Créez un fournisseur d'identité OpenID Connect (OIDC) dans IAM - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un fournisseur d'identité OpenID Connect (OIDC) dans IAM

IAMOIDCles fournisseurs d'identité sont des entités IAM qui décrivent un service de fournisseur d'identité externe (IdP) compatible avec le standard OpenID Connect (OIDC), tel que Google ou Salesforce. Vous utilisez un fournisseur IAM OIDC d'identité lorsque vous souhaitez établir un lien de confiance entre un IdP OIDC compatible et votre. Compte AWS Cela est utile lorsque vous créez une application mobile ou une application Web qui nécessite un accès à AWS des ressources, mais vous ne souhaitez pas créer de code de connexion personnalisé ou gérer vos propres identités d'utilisateur. Pour plus d'informations sur ce scénario, consultez OIDCfédération.

Vous pouvez créer et gérer un fournisseur d'IAMOIDCidentité à l' AWS Management Console AWS Command Line Interface aide des outils pour Windows PowerShell ou du IAMAPI.

Après avoir créé un fournisseur IAM OIDC d'identité, vous devez créer un ou plusieurs IAM rôles. Un rôle est une identité AWS qui ne possède pas ses propres informations d'identification (comme le fait un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un utilisateur fédéré qui est authentifié par le fournisseur d'identité (IdP) de votre organisation. Le rôle permet à l'IdP de votre organisation de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les politiques attribuées au rôle déterminent ce que les utilisateurs fédérés sont autorisés à faire dans AWS ce rôle. Pour créer un rôle pour un fournisseur d'identité tiers, consultez la section Création d'un rôle pour un fournisseur d'identité tiers (fédération).

Important

Lorsque vous configurez des politiques basées sur l'identité pour des actions qui prennent en charge les oidc-provider ressources, IAM évalue le fournisseur OIDC d'identité completURL, y compris les chemins spécifiés. Si votre fournisseur OIDC d'identité URL possède un chemin, vous devez inclure ce chemin dans le en oidc-provider ARN tant que valeur d'Resourceélément. Vous avez également la possibilité d'ajouter une barre oblique et un caractère générique (/*) au URL domaine ou d'utiliser des caractères génériques (*et?) à n'importe quel point du chemin. URL Si le fournisseur OIDC d'identité URL indiqué dans la demande ne correspond pas à la valeur définie dans l'Resourceélément de la politique, la demande échoue.

Pour résoudre les problèmes courants liés à IAM OIDC la fédération, voir Résoudre les erreurs liées à OIDC AWS Re:Post.

Conditions préalables : Valider la configuration de votre fournisseur d'identité

Avant de créer un fournisseur d'IAMOIDCidentité, vous devez disposer des informations suivantes auprès de votre IdP. Pour plus d'informations sur l'obtention des informations de configuration du OIDC fournisseur, consultez la documentation de votre IdP.

  1. Déterminez si votre fournisseur OIDC d'identité est accessible au publicURL. Les https://. Per the OIDC standard, path com ponents URL doivent commencer par sont autorisés, mais pas les paramètres de requête. En général, il ne s'URLagit que d'un nom d'hôte, comme https://server.example.org or https://example.com. Le ne URL doit pas contenir de numéro de port.

  2. Ajoutez /.well-known/openid-configuration à la fin de celui de votre fournisseur d'OIDCidentité pour voir le document de configuration et les URL métadonnées accessibles au public du fournisseur. Vous devez disposer d'un document de découverte au JSON format contenant le document de configuration du fournisseur et les métadonnées qui peuvent être récupérés depuis le point de terminaison de découverte du fournisseur OpenID Connect. URL

  3. Vérifiez que les valeurs suivantes sont incluses dans les informations de configuration de votre fournisseur. Si l'un de ces champs est absent de votre configuration openid, vous devez mettre à jour votre document de découverte. Ce processus peut varier en fonction de votre fournisseur d'identité. Suivez donc la documentation de votre IdP pour effectuer cette tâche.

    • émetteur : celui URL de votre domaine.

    • jwks_uri : le point de terminaison JSON Web Key Set (JWKS) où IAM se trouvent vos clés publiques. Votre fournisseur d'identité doit inclure un point de terminaison JSON Web Key Set (JWKS) dans la configuration openid. Cela URI définit où obtenir les clés publiques utilisées pour vérifier les jetons signés auprès de votre fournisseur d'identité.

