Accès aux utilisateurs authentifiés de l'extérieur (fédération d'identité) - AWS Gestion de l’identité et des accès
Fédération d'utilisateurs d'une application mobile ou web à l'aide d'Amazon CognitoFédération d'utilisateurs à l'aide de fournisseurs d'identité publics ou d'OpenID ConnectFédérer les utilisateurs avec SAML la version 2.0Fédération d'utilisateurs via la création d'une application de broker d'identité personnalisé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès aux utilisateurs authentifiés de l'extérieur (fédération d'identité)

Vos utilisateurs ont peut-être déjà une identité extérieure AWS, par exemple dans votre annuaire d'entreprise. Si ces utilisateurs ont besoin de travailler avec AWS des ressources (ou de travailler avec des applications qui accèdent à ces ressources), ils ont également besoin d'informations d'identification AWS de sécurité. Vous pouvez utiliser un IAM rôle pour spécifier des autorisations pour les utilisateurs dont l'identité est fédérée à partir de votre organisation ou d'un fournisseur d'identité (IdP) tiers.

Note

Pour des raisons de sécurité, nous vous recommandons de gérer l'accès des utilisateurs dans IAMIdentity Center à l'aide de la fédération des identités au lieu de créer des IAM utilisateurs. Pour plus d'informations sur les situations spécifiques dans lesquelles un IAM utilisateur est requis, voir Quand créer un IAM utilisateur (au lieu d'un rôle).

Fédération d'utilisateurs d'une application mobile ou web à l'aide d'Amazon Cognito

Si vous créez une application mobile ou Web qui accède aux AWS ressources, l'application a besoin d'informations d'identification de sécurité pour pouvoir envoyer des demandes programmatiques à. AWS Pour la plupart des scénarios impliquant des applications mobiles, nous recommandons d'utiliser Amazon Cognito. Vous pouvez utiliser ce service avec AWS Mobile SDK pour iOS,AWS Mobile SDK pour Android et Fire OS afin de créer des identités uniques pour les utilisateurs et de les authentifier afin de sécuriser l'accès à vos AWS ressources. Amazon Cognito prend en charge les mêmes fournisseurs d'identité que ceux répertoriés dans la section suivante, ainsi que les identités authentifiées par le développeur et les accès non authentifiés (invité). Amazon Cognito propose également des API opérations de synchronisation des données utilisateur afin qu'elles soient préservées lorsque les utilisateurs passent d'un appareil à l'autre. Pour de plus amples informations, veuillez consulter Amazon Cognito pour applications mobiles.

Fédération d'utilisateurs à l'aide de fournisseurs d'identité publics ou d'OpenID Connect

Dans la mesure du possible, utilisez Amazon Cognito pour les scénarios d'applications mobiles et Web. Amazon Cognito effectue la majeure partie du behind-the-scenes travail avec les services des fournisseurs d'identité publics pour vous. Il fonctionne avec les mêmes services tiers et prend également en charge les connexions anonymes. Toutefois, pour les scénarios plus avancés, vous pouvez travailler directement avec un service tiers tel que Login with Amazon, Facebook, Google ou tout autre IdP compatible avec OpenID Connect (). OIDC Pour plus d'informations sur l'utilisation de OIDC la fédération à l'aide de l'un de ces services, consultezOIDCfédération.

Fédérer les utilisateurs avec SAML la version 2.0

Si votre organisation utilise déjà un progiciel de fournisseur d'identité compatible avec la SAML version 2.0 (Security Assertion Markup Language 2.0), vous pouvez créer un climat de confiance entre votre organisation en tant que fournisseur d'identité (IdP) AWS et en tant que fournisseur de services. Vous pouvez ensuite l'utiliser SAML pour fournir à vos utilisateurs une authentification unique fédérée (SSO) AWS Management Console ou un accès fédéré aux opérations d'appel. AWS API Par exemple, si votre entreprise utilise Microsoft Active Directory et Active Directory Federation Services, vous pouvez la fédérer à l'aide de la SAML version 2.0. Pour plus d'informations sur la fédération d'utilisateurs avec la SAML version 2.0, consultezSAMLfédération 2.0.

Fédération d'utilisateurs via la création d'une application de broker d'identité personnalisé

Si votre magasin d'identités n'est pas compatible avec la SAML version 2.0, vous pouvez créer une application de courtier d'identité personnalisée pour exécuter une fonction similaire. L'application broker authentifie les utilisateurs, leur demande des informations d'identification temporaires AWS, puis les fournit à l'utilisateur pour qu'il accède aux AWS ressources.

Par exemple, de nombreux employés d'Example Corp. doivent exécuter des applications internes qui accèdent aux AWS ressources de l'entreprise. Les employés ont déjà des identités dans le système d'identité et d'authentification de l'entreprise, et Example Corp. ne souhaite pas créer un IAM utilisateur distinct pour chaque employé de l'entreprise.

Bob est développeur chez Example Corp. Pour permettre aux applications internes d'Example Corp. d'accéder aux AWS ressources de l'entreprise, Bob développe une application personnalisée de courtier d'identité. L'application vérifie que les employés sont connectés au système d'identité et d'authentification existant d'Example Corp., qui peut utiliser LDAP Active Directory ou un autre système. L'application de broker d'identité obtient ensuite des informations d'identification de sécurité temporaires pour les employés. Ce scénario est similaire au précédent (une application mobile utilisant un système d'authentification personnalisé), sauf que les applications qui ont besoin d'accéder aux AWS ressources s'exécutent toutes sur le réseau de l'entreprise et que l'entreprise dispose d'un système d'authentification existant.

Pour obtenir les informations d'identification de sécurité temporaires, l'application de broker d'identité appelle AssumeRole ou GetFederationToken, selon la façon dont Bob veut gérer les politiques des utilisateurs et le délai d'expiration des informations d'identification. (Pour plus d'informations sur les différences entre ces API opérations, reportez-vous aux sections Informations d'identification de sécurité temporaires dans IAM etAutorisations pour les informations d'identification de sécurité temporaires.) L'appel renvoie des informations de sécurité temporaires composées d'un identifiant de clé d' AWS accès, d'une clé d'accès secrète et d'un jeton de session. L'application de broker d'identité rend ensuite ces informations d'identification de sécurité temporaires accessibles à l'application interne de l'entreprise. L'application peut alors utiliser ces informations d'identification de sécurité temporaires pour appeler directement AWS . L'application met en cache les informations d'identification jusqu'à ce qu'elles parviennent à expiration, puis demande un nouvel ensemble d'informations d'identification temporaires. L'illustration suivante décrit ce scénario.

Exemple de flux avec une application de broker d'identité personnalisé

Ce scénario utilise les attributs suivants :

  • L'application Identity Broker est autorisée à accéder au service IAM de jetons (STS) API afin de créer des informations d'identification de sécurité temporaires.

  • L'application de broker d'identité peut vérifier que les employés sont authentifiés dans le système d'authentification existant.

  • Les utilisateurs peuvent obtenir un abonnement temporaire URL qui leur donne accès à la console AWS de gestion (ce que l'on appelle l'authentification unique).

Pour plus d'informations sur la création d'informations d'identification de sécurité temporaires, consultez Comparez les AWS STS informations d'identification. Pour plus d'informations sur l'accès des utilisateurs fédérés à la console AWS de gestion, consultezPermettre aux utilisateurs fédérés SAML 2.0 d'accéder au AWS Management Console.