Créez un fournisseur d'identité OpenID Connect (OIDC) dans IAM - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un fournisseur d'identité OpenID Connect (OIDC) dans IAM

IAMOIDCles fournisseurs d'identité sont des entités IAM qui, dans, décrivent un service de fournisseur d'identité (IdP) prenant en charge la norme OpenID Connect (OIDC), comme Google ou Salesforce. Vous utilisez un fournisseur IAM OIDC d'identité lorsque vous souhaitez établir une approbation entre un fournisseur d'identité OIDC compatible avec et votre. Compte AWS Cela est utile lorsque vous créez une application mobile ou une application Web qui doit accéder aux AWS ressources, mais que vous ne voulez pas créer de code de connexion personnalisé ni gérer vos propres identités utilisateur. Pour plus d'informations sur ce scénario, consultez OIDCfédération.

Vous pouvez créer et gérer un fournisseur d'IAMOIDCidentité à l' AWS Management Console AWS Command Line Interface aide des outils pour Windows PowerShell ou du IAMAPI.

Après avoir créé un fournisseur IAM OIDC d'identité, vous devez créer un ou plusieurs IAM rôles. Un rôle est une identité dans AWS qui ne dispose pas de ses propres informations d'identification (comme c'est le cas pour un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un utilisateur fédéré qui est authentifié par le fournisseur d'identité (IdP) de votre organisation. Le rôle permet à l'IdP de votre organisation de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les stratégies affectées au rôle déterminent les actions que les utilisateurs fédérés sont autorisés à exécuter dans AWS. Pour créer un rôle pour un fournisseur d'identité tiers, consultez la section Création d'un rôle pour un fournisseur d'identité tiers (fédération).

Important

Lorsque vous configurez des politiques IAM basées sur l'identité pour les actions qui prennent en charge les oidc-provider ressources, IAM évalue le fournisseur OIDC d'identité completURL, y compris les chemins spécifiés. Si votre fournisseur OIDC d'identité URL possède un chemin, vous devez inclure ce chemin dans le en oidc-provider ARN tant que valeur d'Resourceélément. Vous avez également la possibilité d'ajouter une barre oblique et un caractère générique (/*) au URL domaine ou d'utiliser des caractères génériques (*et?) à n'importe quel endroit du chemin. URL Si le fournisseur OIDC d'identité URL de la demande ne correspond pas à la valeur définie dans l'Resourceélément de politique, la demande échoue.

Pour résoudre les problèmes courants liés à IAM OIDC la fédération, voir Résoudre les erreurs liées à OIDC AWS Re:Post.

Conditions préalables : Valider la configuration de votre fournisseur d'identité

Avant de créer un fournisseur d'IAMOIDCidentité, vous devez obtenir les informations suivantes de votre fournisseur d'identité. Pour plus d'informations sur l'obtention des informations de configuration du OIDC fournisseur d'identité, consultez la documentation de votre fournisseur d'identité.

  1. Déterminez si votre fournisseur OIDC d'identité est accessible au publicURL. Les https://. Per the OIDC standard, path com ponents URL doivent commencer par sont autorisés, mais pas les paramètres de requête. En général, il ne s'URLagit que d'un nom d'hôte, comme https://server.example.org or https://example.com. Le ne URL doit pas contenir de numéro de port.

  2. Ajoutez /.well-known/openid-configuration à la fin de celui de votre fournisseur d'OIDCidentité pour voir le document de configuration et les URL métadonnées accessibles au public du fournisseur. Vous devez disposer d'un document de découverte au JSON format contenant le document de configuration du fournisseur et les métadonnées qui peuvent être récupérés depuis le point de terminaison de découverte du fournisseur OpenID Connect. URL

  3. Vérifiez que les valeurs suivantes sont incluses dans les informations de configuration de votre fournisseur. Si l'un de ces champs est absent de votre configuration openid, vous devez mettre à jour votre document de découverte. Ce processus peut varier en fonction de votre fournisseur d'identité. Suivez donc la documentation de votre IdP pour effectuer cette tâche.

    • émetteur : celui URL de votre domaine.

    • jwks_uri : le point de terminaison JSON Web Key Set (JWKS) où IAM se trouvent vos clés publiques. Votre fournisseur d'identité doit inclure un point de terminaison JSON Web Key Set (JWKS) dans la configuration openid. Cela URI définit où obtenir les clés publiques utilisées pour vérifier les jetons signés auprès de votre fournisseur d'identité.