    • claims_supported : informations sur l'utilisateur qui vous aident à garantir que les réponses OIDC d'authentification de votre IdP contiennent les attributs requis AWS utilisés dans les IAM politiques pour vérifier les autorisations des utilisateurs fédérés. Pour obtenir la liste des clés de IAM condition pouvant être utilisées pour les réclamations, voirClés disponibles pour la AWS OIDC fédération.

      • aud : Vous devez déterminer la valeur d'audience déclarée par votre IdP dans JSON Web Tokens ()JWTs. La réclamation d'audience (aud) est spécifique à l'application et identifie les destinataires prévus du jeton. Lorsque vous enregistrez une application mobile ou Web auprès d'un fournisseur OpenID Connect, celui-ci établit un identifiant client qui identifie l'application. L'identifiant client est un identifiant unique pour votre application qui est transmis dans la demande d'authentification. La réclamation d'AUD doit correspondre à la valeur d'audience lors de la création de votre fournisseur IAM OIDC d'identité.

      • iat : Les réclamations doivent inclure une valeur représentant l'heure à laquelle le jeton d'identification est émis. iat

      • iss : celui URL du fournisseur d'identité. Les https:// and should correspond to the Provider URL provided to IAM. Per the OIDC standard, path com ponents URL doivent commencer par sont autorisés, mais pas les paramètres de requête. En général, il ne s'URLagit que d'un nom d'hôte, comme https://server.example.org or https://example.com. Le ne URL doit pas contenir de numéro de port.

    • réponse_types_supported : id_token

    • subject_types_supported : public

    • id_token_signing_alg_values_supported : RS256

    Note

    Vous pouvez inclure des réclamations supplémentaires, telles que des réclamations personnalisées, dans l'exemple ci-dessous ; toutefois, AWS STS vous ignorerez la réclamation.

    { "issuer": "https://example-domain.com", "jwks_uri": "https://example-domain.com/jwks/keys", "claims_supported": [ "aud", "iat", "iss", "name", "sub", "custom" ], "response_types_supported": [ "id_token" ], "id_token_signing_alg_values_supported": [ "RS256" ], "subject_types_supported": [ "public" ] }

Création et gestion d'un OIDC fournisseur (console)

Suivez ces instructions pour créer et gérer un fournisseur IAM OIDC d'identité dans le AWS Management Console.

Important

Si vous utilisez un fournisseur d'OIDCidentité de Google, Facebook ou Amazon Cognito, ne créez pas de fournisseur d'IAMidentité distinct à l'aide de cette procédure. Ces fournisseurs OIDC d'identité sont déjà intégrés AWS et sont disponibles pour votre usage. Au lieu de cela, créez de nouveaux rôles pour votre fournisseur d'identité, en consultant Création d'un rôle pour la fédération OpenID Connect (console).

Pour créer un fournisseur IAM OIDC d'identité (console)
  1. Avant de créer un fournisseur IAM OIDC d'identité, vous devez enregistrer votre application auprès de l'IdP pour recevoir un identifiant client. L'ID client (également appelé public ciblé) est un identifiant unique pour votre application. Il est émis lorsque vous enregistrez l'application auprès du fournisseur d'identité. Pour plus d'informations sur l'obtention d'un ID client, consultez la documentation de votre fournisseur d'identité.

    Note

    AWS sécurise les communications avec les fournisseurs OIDC d'identité (IdPs) à l'aide de notre bibliothèque d'autorités de certification racine fiables (CAs) pour vérifier le certificat du point de terminaison JSON Web Key Set (JWKS). TLS Si votre OIDC IdP s'appuie sur un certificat qui n'est pas signé par l'un de ces certificats approuvésCAs, ce n'est qu'alors que nous sécurisons les communications à l'aide des empreintes digitales définies dans la configuration de l'IdP. AWS reviendra à la vérification par empreinte digitale si nous ne sommes pas en mesure de récupérer le TLS certificat ou si la TLS version 1.3 est requise.

  2. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  3. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.

  4. Pour Configurer le fournisseur, sélectionnez OpenID Connect.

  5. Dans le champ Fournisseur URL, saisissez le URL nom de l'IdP. Ils URL doivent respecter les restrictions suivantes :

    • URLIl distingue les majuscules et minuscules.

    • URLIl faut commencer parhttps://.

    • Le ne URL doit pas contenir de numéro de port.

    • Au sein de votre Compte AWS, chaque fournisseur IAM OIDC d'identité doit utiliser un identifiant uniqueURL. Si vous essayez de soumettre un fichier URL qui a déjà été utilisé pour un fournisseur OpenID Connect dans le Compte AWS, vous recevrez un message d'erreur.

