Créez un fournisseur SAML d'identité dans IAM - AWS Identity and Access Management
PrérequisCréation et gestion d'un fournisseur IAM SAML d'identité (console)Création et gestion d'un fournisseur IAM SAML d'identité (AWS CLI)Création et gestion d'un fournisseur IAM SAML d'identité (AWS API)Étapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un fournisseur SAML d'identité dans IAM

Un fournisseur d'identité IAM SAML 2.0 est une entité IAM qui décrit un service de fournisseur d'identité externe (IdP) compatible avec la norme SAML2.0 (Security Assertion Markup Language 2.0). Vous utilisez un fournisseur IAM d'identité lorsque vous souhaitez établir un lien de confiance entre un IdP SAML compatible tel que Shibboleth ou Active Directory Federation Services AWS et afin que les utilisateurs de votre organisation puissent accéder aux ressources. AWS IAMSAMLles fournisseurs d'identité sont utilisés comme principaux dans le cadre d'une politique de IAM confiance.

Pour plus d'informations sur ce scénario, consultez SAMLfédération 2.0.

Vous pouvez créer et gérer un fournisseur IAM d'identité dans AWS Management Console ou avec AWS CLI Outils pour Windows ou PowerShell des AWS API appels.

Après avoir créé un SAML fournisseur, vous devez créer un ou plusieurs IAM rôles. Un rôle est une identité AWS qui ne possède pas ses propres informations d'identification (comme le fait un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un utilisateur fédéré qui est authentifié par le fournisseur d'identité (IdP) de votre organisation. Le rôle permet à l'IdP de votre organisation de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les politiques attribuées au rôle déterminent ce que les utilisateurs fédérés sont autorisés à faire dans AWS ce rôle. Pour créer un rôle pour SAML la fédération, voirCréation d’un rôle pour un fournisseur d’identité tiers (fédération).

Enfin, après avoir créé le rôle, vous complétez la SAML confiance en configurant votre IdP avec les informations AWS et les rôles que vous souhaitez que vos utilisateurs fédérés utilisent. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre IdP et AWS. Pour configurer la relation d'approbation des parties utilisatrices, consultez Configuration de votre IdP SAML 2.0 à l’aide d’une relation d’approbation des parties utilisatrices et ajout de demandes.

Prérequis

Avant de créer un fournisseur d'SAMLidentité, vous devez disposer des informations suivantes auprès de votre IdP.

  • Obtenez le document de SAML métadonnées auprès de votre IdP. Ce document inclut le nom de l'émetteur, les informations d'expiration et les clés qui peuvent être utilisées pour valider la réponse SAML d'authentification (assertions) reçue de l'IdP. Pour générer le document de métadonnées, utilisez le logiciel de gestion des identités fournit par votre IdP externe.

    Important

    Ce fichier de métadonnées inclut le nom de l'émetteur, les informations d'expiration et les clés qui peuvent être utilisées pour valider la réponse SAML d'authentification (assertions) reçue de l'IdP. Le fichier de métadonnées doit être codé au format UTF -8 sans marque d'ordre des octets (BOM). Pour le supprimerBOM, vous pouvez encoder le fichier sous la forme UTF -8 à l'aide d'un outil d'édition de texte tel que Notepad++.

    Le certificat X.509 inclus dans le document de SAML métadonnées doit utiliser une taille de clé d'au moins 1024 bits. En outre, le certificat X.509 doit également être exempt de toute extension répétée. Vous pouvez utiliser des extensions, mais elles ne peuvent apparaître qu'une seule fois dans le certificat. Si le certificat X.509 ne répond à aucune de ces conditions, la création de l'IdP échoue et renvoie le message d'erreur « Impossible d'analyser les métadonnées ».

    Tel que défini par le profil d'interopérabilité des métadonnées SAML V2.0 version 1.0, n'évalue ni IAM ne prend de mesures concernant l'expiration des certificats X.509 dans les documents de SAML métadonnées. Si vous êtes préoccupé par l'expiration des certificats X.509, nous vous recommandons de surveiller les dates d'expiration des certificats et d'effectuer une rotation des certificats conformément aux politiques de gouvernance et de sécurité de votre organisation.

Pour obtenir des instructions sur la façon de configurer la plupart des éléments disponibles IdPs pour les utiliser AWS, notamment sur la manière de générer le document de SAML métadonnées requis, consultezIntégration de prestataires de solution SAML tiers avec AWS.