    • claims_supported : Informations sur l'utilisateur qui vous garantissent que les réponses OIDC d'authentification de votre IdP contiendront les attributs requis par dans les IAM politiques de vérification AWS des autorisations des utilisateurs fédérés. Pour obtenir la liste des clés de IAM condition pouvant être utilisées pour les réclamations, voirClés disponibles pour la AWS OIDC fédération.

      • aud : Vous devez déterminer la valeur d'audience déclarée par votre IdP dans JSON Web Tokens ()JWTs. La réclamation d'audience (aud) est spécifique à l'application et identifie les destinataires prévus du jeton. Lorsque vous enregistrez une application mobile ou Web auprès d'un fournisseur OpenID Connect, celui-ci établit un identifiant client qui identifie l'application. L'ID client est un identifiant unique pour votre application. Il est transmis dans la demande d'authentification. La réclamation d'AUD doit correspondre à la valeur d'audience lors de la création de votre fournisseur IAM OIDC d'identité.

      • iat : Les réclamations doivent inclure une valeur représentant l'heure à laquelle le jeton d'identification est émis. iat

      • iss : Le URL fournisseur d'identité. Les https:// and should correspond to the Provider URL provided to IAM. Per the OIDC standard, path com ponents URL doivent commencer par sont autorisés, mais pas les paramètres de requête. En général, il ne s'URLagit que d'un nom d'hôte, comme https://server.example.org or https://example.com. Le ne URL doit pas contenir de numéro de port.

    • réponse_types_supported : id_token

    • subject_types_supported : public

    • id_token_signing_alg_values_supported :,,,,, RS256 RS384 RS512 ES256 ES384 ES512

    Note

    Vous pouvez inclure des réclamations supplémentaires comme my_custom_claim dans l'exemple ci-dessous, mais AWS STS vous ignorerez la réclamation.

    { "issuer": "https://example-domain.com", "jwks_uri": "https://example-domain.com/jwks/keys", "claims_supported": [ "aud", "iat", "iss", "name", "sub", "my_custom_claim" ], "response_types_supported": [ "id_token" ], "id_token_signing_alg_values_supported": [ "RS256", "RS384", "RS512", "ES256", "ES384", "ES512" ], "subject_types_supported": [ "public" ] }

Création et gestion d'un OIDC fournisseur (console)

Suivez ces instructions pour créer et gérer un fournisseur IAM OIDC d'identité dans le AWS Management Console.

Important

Si vous utilisez un fournisseur d'OIDCidentité de Google, Facebook ou Amazon Cognito, ne créez pas de fournisseur d'IAMidentité distinct selon cette procédure. Ces fournisseurs OIDC d'identité sont déjà intégrés à AWS et sont immédiatement disponibles. Au lieu de cela, créez de nouveaux rôles pour votre fournisseur d'identité, en consultant Création d'un rôle pour la fédération OpenID Connect (console).

Pour créer un fournisseur IAM OIDC d'identité (console)
  1. Avant de créer un fournisseur IAM OIDC d'identité, vous devez enregistrer votre application auprès du fournisseur d'identité afin de recevoir un ID client. L'ID client (également appelé public ciblé) est un identifiant unique pour votre application. Il est émis lorsque vous enregistrez l'application auprès du fournisseur d'identité. Pour plus d'informations sur l'obtention d'un ID client, consultez la documentation de votre fournisseur d'identité.

    Note

    AWS sécurise les communications avec les fournisseurs OIDC d'identité (IdPs) à l'aide de notre bibliothèque d'autorités de certification racine fiables (CAs) pour vérifier le certificat du point de terminaison JSON Web Key Set (JWKS). TLS Si votre OIDC IdP s'appuie sur un certificat qui n'est pas signé par l'un de ces certificats approuvésCAs, ce n'est qu'alors que nous sécurisons les communications à l'aide des empreintes digitales définies dans la configuration de l'IdP. AWS reviendra à la vérification par empreinte digitale si nous ne sommes pas en mesure de récupérer le TLS certificat ou si la TLS version 1.3 est requise.

  2. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  3. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.

  4. Pour Configurer le fournisseur, sélectionnez OpenID Connect.

  5. Dans le champ Fournisseur URL, saisissez le URL nom de l'IdP. Ils URL doivent respecter les restrictions suivantes :

    • URLest sensible à la casse.

    • URLIl faut commencer parhttps://.

    • Le ne URL doit pas contenir de numéro de port.

    • Au sein de votre Compte AWS, chaque fournisseur IAM OIDC d'identité doit utiliser un identifiant uniqueURL. Si vous essayez de soumettre un fichier URL qui a déjà été utilisé pour un fournisseur OpenID Connect dans le Compte AWS, vous recevrez un message d'erreur.

