Configuration de votre IdP SAML 2.0 à l’aide d’une relation d’approbation des parties utilisatrices et ajout de demandes

Lorsque vous créez un fournisseur d'identité IAM et le rôle pour l'accès SAML, vous donnez des informations à AWS sur le fournisseur d'identité (IdP) externe et sur les actions que les utilisateurs sont autorisés à effectuer. La prochaine étape consiste à définir AWS en tant que fournisseur de services auprès de l'IdP. Il s'agit là de l'ajout d'une relation d'approbation des parties utilisatrices entre votre IdP et AWS. Le processus exact utilisé pour ajouter une approbation de partie utilisatrice dépend de l'IdP que vous utilisez. Pour plus d'informations, consultez la documentation de votre logiciel de gestion des identités.

De nombreux IdP vous permettent de spécifier une URL à partir de laquelle ils peuvent lire un document XML qui contient des informations sur les parties utilisatrices et des certificats. Pour AWS, utilisez https://region-code.signin.aws.amazon.com/static/saml-metadata.xml ou https://signin.aws.amazon.com/static/saml-metadata.xml. Pour obtenir la liste des valeurs possibles de region-code, consultez la colonne Region (Région) des AWS Sign-In endpoints (Points de terminaison de connexion).

S'il n'est pas possible de spécifier directement une URL, téléchargez le document XML à partir de l'URL ci-dessus et importez-le dans l'application de votre IdP.

Vous devez également créer les règles de demande appropriées dans votre IdP afin de spécifier AWS en tant que partie utilisatrice. Lorsque l'IdP envoie une réponse SAML au point de terminaison AWS, il inclut une assertion SAML qui contient une ou plusieurs demandes. Une demande contient des informations sur l'utilisateur et ses groupes. Une règle de demande mappe ces informations à des attributs SAML. Cela vous garantit que les réponses d'authentification SAML de votre IdP contiendront les attributs requis par AWS dans les politiques IAM pour vérifier les autorisations des utilisateurs fédérés. Pour plus d’informations, consultez les rubriques suivantes :

Vue d'ensemble du rôle permettant d'autoriser l'accès SAML fédéré à vos ressources AWS. Cette rubrique décrit les clés spécifiques à SAML dans les politiques IAM et explique comment les utiliser pour limiter les autorisations des utilisateurs fédérés SAML.
Configuration d’assertions SAML pour la réponse d’authentification. Cette rubrique explique comment configurer des demandes SAML contenant des informations sur l'utilisateur. Les demandes sont regroupées dans une assertion SAML et intégrées dans la réponse SAML qui est envoyée à AWS. Vous devez vous assurer que les informations requises par les politiques AWS sont incluses dans l'assertion SAML, dans un format qu'AWS est en mesure de lire et d'utiliser.
Intégration de prestataires de solution SAML tiers avec AWS. Cette rubrique contient des liens vers la documentation fournie par des organisations tierces sur les méthodes utilisées pour intégrer des solutions d'identité à AWS.

Note

Pour améliorer la résilience de la fédération, nous vous recommandons de configurer votre IdP et votre fédération AWS pour prendre en charge plusieurs points de terminaison de connexion SAML. Pour en savoir plus, consultez l'article du blog sur la sécurité d'AWS intitulé How to use regional SAML endpoints for failover.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Créer un fournisseur SAML d'identité

Intégration de prestataires de solution SAML tiers avec AWS