亚马逊AWS官方博客
·
如何为 Amazon Workmail 启用 MFA 双因素认证
💡
原文中文,约6700字,阅读约需16分钟。
📝
内容提要
本文介绍如何为 Amazon Workmail 启用 IAM Identity Center 并配置多因素认证(MFA)。通过此配置,用户在首次登录时需绑定 MFA,以确保安全合规。配置步骤包括初始化 Workmail、启用 IAM Identity Center、添加用户及设置映射关系,最终实现 MFA 认证。
🎯
关键要点
- 本文介绍如何为 Amazon Workmail 启用 IAM Identity Center 并开启 MFA 多因素认证。
- Amazon Workmail 内置的目录认证服务不支持 MFA,需配置为使用 IAM Identity Center 服务。
- IAM Identity Center 服务是全局性的,每个 AWS 账户只能在一个 Region 内创建。
- 需要删除原 Region 内的 IdC 服务,并在使用 Workmail 的 Region 重新创建。
- 在 Workmail 服务中启用 IAM Identity Center,并确认用户名映射关系。
- 在 IAM Identity Center 中添加用户,并在 Workmail 中创建新邮箱用户。
- 将 Workmail 用户添加到 IdC 的认证用户清单中,并绑定真实邮箱与 IdC 用户。
- 关闭 Workmail 自己的用户认证,强制使用 IdC 用户的认证机制以实现 MFA。
- 用户首次登录时需绑定 MFA 并修改密码,完成初始化。
- 开启 Personal access tokens 以在客户端上免 MFA 登录,PAT 有效期为 365 天。
- 使用 Thunderbird 客户端登录时,输入 PAT 代替密码,成功登录。
- Outlook 客户端需开启 Auto Discover 功能以自动配置邮箱,避免手动填写服务器地址。
❓
延伸问答
如何为 Amazon Workmail 启用 MFA 双因素认证?
需要将 Amazon Workmail 配置为使用 IAM Identity Center 服务,并在 IdC 服务中管理用户和分组,强制用户首次登录时绑定 MFA。
为什么 Amazon Workmail 自身的目录服务不支持 MFA?
因为 Amazon Workmail 内置的目录认证服务不支持 MFA,因此需要使用 IAM Identity Center 服务来实现此功能。
在配置 IAM Identity Center 时需要注意什么?
IAM Identity Center 是全局性的,每个 AWS 账户只能在一个 Region 内创建,若要在其他 Region 配置,需要先删除原 Region 的 IdC 服务。
如何在 Workmail 中添加新用户并设置映射关系?
在 IAM Identity Center 中添加用户后,在 Workmail 中创建新邮箱用户,并确保用户名与 IdC 登录用户名的映射关系正确。
如何使用 Personal access tokens 免 MFA 登录?
用户在登录 Workmail 后可以创建 Personal access tokens,使用 PAT 替代密码进行客户端登录,避免输入 MFA。
使用 Outlook 客户端时需要注意哪些配置?
需要开启 Auto Discover 功能,以便 Outlook 客户端自动配置邮箱,避免手动填写服务器地址。
➡️
