Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'authentification IAM Identity Center
L'authentification IAM Identity Center fournit un moyen centralisé de gérer l'accès des utilisateurs à l'application Web AWS DevOps Agent Space. Ce guide explique comment configurer l'authentification IAM Identity Center et comment gérer les utilisateurs.
Conditions préalables
Avant de configurer l'authentification IAM Identity Center, assurez-vous d'avoir :
IAM Identity Center activé dans votre organisation ou votre compte
Autorisations d'administrateur dans AWS DevOps l'agent
Un espace agent configuré ou prêt à être créé
Options d'authentification
AWS DevOps L'agent propose deux méthodes d'authentification pour accéder à l'application Web Agent Space :
Authentification IAM Identity Center : recommandée pour les environnements de production. Assure une gestion centralisée des utilisateurs, une intégration avec des fournisseurs d'identité externes et des sessions d'une durée maximale de 12 heures.
Accès administrateur (authentification IAM) : fournit un accès rapide aux administrateurs lors de l'installation et de la configuration initiales. Les séances sont limitées à 30 minutes.
Configuration d'IAM Identity Center lors de la création de l'espace agent
Lorsque vous créez un espace agent, vous pouvez configurer l'authentification IAM Identity Center dans l'onglet Accès :
Étape 1 : Accédez à la configuration de l'application Web
Après avoir configuré les détails de votre espace agent et l'accès à votre AWS compte, passez à l'onglet Accès
Vous verrez deux sections : « Connect IAM Identity Center » et « Accès administrateur »
Étape 2 : configurer l'intégration d'IAM Identity Center
Dans la section Connect [Agent Space] à IAM Identity Center :
Vérifiez l'instance IAM Identity Center : la console indique quelle instance Identity Center gérera l'accès des utilisateurs de l'application Web (par exemple,
ssoins-7223a9580931edbe). L'instance IAM Identity Center la plus proche sera automatiquement préremplie.Sélectionnez l'option Nom du rôle de l'application IAM Identity Center : choisissez l'une des trois options suivantes :
Création automatique d'un nouveau rôle DevOps d'agent (recommandé) :
Le système crée automatiquement un nouveau rôle de service avec les autorisations appropriées
Il s'agit de l'option la plus simple et elle fonctionne pour la plupart des cas d'utilisation
Attribuez un rôle existant :
Utiliser un rôle IAM existant que vous avez déjà créé
Le système vérifiera que le rôle dispose des autorisations requises
Choisissez cette option si votre organisation a précréé des rôles pour l'agent AWS DevOps
Créez un nouveau rôle d' DevOps agent à l'aide d'un modèle de politique :
Utilisez les détails de politique fournis pour créer votre propre rôle personnalisé dans la console IAM
Choisissez cette option si vous devez personnaliser les autorisations des rôles
Après avoir cliqué sur Connect, le système :
Crée ou configure le rôle IAM spécifié
Configure une application IAM Identity Center pour votre espace d'agent
Établit des relations de confiance entre IAM Identity Center et l'application Web Agent Space
Configure les flux d'authentification OAuth 2.0 pour un accès utilisateur sécurisé
Alternative : utilisation de l'accès administrateur
Si vous souhaitez accéder immédiatement à l'application Web Agent Space sans configurer IAM Identity Center :
Dans la section Accès administrateur, notez l'ARN du rôle IAM qui fournit un accès administrateur (par exemple,
arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42)Cliquez sur le bouton bleu d'accès administrateur pour lancer l'application Web Agent Space avec l'authentification IAM
Les sessions utilisant cette méthode sont limitées à 30 minutes
Note
L'accès administrateur est destiné à l'installation et à la configuration initiales. Pour une utilisation en production et pour les opérations en cours, configurez l'authentification IAM Identity Center.
Ajout d’utilisateurs et de groupes
Après avoir configuré l'authentification IAM Identity Center, vous devez autoriser des utilisateurs et des groupes spécifiques à accéder à l'application Web Agent Space :
Étape 1 : Accès à la gestion des utilisateurs
Dans la console AWS DevOps Agent, sélectionnez votre espace agent
Accédez à l'onglet Accès
Sous Accès utilisateur, cliquez sur Gérer les utilisateurs et les groupes
Étape 2 : ajouter des utilisateurs ou des groupes
Choisissez Ajouter des utilisateurs ou des groupes
Recherchez des utilisateurs ou des groupes dans votre annuaire IAM Identity Center
Cochez les cases à côté des utilisateurs ou des groupes que vous souhaitez ajouter
Cliquez sur Ajouter pour leur accorder l'accès
Les utilisateurs sélectionnés peuvent désormais accéder à l'application Web Agent Space à l'aide de leurs informations d'identification IAM Identity Center.
Travailler avec des fournisseurs d'identité externes
Si vous utilisez un fournisseur d'identité externe (tel qu'Okta, Microsoft Entra ID ou Ping Identity) avec IAM Identity Center :
Les utilisateurs et les groupes sont synchronisés entre votre fournisseur d'identité externe et IAM Identity Center
Lorsque vous ajoutez des utilisateurs et des groupes à l'application Web Agent Space, vous effectuez une sélection dans le répertoire synchronisé
Les attributs des utilisateurs et les appartenances aux groupes sont gérés par votre fournisseur d'identité externe
Les modifications apportées à votre fournisseur d'identité sont automatiquement reflétées dans IAM Identity Center après la synchronisation
Comment les utilisateurs accèdent à l'application Web Agent Space
Après avoir ajouté des utilisateurs à votre espace agent :
Partagez l'URL de l'application Web Agent Space avec les utilisateurs autorisés
Lorsque les utilisateurs accèdent à l'URL, ils sont redirigés vers la page de connexion d'IAM Identity Center
Après avoir saisi leurs informations d'identification (et terminé le MFA si configuré), ils sont redirigés vers l'application Web Agent Space
Leur session est valide pendant 8 heures par défaut (configurable par l'administrateur d'Identity Center)
Gestion de l’accès des utilisateurs
Vous pouvez mettre à jour l'accès des utilisateurs à tout moment :
Ajouter des utilisateurs ou des groupes supplémentaires :
Suivez les mêmes étapes décrites ci-dessus pour ajouter des utilisateurs ou des groupes supplémentaires
Suppression de l'accès :
Dans la section Accès utilisateur, recherchez l'utilisateur ou le groupe à supprimer
Cliquez sur le bouton Supprimer à côté de son nom
Confirmez la suppression
Les utilisateurs supprimés perdront immédiatement leur accès, mais les sessions actives peuvent se poursuivre jusqu'à leur expiration.
Gestion de session
Les sessions IAM Identity Center pour l'application Web Agent Space présentent les caractéristiques suivantes :
Durée de session par défaut : 8 heures
Sécurité de session : cookies HTTP uniquement pour une protection renforcée
Authentification multifactorielle : prise en charge lorsqu'elle est configurée dans IAM Identity Center
Informations d'identification API — Des informations d'identification SigV4 de courte durée (15 minutes) sont émises pour les appels d'API et renouvelées automatiquement
Pour configurer la durée de session, procédez comme suit :
Accédez à la console IAM Identity Center
Accédez à Réglages > Authentification
Sous Durée de session, configurez votre durée préférée (de 1 heure à 12 heures)
Choisissez Enregistrer les modifications
Déconnexion du centre d'identité
Dans la console de votre Agent Space, cliquez sur Actions en haut à droite et sélectionnez Déconnecter du centre d'identité IAM
Confirmer dans la boîte de dialogue de confirmation