Pour obtenir de l'aide concernant SAML la fédération, voir Résolution des problèmes liés à SAML la fédération.

Création et gestion d'un fournisseur IAM SAML d'identité (console)

Vous pouvez utiliser le AWS Management Console pour créer, mettre à jour et supprimer des fournisseurs IAM SAML d'identité. Pour obtenir de l'aide concernant SAML la fédération, voir Résolution des problèmes liés à SAML la fédération.

Pour créer un fournisseur IAM SAML d'identité (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.

  3. Pour Configurer le fournisseur, choisissez SAML.

  4. Saisissez un nom pour le fournisseur d'identité.

  5. Pour le document de métadonnées, choisissez Choisir un fichier, puis spécifiez le document de SAML métadonnées dans lequel vous avez téléchargéPrérequis.

  6. (Facultatif) Pour Ajouter des balises, vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et à organiser votre. IdPs Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS . Pour en savoir plus sur le balisage des fournisseurs SAML d'identité, consultezBalisage de fournisseurs d’identité SAML IAM.

    Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.

  7. Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur.

  8. Attribuez un IAM rôle à votre fournisseur d'identité. Ce rôle donne aux identités d'utilisateurs externes gérées par votre fournisseur d'identité l'autorisation d'accéder aux AWS ressources de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Création d’un rôle pour un fournisseur d’identité tiers (fédération).

    Note

    SAMLIDPsutilisé dans un rôle, la politique de confiance doit se trouver dans le même compte que celui dans lequel se trouve le rôle.

Pour supprimer un SAML fournisseur (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité.

  3. Activez la case d'option en regard du fournisseur d'identité que vous souhaitez supprimer.

  4. Sélectionnez Delete (Supprimer). Une nouvelle fenêtre s'ouvre.

  5. Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Création et gestion d'un fournisseur IAM SAML d'identité (AWS CLI)

Vous pouvez utiliser le AWS CLI pour créer, mettre à jour et supprimer des SAML fournisseurs. Pour obtenir de l'aide concernant SAML la fédération, voir Résolution des problèmes liés à SAML la fédération.

Pour créer un fournisseur d'identité IAM et charger un document de métadonnées (AWS CLI)
Pour mettre à jour un fournisseur IAM SAML d'identité (AWS CLI)
Pour baliser un fournisseur d'identité IAM existant (AWS CLI)
Pour afficher la liste des balises d'un fournisseur d'identité IAM existant (AWS CLI)
Pour supprimer les balises d'un fournisseur d'identité IAM (AWS CLI) existant
Pour supprimer un fournisseur IAM SAML d'identité (AWS CLI)

  1. (Facultatif) Pour répertorier les informations relatives à tous les fournisseursARN, telles que les dates de création et d'expiration, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que la date de créationARN, la date d'expiration, les paramètres de chiffrement et les informations de clé privée, exécutez la commande suivante :

  3. Pour supprimer un fournisseur d'identité IAM, exécutez la commande suivante :

Création et gestion d'un fournisseur IAM SAML d'identité (AWS API)

Vous pouvez utiliser le AWS API pour créer, mettre à jour et supprimer des SAML fournisseurs. Pour obtenir de l'aide concernant SAML la fédération, voir Résolution des problèmes liés à SAML la fédération.

Pour créer un fournisseur d'identité IAM et charger un document de métadonnées (AWS API)
Pour mettre à jour un fournisseur IAM SAML d'identité (AWS API)
Pour baliser un fournisseur d'identité IAM existant (AWS API)
Pour répertorier les tags d'un fournisseur IAM d'identité existant (AWS API)
Pour supprimer les balises d'un fournisseur d'identité IAM (AWS API) existant
Pour supprimer un fournisseur IAM d'identité (AWS API)

  1. (Facultatif) Pour répertorier les informations relatives à tous IdPsARN, telles que la date de création et l'expiration, effectuez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que la date de créationARN, la date d'expiration, les paramètres de chiffrement et les informations de clé privée, effectuez l'opération suivante :

  3. Pour supprimer un IdP, appelez l'opération suivante :

Étapes suivantes

Après avoir créé un fournisseur SAML d'identité, configurez la confiance de la partie utilisatrice avec votre IdP. Vous pouvez également utiliser les demandes de la réponse d’authentification de votre IdP dans les politiques pour contrôler l’accès à un rôle.