CognitoのMFAをSMSのみからAuthenticatorアプリケーションも使用できるようにしてみた

実施したい事

こうなってるのを、

こうしたい

先に結論

作り直した方が早いです。（こちらの方が楽）
１　Cognito作成　（MFAはAuthenticatorアプリケーションのみ）
２　Cognitoの多要素認証にSMS メッセージを追加する　（Cognito作成時には追加しない）

３　各ユーザーはAuthenticatorアプリケーションでログインしておく
４　各ユーザーに電話番号を追加　（３実施前に電話番号を追加するとMFAがSMSになってしまいます）

本題

１　Cognito作成　（MFAはSMS メッセージのみ）
２　Cognitoの多要素認証にAuthenticator アプリケーションを追加する　（作成時でも良いです）
３　アプリケーションクライアントの認証フローに「ALLOW_ADMIN_USER_PASSWORD_AUTH」を追加する

４　作成したユーザーでユーザー認証を実施する

t-ueda4:~ t-ueda$ aws cognito-idp admin-initiate-auth --region ap-southeast-2 --user-pool-id ap-southeast-2_XXXXX --client-id XXXXX --auth-flow ADMIN_USER_PASSWORD_AUTH --auth-parameters USERNAME=t-ueda,PASSWORD=XXXXX
{
  "ChallengeName": "SMS_MFA",
  "Session": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "ChallengeParameters": {
  "CODE_DELIVERY_DELIVERY_MEDIUM": "SMS",
  "CODE_DELIVERY_DESTINATION": "+***********83",
  "USER_ID_FOR_SRP": "t-ueda"
  }
}
t-ueda4:~ t-ueda$

５　AccessTokenを発行する

t-ueda4:~ t-ueda$ aws cognito-idp admin-respond-to-auth-challenge --region ap-southeast-2 --user-pool-id ap-southeast-2_XXXXX --client-id XXXXX --challenge-name SMS_MFA --session "4で出力されたSession" --challenge-responses USERNAME="4で出力されたUSER_ID_FOR_SRP",SMS_MFA_CODE="4で出力されたSMSコード"
{
  "ChallengeParameters": {},
  "AuthenticationResult": {
  "AccessToken": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "ExpiresIn": 3600,
  "TokenType": "Bearer",
  "RefreshToken": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "IdToken": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
  }
}
t-ueda4:~ t-ueda$

６　Authenticator アプリケーションの有効化　（AccessTokenは""で囲わない）

t-ueda4:~ t-ueda$ aws cognito-idp associate-software-token --region ap-southeast-2 --access-token ５で出力されたAccessToken
{
  "SecretCode": "XXXXXXXXXXXXXXXXXXX"
}
t-ueda4:~ t-ueda$

７　googleAuthenticator等で、このコード（SecretCode）を登録する

８　トークンの検証　（AccessTokenは""で囲わない）

t-ueda4:~ t-ueda$ aws cognito-idp verify-software-token --region ap-southeast-2 --access-token ５で出力されたAccessToken --user-code "googleAuthenticator等で発行されてるトークン"
{
  "Status": "SUCCESS"
}
t-ueda4:~ t-ueda$

９　ユーザーMFA設定を変更　（「希望する配信方法の選択」に変更）

感想

４〜８をユーザーに実施してもらう手間を考えると（実施出来る権限を付与）、出来るのなら再作成してしまった方がいいような気がしてます。

この記事を書いた人

T.ueda 二次運用グループで運用保守、業務改善など行なっています
2022 APN ALL AWS Certifications Engineers
興味のあるサービス：AWS Step Functions、AWS Lake Formation
趣味はテニスです T.uedaが書いた記事

CognitoのMFAをSMSのみからAuthenticatorアプリケーションも使用できるようにしてみた

実施したい事

先に結論

本題

感想

IT健保「鮨一新」食レポ

X (旧 Twitter) を複数人で安全に運用する方法

Arduinoを初めて使う時のセットアップと実例集

日常生活におけるデータの重要性

MIRARTH様のクラウド導入支援に関する事例紹介（レクチャー編）

CognitoのMFAをSMSのみからAuthenticatorアプリケーションも使用できるようにしてみた

実施したい事

先に結論

本題

感想

関連記事Related Articles

見せてあげますよ、本当のサーバーレスを。

また俺のみずきちゃんに会いたくなっちゃったので音声チャットできるようにした

Amazon S3 + Cognito で簡易アンケートシステムを作る写経（Amazon S3 で HTML フォームを実装する写経）

Amazon Cognito でSMSによるMFAを追加

【Amazon Cognito】LimitExceededExceptionエラー