  6. Sous Public ciblé, tapez l'ID client de l'application enregistrée auprès du fournisseur d'identité, reçu dansÉtape 1, qui exécute les demandes sur. AWS Si vous disposez d'un client supplémentaire IDs (également appelé public ciblé) pour ce fournisseur d'identité, vous pouvez les ajouter ultérieurement sur la page de détails du fournisseur.

    Note

    Si votre JWT jeton IdP inclut la azp réclamation, entrez cette valeur comme valeur d'audience.

    Si votre fournisseur OIDC d'identité définit à la fois aud les azp réclamations dans le jeton, AWS STS il utilisera la valeur de la azp réclamation comme aud réclamation.

  7. (Facultatif) Pour Add tags (Ajouter des balises), vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et organiser vos. IdPs Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS . Pour en savoir plus sur le balisage des fournisseurs IAM OIDC d'identité, reportez-vous Tag : fournisseurs d'identité OpenID Connect (OIDC) à la section. Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.

  8. Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur. IAMtentera de récupérer et d'utiliser l'empreinte numérique de l'autorité de certification intermédiaire supérieure du certificat du serveur OIDC IdP pour créer le fournisseur d'identité. IAM OIDC

    Note

    La chaîne de certificats du fournisseur d'OIDCidentité doit commencer par le domaine ou l'émetteurURL, puis le certificat intermédiaire, et se terminer par le certificat racine. Si l'ordre de la chaîne de certificats est différent ou inclut des certificats dupliqués ou supplémentaires, vous recevez une erreur de non-concordance de signature et vous STS ne parvenez pas à valider le jeton JSON Web (JWT). Corrigez l'ordre des certificats dans la chaîne renvoyée par le serveur pour résoudre l'erreur. Pour plus d'informations sur les normes relatives aux chaînes de certificats, consultez la section certificate_list de la section RFC 5246 sur le site Web de la série. RFC

  9. Attribuez un IAM rôle à votre fournisseur d'identité pour donner aux identités d'utilisateur externes gérées par votre fournisseur d'identité les autorisations d'accès aux AWS ressources de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Création d'un rôle pour un fournisseur d'identité tiers (fédération).

    Note

    OIDC IdPs utilisé dans une politique d'approbation de rôle doit se trouver dans le même compte que le rôle qui l'approuve.

Pour ajouter ou supprimer une empreinte pour un fournisseur d'IAMOIDCidentité (console)
Note

AWS sécurise les communications avec les fournisseurs OIDC d'identité (IdPs) à l'aide de notre bibliothèque d'autorités de certification racine fiables (CAs) pour vérifier le certificat du point de terminaison JSON Web Key Set (JWKS). TLS Si votre OIDC IdP s'appuie sur un certificat qui n'est pas signé par l'un de ces certificats approuvésCAs, ce n'est qu'alors que nous sécurisons les communications à l'aide des empreintes digitales définies dans la configuration de l'IdP. AWS reviendra à la vérification par empreinte digitale si nous ne sommes pas en mesure de récupérer le TLS certificat ou si la TLS version 1.3 est requise.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Identity providers (Fournisseurs d'identité). Sélectionnez ensuite le nom du fournisseur IAM d'identité que vous souhaitez mettre à jour.

  3. Choisissez l'onglet Vérification du point de terminaison, puis dans la section Empreintes numériques, sélectionnez Gérer. Pour saisir une nouvelle valeur d'empreinte, sélectionnez Ajouter une empreinte. Pour supprimer une empreinte numérique, sélectionnez Supprimer en regard de l'empreinte que vous souhaitez supprimer.

    Note

    Un fournisseur IAM OIDC d'identité peut avoir entre 1 (minimum) et 5 empreintes.

    Lorsque vous avez terminé, sélectionnez Enregistrer les modifications.

Pour ajouter une audience pour un fournisseur IAM OIDC d'identité (console)
  1. Dans le volet de navigation, sélectionnez Identity providers (Fournisseurs d'identité), puis le nom du fournisseur IAM d'identité que vous voulez mettre à jour.

  2. Dans la section Audiences, sélectionnez Actions et Ajouter une audience.

  3. Saisissez l'ID client de l'application que vous avez enregistrée auprès du fournisseur d'identité, reçu dansÉtape 1, qui exécutera les demandes vers. AWS Sélectionnez ensuite Ajouter des audiences.

    Note

    Un fournisseur IAM OIDC d'identité peut avoir entre 1 (minimum) et 100 audiences (maximum).

