amazon-web-services - 如何让 Amazon Cognito 托管的 UI 提示输入 TOTP？

Question

我假设我会根据 documentation 得到提示，其中特别指出:

If your app is using the Amazon Cognito hosted UI to sign in users, the UI shows a second page for your user to enter the TOTP password after they submit their user name and password.

在用户池的“MFA 和验证”部分，我检查了以下内容:

您要启用多重身份验证 (MFA) 吗？

可选

您要启用哪些第二个因素？

基于时间的一次性密码

我添加了一个经过验证的测试用户。

从那里，我按照文档到 Associate the TOTP Token和 Verify the TOTP Token ，确认我在调用 AssociateSoftwareToken 的响应中获得了密码，并在 VerifySoftwareToken 的响应中获得了“成功”。

在这一点上，我相信当我使用托管的 UI 登录页面时，我应该在提交我的用户名/密码后提示我输入一次性密码，并在成功验证后重定向到登录回调 URL在我的应用程序客户端中指定。

但是，我在提交用户名和密码后立即被重定向，并且没有提示输入 TOTP。

Answer 1

我能够通过显式调用 SetUserMFAPreference 使其工作为测试账户设置 TOTP 后。我认为关联和验证 TOTP 会自动改变 Cognito 在用户身份验证流程方面的行为是错误的。它还要求我告诉 Cognito 为用户启用和使用 TOTP。
我最初困惑的症结在于，为用户生成和关联软件 token 以生成 OTP 并没有为用户启用它。调用 SetUserMFAPreference还需要为用户启用它。完成后，它按预期工作。例如，要启用软件 MFA 并将其设置为首选:

{
   "AccessToken": "xyz123",
   "SoftwareTokenMfaSettings": { 
      "Enabled": true,
      "PreferredMfa": true
   }
}

还有一个 admin version of the API call可以达到相同的结果。