dies tun, indem Sie die Nachricht in Nachricht ablehnen Textfeld ein.

So fügen Sie ein vertrauenswürdiges Gerät hinzu

• Wenn sich der Endbenutzer nach der Richtlinie für Gerätebeschränkung aktiviert ist, wird ihm die Möglichkeit geboten, das aktuelle Gerät als vertrauenswürdiges Gerät hinzuzufügen.

Problemlösung

Externe Referenzen

• AWS IAM - SSO in AWS IAM Abschnitt
• Offizielle AWS-Dokumentation zu AWS MFA
• miniOrange SSO-Lösung
• Einrichten von AWS-Arbeitsbereichen MFA/2FA
• Einmaliges Anmelden (SSO) für AWS Appstream