  6. Pour Audience, saisissez l'ID client de l'application que vous avez enregistrée auprès de l'IdP et dans Étape 1 laquelle vous avez envoyé des demandes. AWS Si vous avez des clients supplémentaires IDs (également appelés audiences) pour cet IdP, vous pouvez les ajouter ultérieurement sur la page détaillée du fournisseur.

    Note

    Si votre JWT jeton IdP inclut la azp réclamation, entrez cette valeur comme valeur d'audience.

    Si votre fournisseur OIDC d'identité définit à la fois aud les azp réclamations dans le jeton, AWS STS il utilisera la valeur de la azp réclamation comme aud réclamation.

  7. (Facultatif) Pour Ajouter des balises, vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et à organiser votre. IdPs Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS . Pour en savoir plus sur le balisage des fournisseurs IAM OIDC d'identité, consultezTag : fournisseurs d'identité OpenID Connect (OIDC). Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.

  8. Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur. IAMtentera de récupérer et d'utiliser l'empreinte numérique de l'autorité de certification intermédiaire supérieure du certificat du serveur OIDC IdP pour créer le fournisseur d'identité. IAM OIDC

    Note

    La chaîne de certificats du fournisseur d'OIDCidentité doit commencer par le domaine ou l'émetteurURL, puis par le certificat intermédiaire et se terminer par le certificat racine. Si l'ordre de la chaîne de certificats est différent ou inclut des certificats dupliqués ou supplémentaires, vous recevez une erreur de non-concordance de signature et vous STS ne parvenez pas à valider le jeton JSON Web (JWT). Corrigez l'ordre des certificats dans la chaîne renvoyée par le serveur pour résoudre l'erreur. Pour plus d'informations sur les normes relatives aux chaînes de certificats, consultez la section certificate_list de la section RFC 5246 sur le site Web de la série. RFC

  9. Attribuez un IAM rôle à votre fournisseur d'identité pour autoriser les identités d'utilisateurs externes gérées par votre fournisseur d'identité à accéder aux AWS ressources de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Création d'un rôle pour un fournisseur d'identité tiers (fédération).

    Note

    OIDC IdPs utilisé dans une politique de confiance de rôle doit se trouver dans le même compte que le rôle qui l'approuve.

Pour ajouter ou supprimer une empreinte numérique pour un fournisseur d'IAMOIDCidentité (console)
Note

AWS sécurise les communications avec les fournisseurs OIDC d'identité (IdPs) à l'aide de notre bibliothèque d'autorités de certification racine fiables (CAs) pour vérifier le certificat du point de terminaison JSON Web Key Set (JWKS). TLS Si votre OIDC IdP s'appuie sur un certificat qui n'est pas signé par l'un de ces certificats approuvésCAs, ce n'est qu'alors que nous sécurisons les communications à l'aide des empreintes digitales définies dans la configuration de l'IdP. AWS reviendra à la vérification par empreinte digitale si nous ne sommes pas en mesure de récupérer le TLS certificat ou si la TLS version 1.3 est requise.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Identity providers (Fournisseurs d'identité). Choisissez ensuite le nom du fournisseur IAM d'identité que vous souhaitez mettre à jour.

  3. Choisissez l'onglet Vérification du point de terminaison, puis dans la section Empreintes numériques, sélectionnez Gérer. Pour saisir une nouvelle valeur d'empreinte, sélectionnez Ajouter une empreinte. Pour supprimer une empreinte numérique, sélectionnez Supprimer en regard de l'empreinte que vous souhaitez supprimer.

    Note

    Un fournisseur IAM OIDC d'identité doit en avoir au moins une et peut avoir un maximum de cinq empreintes du pouce.

    Lorsque vous avez terminé, sélectionnez Enregistrer les modifications.

Pour ajouter une audience à un fournisseur IAM OIDC d'identité (console)
  1. Dans le volet de navigation, choisissez Fournisseurs d'identité, puis choisissez le nom du fournisseur IAM d'identité que vous souhaitez mettre à jour.

  2. Dans la section Audiences, sélectionnez Actions et Ajouter une audience.

  3. Entrez l'ID client de l'application que vous avez enregistrée auprès de l'IdP et dans Étape 1 laquelle vous allez envoyer des demandes. AWS Sélectionnez ensuite Ajouter des audiences.

    Note

    Un fournisseur IAM OIDC d'identité doit en avoir au moins une et peut avoir un maximum de 100 audiences.

