本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 注册用户的 MFA 设备 IAM Identity Center 管理员可以设置新的 MFA 设备,供特定用户在 IAM Identity Center 控制台中访问。管理员必须拥有对用户 MFA 设备的物理访问权限,才能注册设备。例如,如果您为使用在智能手机上运行的 MFA 设备的用户配置 MFA,则您需要对该智能手机的物理访问权限才能完成注册流程。或者,您可以允许用户配置和管理他们自己的 MFA 设备。有关更多信息,请参阅 [允许用户注册自己的 MFA 设备](how-to-allow-user-registration.md)。 **如需注册 MFA 设备** 1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。 1. 在左侧导航窗格中,选择 **用户**。在列表中,选择一个用户。在此步骤中,请勿选中用户旁边的复选框。 1. 在用户详细信息页面上,选择 **MFA 设备**选项卡,然后选择**注册 MFA 设备**。 1. 在**注册 MFA 设备**页面上,选择以下 MFA 设备类型之一,然后按照说明进行操作: + **身份验证器应用程序** 1. 在**设置身份验证器应用程序**页面上,IAM Identity Center 将显示新 MFA 设备的配置信息,包括二维码图形。该图表示可在不支持 QR 码的设备上手动输入的密钥。 1. 使用物理 MFA 设备,执行以下操作: 1. 打开兼容的 MFA 身份验证器应用程序。有关可以在 MFA 设备上使用的经过测试的应用程序的列表,请参阅 [虚拟身份验证器应用程序](mfa-types.md#mfa-types-apps)。如果 MFA 应用支持多个帐户(多个 MFA 设备),请选择创建新帐户(新的 MFA 设备)的选项。 1. 确定 MFA 应用程序是否支持 QR 码,然后在**设置身份验证器应用程序**页面上执行以下操作之一: 1. 选择**显示 QR 代码**,然后使用该应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 **Scan code**(扫描代码)的选项,然后使用装置的摄像头扫描此代码。 1. 选择**显示密钥**,然后将该密钥键入到 MFA 应用程序中。 **重要** 当您为 IAM Identity Center 配置 MFA 设备时,我们建议您将 QR 码或密钥的副本保存*在安全的位置*。如果指定用户丢失了手机或者必须重新安装 MFA 身份验证器应用程序,这可能会有所帮助。如果出现上述任一情况,您可以快速重新配置应用程序,使其使用相同的 MFA 配置。这样便无需在 IAM Identity Center 中为用户创建新的 MFA 设备。 1. 在**设置身份验证器应用程序**页面的**身份验证器代码**项下,输入物理 MFA 设备上当前显示的一次性密码。 **重要** 生成代码之后立即提交您的请求。如果在生成代码后等待很长时间才提交请求,MFA 设备将成功与用户关联,但 MFA 设备不同步。这是因为基于时间的一次性密码(TOTP)很快会过期。这种情况下,您可以重新同步设备。 1. 选择**分配 MFA**。MFA 设备现在可以开始生成一次性密码,现在可以与之配合使用了。 AWS + **安全密钥** 1. 在**注册用户的安全密钥**页面上,按照浏览器或平台提供的说明进行操作。 **注意** 此处的体验因不同的操作系统和浏览器而异,因此请按照浏览器或平台显示的说明进行操作。成功注册用户设备后,您可以选择将友好显示名称与用户新注册的设备相关联。如果要更改此设置,请选择**重命名**,输入新名称,然后选择**保存**。如果您启用了允许用户管理自己的设备的选项,则用户将在 AWS 访问门户中看到此友好名称。