Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriel : Amazon Quick et fédération d'identités IAM
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : Amazon Quick Administrators et développeurs Amazon Quick |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Dans le didacticiel suivant, vous trouverez une procédure pas à pas pour configurer l'IdP Okta en tant que service de fédération pour Amazon Quick. Bien que ce didacticiel montre l'intégration de Gestion des identités et des accès AWS (IAM) et d'Okta, vous pouvez également répliquer cette solution en utilisant le SAML 2.0 de votre choix. IdPs
Dans la procédure suivante, vous allez créer une application dans l'IdP Okta à l'aide du raccourci « Fédération de comptes AWS ». Okta décrit cette application d’intégration comme suit :
« En fédérant les comptes Okta et Amazon Web Services (AWS) Identity and Access Management (IAM) (IAM), les utilisateurs finaux obtiennent un accès par authentification unique à tous les rôles qui leur sont assignés grâce à leurs AWS informations d'identification Okta. Dans chacune d'entre elles Compte AWS, les administrateurs mettent en place la fédération et configurent les AWS rôles de manière à faire confiance à Okta. Lorsque les utilisateurs se connectent à AWS, ils bénéficient de l'expérience de connexion unique d'Okta qui leur permet de voir les rôles qui leur sont assignés AWS . Ils peuvent ensuite sélectionner le rôle souhaité, qui définit leurs autorisations pour la durée de leur session authentifiée. Pour les clients possédant un grand nombre de AWS comptes, optez pour l' AWS application Single Sign-On comme alternative. » (https://www.okta.com/aws/)
**Pour créer une application Okta à l'aide du raccourci d'application « Fédération de AWS comptes » d'Okta**
1. Connectez-vous à votre tableau de bord Okta. Si vous n'en avez pas, créez un compte Okta Developer Edition gratuit en utilisant [cette URL de marque Amazon Quick](https://developer.okta.com/quickstart/). Lorsque vous avez activé votre e-mail, connectez-vous à Okta.
1. Sur le site web d’Okta, choisissez la **<> Console du développeur** en haut à gauche, puis **Interface utilisateur classique**.
1. Choisissez **Ajouter des applications**, puis **Ajouter une application**.
1. Saisissez **aws** dans le champ **Recherche**, puis choisissez **Fédération de comptes AWS ** dans les résultats de la recherche.
1. Choisissez **Ajouter** pour créer une instance de cette application.
1. Dans le champ **Nom de l’application**, saisissez **AWS Account Federation - Amazon Quick**.
1. Choisissez **Suivant**.
1. Pour **SAML 2.0**, **État de relais par défaut**, saisissez **https://quicksight.aws.amazon.com**.
1. Ouvrez le menu contextuel (par un clic droit) pour les **métadonnées du fournisseur d’identité** et choisissez d’enregistrer le fichier. Nommez le fichier `metadata.xml`. Vous aurez besoin de ce fichier pour la procédure suivante.
Le contenu du fichier ressemble à ce qui suit.
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Après avoir enregistré le fichier XML, faites défiler la page Okta vers le bas, puis choisissez **OK**.
1. Laissez cette fenêtre de navigateur ouverte, si possible. Vous en aurez besoin ultérieurement dans le didacticiel.
Ensuite, créez un fournisseur d’identité dans votre Compte AWS.
**Pour créer un fournisseur SAML dans Gestion des identités et des accès AWS (IAM)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Fournisseurs d’identité**, **Créer un fournisseur**.
1. Définissez les paramètres suivants :
+ **Type de fournisseur** : choisissez **SAML** dans la liste.
+ **Nom du fournisseur** : saisissez **Okta**.
+ **Document de métadonnées** : chargez le fichier XML `manifest.xml` de la procédure précédente.
1. Choisissez **Étape suivante**, **Créer**.
1. Localisez l’IdP que vous avez créé et choisissez-le pour consulter les paramètres. Notez l’**ARN du fournisseur**. Vous en avez besoin pour terminer le didacticiel.
1. Vérifiez que le fournisseur d’identité est créé avec vos paramètres. Dans IAM, choisissez **Fournisseurs d’identité**, **Okta** (l’IdP que vous avez ajouté), **Télécharger les métadonnées**. Le fichier doit être celui que vous avez récemment chargé.
