内容提要
本文介绍如何为 Amazon Workmail 启用 IAM Identity Center 并配置多因素认证(MFA)。通过此配置,用户在首次登录时需绑定 MFA,以确保安全合规。配置步骤包括初始化 Workmail、启用 IAM Identity Center、添加用户及设置映射关系,最终实现 MFA 认证。
关键要点
-
本文介绍如何为 Amazon Workmail 启用 IAM Identity Center 并开启 MFA 多因素认证。
-
Amazon Workmail 内置的目录认证服务不支持 MFA,需配置为使用 IAM Identity Center 服务。
-
IAM Identity Center 服务是全局性的,每个 AWS 账户只能在一个 Region 内创建。
-
需要删除原 Region 内的 IdC 服务,并在使用 Workmail 的 Region 重新创建。
-
在 Workmail 服务中启用 IAM Identity Center,并确认用户名映射关系。
-
在 IAM Identity Center 中添加用户,并在 Workmail 中创建新邮箱用户。
-
将 Workmail 用户添加到 IdC 的认证用户清单中,并绑定真实邮箱与 IdC 用户。
-
关闭 Workmail 自己的用户认证,强制使用 IdC 用户的认证机制以实现 MFA。
-
用户首次登录时需绑定 MFA 并修改密码,完成初始化。
-
开启 Personal access tokens 以在客户端上免 MFA 登录,PAT 有效期为 365 天。
-
使用 Thunderbird 客户端登录时,输入 PAT 代替密码,成功登录。
-
Outlook 客户端需开启 Auto Discover 功能以自动配置邮箱,避免手动填写服务器地址。
延伸解读
MFA的重要性
启用多因素认证(MFA)可以显著提高Amazon Workmail的安全性。通过强制用户在首次登录时绑定MFA,能够有效防止未经授权的访问,确保企业数据的安全合规。尤其是在处理敏感信息时,MFA是保护账户的重要措施。
IAM Identity Center的局限性
IAM Identity Center服务是全局性的,每个AWS账户只能在一个Region内创建。这意味着如果需要在多个Region使用Workmail,用户必须删除现有的IdC服务并重新创建,这可能导致用户和分组信息的丢失,需谨慎操作。
Personal Access Tokens的使用
开启Personal Access Tokens(PAT)后,用户可以在不输入MFA的情况下通过客户端登录Workmail。需要注意的是,PAT的有效期为365天,到期后需重新生成,否则客户端将无法正常接收邮件。
Outlook客户端配置注意事项
使用Outlook客户端时,建议开启Auto Discover功能以实现自动配置邮箱。如果未开启,用户需手动输入服务器地址,这可能导致配置错误。因此,确保Auto Discover功能正常工作是顺利使用Outlook的关键。
延伸问答
如何为 Amazon Workmail 启用 MFA 双因素认证?
需要将 Amazon Workmail 配置为使用 IAM Identity Center 服务,并在 IdC 服务中管理用户和分组,强制用户首次登录时绑定 MFA。
为什么 Amazon Workmail 自身的目录服务不支持 MFA?
因为 Amazon Workmail 内置的目录认证服务不支持 MFA,因此需要使用 IAM Identity Center 服务来实现此功能。
在配置 IAM Identity Center 时需要注意什么?
IAM Identity Center 是全局性的,每个 AWS 账户只能在一个 Region 内创建,若要在其他 Region 配置,需要先删除原 Region 的 IdC 服务。
如何在 Workmail 中添加新用户并设置映射关系?
在 IAM Identity Center 中添加用户后,在 Workmail 中创建新邮箱用户,并确保用户名与 IdC 登录用户名的映射关系正确。
如何使用 Personal access tokens 免 MFA 登录?
用户在登录 Workmail 后可以创建 Personal access tokens,使用 PAT 替代密码进行客户端登录,避免输入 MFA。
使用 Outlook 客户端时需要注意哪些配置?
需要开启 Auto Discover 功能,以便 Outlook 客户端自动配置邮箱,避免手动填写服务器地址。