Création d'un fournisseur d'identité SAML dans IAM - AWS Identity and Access Management
PrérequisCréation et gestion d'un fournisseur d'identité IAM SAML (console)Création et gestion d'un fournisseur d'identité IAM SAML ()AWS CLICréation et gestion d'un fournisseur d'identité (AWS API) IAM SAML

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un fournisseur d'identité SAML dans IAM

Un fournisseur d'identité SAML 2.0 IAM est une entité dans IAM qui décrit un service de fournisseur d'identité (IdP) externe prenant en charge la norme SAML 2.0 (Security Assertion Markup Language 2.0). Vous utilisez un fournisseur d'identité IAM lorsque vous souhaitez établir un lien de confiance entre un IdP compatible SAML tel que Shibboleth ou Active Directory Federation Services AWS et afin que les utilisateurs de votre organisation puissent accéder aux ressources. AWS Les fournisseurs d'identité SAML IAM sont utilisés en tant que principaux dans une politique d'approbation IAM.

Pour plus d'informations sur ce scénario, consultez Fédération SAML 2.0.

Vous pouvez créer et gérer un fournisseur d'identité IAM dans AWS Management Console ou avec des AWS CLI outils pour Windows ou PowerShell des appels AWS d'API.

Après avoir créé un fournisseur SAML, vous devez créer un ou plusieurs rôles IAM. Un rôle est une identité AWS qui ne possède pas ses propres informations d'identification (comme le fait un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un utilisateur fédéré qui est authentifié par le fournisseur d'identité (IdP) de votre organisation. Le rôle permet à l'IdP de votre organisation de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les politiques attribuées au rôle déterminent ce que les utilisateurs fédérés sont autorisés à faire dans AWS ce rôle. Pour créer un rôle pour la fédération SAML, consultez Création d'un rôle pour un fournisseur d'identité tiers (fédération).

Enfin, après avoir créé le rôle, vous complétez l'approbation SAML en configurant votre IdP avec les AWS informations et les rôles que vous souhaitez que vos utilisateurs fédérés utilisent. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre IdP et AWS. Pour configurer la relation d'approbation des parties utilisatrices, consultez Configurez votre IdP SAML 2.0 en vous fiant à la confiance des parties et en ajoutant des réclamations.

Prérequis

Avant de créer un fournisseur d'identité SAML, vous devez disposer des informations suivantes auprès de votre IdP.

  • Obtenez le document de métadonnées SAML auprès de votre IdP. Ce document inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Pour générer le document de métadonnées, utilisez le logiciel de gestion des identités fourni par votre IdP externe.

    Important

    Ce fichier de métadonnées inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Le fichier de métadonnées doit être codé au format UTF-8 sans marque d'ordre d'octet (BOM). Pour supprimer la marque d'ordre d'octet (BOM), vous pouvez coder le fichier au format UTF-8 à l'aide d'un outil d'édition de texte, tel que Notepad++.

    Le certificat x.509 inclus comme partie du document des métadonnées SAML doit utiliser une taille de clé au moins égale à 1 024 bits. De plus, le certificat x.509 doit également être exempt de toute extension répétée. Vous pouvez utiliser des extensions, mais elles ne peuvent apparaître qu'une seule fois dans le certificat. Si le certificat x.509 ne répond à aucune des conditions, la création de l'IdP échoue et renvoie une erreur « impossible d'analyser les métadonnées ».

    Comme défini par la version 1.0 du profil d'interopérabilité des métadonnées SAML V2.0, IAM n'évalue ni ne prend aucune mesure concernant l'expiration du certificat X.509 du document de métadonnées.

Pour obtenir des instructions sur la façon de configurer la plupart des éléments disponibles IdPs pour les utiliser AWS, notamment sur la façon de générer le document de métadonnées SAML requis, consultezIntégrez des fournisseurs de solutions SAML tiers avec AWS.

Pour obtenir de l'aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Création et gestion d'un fournisseur d'identité IAM SAML (console)

Vous pouvez utiliser le AWS Management Console pour créer, mettre à jour et supprimer des fournisseurs d'identité IAM SAML. Pour obtenir de l'aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité SAML IAM (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.

  3. Pour Configurer le fournisseur, sélectionnez SAML.

  4. Saisissez un nom pour le fournisseur d'identité.

  5. Pour Document de métadonnées, sélectionnez Choisir un fichier, spécifiez le document de métadonnées SAML que vous avez téléchargé dans Prérequis.

  6. (Facultatif) Pour Ajouter des balises, vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et à organiser votre. IdPs Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS . Pour en savoir plus sur le balisage des fournisseurs d'identité SAML, reportez-vous à la section Balisage de fournisseurs d'identité SAML IAM.

    Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.

  7. Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur.

  8. Attribuez un rôle IAM à votre fournisseur d'identité pour autoriser les identités d'utilisateurs externes gérées par votre fournisseur d'identité à accéder aux AWS ressources de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Création d'un rôle pour un fournisseur d'identité tiers (fédération).

    Note

    Les IdP SAML utilisés dans une politique d'approbation de rôle doivent se trouver dans le même compte que le rôle.

Pour supprimer un fournisseur SAML (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité.

  3. Activez la case d'option en regard du fournisseur d'identité que vous souhaitez supprimer.

  4. Sélectionnez Delete (Supprimer). Une nouvelle fenêtre s'ouvre.

  5. Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Création et gestion d'un fournisseur d'identité IAM SAML ()AWS CLI

Vous pouvez utiliser le AWS CLI pour créer, mettre à jour et supprimer des fournisseurs SAML. Pour obtenir de l'aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (AWS CLI)
Pour mettre à jour un fournisseur d'identité IAM SAML ()AWS CLI
Pour baliser un fournisseur d'identité IAM existant (AWS CLI)
Pour afficher la liste des balises d'un fournisseur d'identité IAM existant (AWS CLI)
Pour supprimer les balises d'un fournisseur d'identité IAM (AWS CLI) existant
Pour supprimer un fournisseur d'identité SAML IAM (AWS CLI)

  1. (Facultatif) Pour répertorier des informations pour tous les fournisseurs, comme l'ARN, la date de création et l'expiration, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que l'ARN, la date de création, la date d'expiration, les paramètres de chiffrement et les informations de clé privée, exécutez la commande suivante :

  3. Pour supprimer un fournisseur d'identité IAM, exécutez la commande suivante :

Création et gestion d'un fournisseur d'identité (AWS API) IAM SAML

Vous pouvez utiliser l' AWS API pour créer, mettre à jour et supprimer des fournisseurs SAML. Pour obtenir de l'aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (AWS API)
Pour mettre à jour un fournisseur d'identité (AWS API) IAM SAML
Pour baliser un fournisseur d'identité (AWS API) IAM existant
Pour répertorier les balises d'un fournisseur d'identité (AWS API) IAM existant
Pour supprimer des balises sur un fournisseur d'identité (AWS API) IAM existant
Pour supprimer un fournisseur d'identité (AWS API) IAM

  1. (Facultatif) Pour répertorier les informations relatives à tous IdPs, telles que l'ARN, la date de création et l'expiration, effectuez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que l'ARN, la date de création, la date d'expiration, les paramètres de chiffrement et les informations de clé privée, effectuez l'opération suivante :

  3. Pour supprimer un IdP, appelez l'opération suivante :