Pour supprimer une audience pour un fournisseur IAM OIDC d'identité (console)
  1. Dans le volet de navigation, choisissez Fournisseurs d'identité, puis choisissez le nom du fournisseur IAM d'identité que vous souhaitez mettre à jour.

  2. Dans la section Audiences, activez la case d'option en regard de l'audience que vous souhaitez supprimer, puis sélectionnez Actions.

  3. Sélectionnez Supprimer l'audience. Une nouvelle fenêtre s'ouvre.

  4. Si vous supprimez une audience, les identités fédérées avec l'audience ne peuvent pas endosser les rôles associés à l'audience. Dans la fenêtre, lisez le message d'avertissement et confirmez que vous souhaitez supprimer l'audience en saisissant le mot remove dans le champ.

  5. Sélectionnez Supprimer pour supprimer l'audience.

Pour supprimer un fournisseur IAM OIDC d'identité (console)
  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Identity providers (Fournisseurs d'identité).

  3. Cochez la case à côté du fournisseur IAM d'identité que vous souhaitez supprimer. Une nouvelle fenêtre s'ouvre.

  4. Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Création et gestion d'un fournisseur IAM OIDC d'identité (AWS CLI)

Vous pouvez utiliser les AWS CLI commandes suivantes pour créer et gérer des fournisseurs IAM OIDC d'identité.

Pour créer un fournisseur IAM OIDC d'identité (AWS CLI)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, exécutez la commande suivante :

  2. Pour créer un nouveau fournisseur IAM OIDC d'identité, exécutez la commande suivante :

Pour mettre à jour la liste des empreintes numériques des certificats de serveur d'un fournisseur d'IAMOIDCidentité existant ()AWS CLI
Pour étiqueter un fournisseur IAM OIDC d'identité existant (AWS CLI)
Pour répertorier les tags d'un fournisseur IAM OIDC d'identité existant (AWS CLI)
Pour supprimer les tags d'un fournisseur IAM OIDC d'identité (AWS CLI)
Pour ajouter ou supprimer un identifiant client auprès d'un fournisseur IAM OIDC d'identité existant (AWS CLI)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, exécutez la commande suivante :

  3. Pour ajouter un nouvel ID client à un fournisseur IAM OIDC d'identité existant, exécutez la commande suivante :

  4. Pour supprimer un client d'un fournisseur IAM OIDC d'identité existant, exécutez la commande suivante :

Pour supprimer un fournisseur IAM OIDC d'identité (AWS CLI)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, exécutez la commande suivante :

  3. Pour supprimer un fournisseur IAM OIDC d'identité, exécutez la commande suivante :

Création et gestion d'un fournisseur OIDC d'identité (AWS API)

Vous pouvez utiliser les IAM API commandes suivantes pour créer et gérer des OIDC fournisseurs.

Pour créer un fournisseur IAM OIDC d'identité (AWS API)
  1. (Facultatif) Pour obtenir une liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, effectuez l'opération suivante :

  2. Pour créer un nouveau fournisseur IAM OIDC d'identité, effectuez l'opération suivante :

Pour mettre à jour la liste des empreintes numériques des certificats de serveur d'un fournisseur d'IAMOIDCidentité existant ()AWS API
  • Pour mettre à jour la liste des empreintes numériques des certificats de serveur d'un fournisseur IAM OIDC d'identité, effectuez l'opération suivante :

Pour étiqueter un fournisseur IAM OIDC d'identité existant (AWS API)
  • Pour étiqueter un fournisseur IAM OIDC d'identité existant, effectuez l'opération suivante :

Pour répertorier les tags d'un fournisseur IAM OIDC d'identité existant (AWS API)
Pour supprimer les tags d'un fournisseur IAM OIDC d'identité existant (AWS API)
  • Pour supprimer les tags d'un fournisseur IAM OIDC d'identité existant, effectuez l'opération suivante :

Pour ajouter ou supprimer un identifiant client auprès d'un fournisseur IAM OIDC d'identité existant (AWS API)
  1. (Facultatif) Pour obtenir une liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, effectuez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, appelez l'opération suivante :

  3. Pour ajouter un nouvel ID client à un fournisseur IAM OIDC d'identité existant, effectuez l'opération suivante :

  4. Pour supprimer un ID client d'un fournisseur IAM OIDC d'identité existant, effectuez l'opération suivante :

Pour supprimer un fournisseur IAM OIDC d'identité (AWS API)
  1. (Facultatif) Pour obtenir une liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, effectuez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, appelez l'opération suivante :

  3. Pour supprimer un fournisseur IAM OIDC d'identité, effectuez l'opération suivante :