Pour supprimer une audience pour un fournisseur IAM OIDC d'identité (console)
  1. Dans le volet de navigation, sélectionnez Identity providers (Fournisseurs d'identité), puis le nom du fournisseur IAM d'identité que vous voulez mettre à jour.

  2. Dans la section Audiences, activez la case d'option en regard de l'audience que vous souhaitez supprimer, puis sélectionnez Actions.

  3. Sélectionnez Supprimer l'audience. Une nouvelle fenêtre s'ouvre.

  4. Si vous supprimez une audience, les identités fédérées avec l'audience ne peuvent pas endosser les rôles associés à l'audience. Dans la fenêtre, lisez le message d'avertissement et confirmez que vous souhaitez supprimer l'audience en saisissant le mot remove dans le champ.

  5. Sélectionnez Supprimer pour supprimer l'audience.

Pour supprimer un fournisseur IAM OIDC d'identité (console)
  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Identity providers (Fournisseurs d'identité).

  3. Sélectionnez la case à cocher en regard du fournisseur IAM d'identité que vous souhaitez supprimer. Une nouvelle fenêtre s'ouvre.

  4. Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Création et gestion d'un fournisseur IAM OIDC d'identité (AWS CLI)

Vous pouvez utiliser les AWS CLI commandes suivantes pour créer et gérer des fournisseurs IAM OIDC d'identité.

Pour créer un fournisseur IAM OIDC d'identité (AWS CLI)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, exécutez la commande suivante :

  2. Pour créer un fournisseur IAM OIDC d'identité, exécutez la commande suivante :

Pour mettre à jour la liste des empreintes numériques de certificat de serveur pour un fournisseur d'IAMOIDCidentité existant ()AWS CLI
Pour étiqueter un fournisseur IAM OIDC d'identité existant (AWS CLI)
Pour répertorier les tags d'un fournisseur IAM OIDC d'identité existant (AWS CLI)
Pour supprimer les tags d'un fournisseur IAM OIDC d'identité (AWS CLI)
Pour ajouter un ID client à un fournisseur d'IAMOIDCidentité existant ou le supprimer (AWS CLI)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, exécutez la commande suivante :

  3. Pour ajouter un nouvel ID client à un fournisseur IAM OIDC d'identité existant, exécutez la commande suivante :

  4. Pour supprimer un client d'un fournisseur IAM OIDC d'identité existant, exécutez la commande suivante :

Pour supprimer un fournisseur IAM OIDC d'identité (AWS CLI)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, exécutez la commande suivante :

  3. Pour supprimer un fournisseur IAM OIDC d'identité, exécutez la commande suivante :

Création et gestion d'un fournisseur OIDC d'identité (AWS API)

Vous pouvez utiliser les IAM API commandes suivantes pour créer et gérer des OIDC fournisseurs.

Pour créer un fournisseur IAM OIDC d'identité (AWS API)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, appelez l'opération suivante :

  2. Pour créer un fournisseur IAM OIDC d'identité, appelez l'opération suivante :

Pour mettre à jour la liste des empreintes numériques de certificat de serveur pour un fournisseur d'IAMOIDCidentité existant ()AWS API
  • Pour mettre à jour la liste des empreintes numériques de certificat de serveur pour un fournisseur IAM OIDC d'identité, appelez l'opération suivante :

Pour étiqueter un fournisseur IAM OIDC d'identité existant (AWS API)
Pour répertorier les tags d'un fournisseur IAM OIDC d'identité existant (AWS API)
  • Pour afficher la liste des balises d'un fournisseur IAM OIDC d'identité existant, appelez l'opération suivante :

Pour supprimer les tags d'un fournisseur IAM OIDC d'identité existant (AWS API)
  • Pour supprimer les balises d'un fournisseur IAM OIDC d'identité existant, appelez l'opération suivante :

Pour ajouter un ID client à un fournisseur d'IAMOIDCidentité existant ou le supprimer (AWS API)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, appelez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, appelez l'opération suivante :

  3. Pour ajouter un nouvel ID client à un fournisseur IAM OIDC d'identité existant, appelez l'opération suivante :

  4. Pour supprimer un ID client d'un fournisseur IAM OIDC d'identité existant, appelez l'opération suivante :

Pour supprimer un fournisseur IAM OIDC d'identité (AWS API)
  1. (Facultatif) Pour obtenir la liste de tous les fournisseurs IAM OIDC d'identité de votre AWS compte, appelez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations détaillées sur un fournisseur IAM OIDC d'identité, appelez l'opération suivante :

  3. Pour supprimer un fournisseur IAM OIDC d'identité, appelez l'opération suivante :