Configurez votre IdP SAML 2.0 en vous fiant à la confiance des parties et en ajoutant des réclamations

Lorsque vous créez un fournisseur d'identité IAM et le rôle pour l'accès SAML, vous donnez des informations à AWS sur le fournisseur d'identité (IdP) externe et sur les actions que les utilisateurs sont autorisés à effectuer. L'étape suivante consiste à en informer l'IdP en AWS tant que fournisseur de services. Il s'agit là de l'ajout d'une relation d'approbation des parties utilisatrices entre votre IdP et AWS. Le processus exact utilisé pour ajouter une approbation de partie utilisatrice dépend de l'IdP que vous utilisez. Pour plus d'informations, consultez la documentation de votre logiciel de gestion des identités.

Beaucoup vous IdPs permettent de spécifier une URL à partir de laquelle l'IdP peut lire un document XML contenant des informations et des certificats relatifs à une partie utilisatrice. Pour AWS, utilisez https://region-code.signin.aws.amazon.com/static/saml-metadata.xml ouhttps://signin.aws.amazon.com/static/saml-metadata.xml. Pour obtenir la liste des valeurs possibles de region-code, consultez la colonne Region (Région) des AWS Sign-In endpoints (Points de terminaison de connexion).

S'il n'est pas possible de spécifier directement une URL, téléchargez le document XML à partir de l'URL ci-dessus et importez-le dans l'application de votre IdP.

Vous devez également créer des règles de réclamation appropriées dans votre IdP, qui spécifient en AWS tant que partie de confiance. Lorsque l'IdP envoie une réponse SAML au point de AWS terminaison, elle inclut une assertion SAML contenant une ou plusieurs revendications. Une demande contient des informations sur l'utilisateur et ses groupes. Une règle de demande mappe ces informations à des attributs SAML. Cela vous permet de vous assurer que les réponses d'authentification SAML de votre IdP contiennent les attributs nécessaires utilisés dans AWS les politiques IAM pour vérifier les autorisations des utilisateurs fédérés. Pour plus d’informations, consultez les rubriques suivantes :

Vue d'ensemble du rôle permettant d'autoriser l'accès SAML fédéré à votre AWS resources. Cette rubrique décrit les clés spécifiques à SAML dans les politiques IAM et explique comment les utiliser pour limiter les autorisations des utilisateurs fédérés SAML.
Configurer les SAML assertions pour la réponse d'authentification. Cette rubrique explique comment configurer des demandes SAML contenant des informations sur l'utilisateur. Les demandes sont regroupées dans une assertion SAML et intégrées dans la réponse SAML qui est envoyée à AWS. Vous devez vous assurer que les informations requises par AWS les politiques sont incluses dans l'assertion SAML sous une forme AWS reconnaissable et utilisable.
Intégrez des fournisseurs de solutions SAML tiers avec AWS. Cette rubrique fournit des liens vers la documentation fournie par des organisations tierces sur la manière d'intégrer des solutions d'identité à AWS.

Note

Pour améliorer la résilience de la fédération, nous vous recommandons de configurer votre IdP et votre fédération AWS pour prendre en charge plusieurs points de terminaison de connexion SAML. Pour plus de détails, consultez l'article du blog sur la AWS sécurité Comment utiliser les points de terminaison SAML régionaux pour le basculement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Créer un fournisseur SAML d'identité

Intégrez des fournisseurs de solutions SAML tiers avec AWS