Ensuite, vous créez un rôle IAM pour permettre à la fédération SAML 2.0 d'agir en tant qu'entité de confiance dans votre. Compte AWS Pour cette étape, vous devez choisir le mode de provisionnement des utilisateurs dans Amazon Quick. Vous pouvez effectuer l’une des actions suivantes :
+ Accordez l'autorisation au rôle IAM afin que les nouveaux visiteurs deviennent automatiquement des utilisateurs d'Amazon Quick.
**Création déun rôle IAM pour une fédération SAML 2.0 en tant qu’entité approuvée**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Rôles**, puis **Créer un rôle**.
1. Pour **Sélectionner le type d’entité approuvée**, choisissez **Fédération SAML 2.0**.
1. Pour **Fournisseur SAML**, sélectionnez l’IdP que vous avez créé lors de la procédure précédente, par exemple `Okta`.
1. Activez l’option **Autoriser l’accès par programmation et l’accès à la console de gestion AWS **.
1. Choisissez **Suivant : Autorisations**.
1. Collez le politique suivante dans l’éditeur.
Dans l’éditeur de politique, mettez à jour le fichier JSON avec l’Amazon Resource Name (ARN) de votre fournisseur.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Choisissez **Examiner une politique**.
1. Pour **Name (Nom)**, saisissez **QuicksightOktaFederatedPolicy**, puis choisissez **Create policy (Créer une stratégie)**.
1. Choisissez une deuxième fois **Créer une politique**, **JSON**.
1. Collez le politique suivante dans l’éditeur.
Dans l'éditeur de règles, mettez à jour le JSON avec votre Compte AWS identifiant. Il doit s’agir du même ID de compte que celui que vous avez utilisé dans la politique précédente dans l’ARN du fournisseur.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Vous pouvez omettre le Région AWS nom dans l'ARN, comme indiqué ci-dessous.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Choisissez **Examiner une politique**.
1. Pour **Name (Nom)**, saisissez **QuicksightCreateReader**, puis choisissez **Create policy (Créer une stratégie)**.
1. Actualisez la liste des politiques en cliquant sur l’icône d’actualisation à droite.
1. Dans le champ **Recherche**, saisissez **QuicksightOktaFederatedPolicy**. Choisissez la politique pour l’activer (![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/checkbox-on.png)).
Si vous ne voulez pas utiliser le provisionnement automatique, vous pouvez ignorer l’étape suivante.
Pour ajouter un utilisateur Amazon Quick, utilisez [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Pour ajouter un groupe Amazon Quick, utilisez [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Pour ajouter des utilisateurs au groupe Amazon Quick, utilisez [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Facultatif) Dans le champ **Recherche**, saisissez **QuicksightCreateReader**. Choisissez la politique pour l’activer (![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/checkbox-on.png)).
Effectuez cette étape si vous souhaitez configurer automatiquement les utilisateurs d'Amazon Quick, plutôt que d'utiliser l'API Amazon Quick.
La politique `QuicksightCreateReader` active le provisionnement automatique en autorisant l’utilisation de l’action `quicksight:CreateReader`. Cette action permet d’accorder aux nouveaux utilisateurs un accès au tableau de bord en tant qu’abonné (niveau lecteur). Un administrateur Amazon Quick peut ensuite les mettre à niveau depuis le menu de profil Amazon Quick, **Manage Amazon Quick**, **Manage users**.
1. Pour continuer à attacher la ou les politiques IAM, choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Pour **Nom du rôle**, saisissez **QuicksightOktaFederatedRole**, puis choisissez **Créer un rôle**.
1. Vérifiez que vous avez effectué cette opération avec succès en suivant les étapes ci-dessous :
1. Retournez à la page principale de la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. Vous pouvez utiliser le bouton **Retour** de votre navigateur.
1. Sélectionnez **Rôles**.
1. Dans le champ **Recherche**, saisissez Okta. Choisissez **QuicksightOktaFederatedRole**parmi les résultats de recherche.
1. Sur la page **Résumé** de la politique, examinez l’onglet **Autorisations**. Vérifiez que le rôle possède la ou les politiques que vous lui avez associées. Il devrait avoir `QuicksightOktaFederatedPolicy`. Si vous avez choisi d’ajouter la possibilité de créer des utilisateurs, il devrait également avoir `QuicksightCreateReader`.
1. Utilisez l’icône ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/caret-right-filled.png) pour ouvrir chaque politique. Vérifiez que le texte correspond à ce qui est indiqué dans cette procédure. Vérifiez que vous avez ajouté votre propre Compte AWS numéro à la place du numéro de compte d'exemple 111111111111.
1. Dans l’onglet **Relations d’approbation**, vérifiez que le champ **Entités approuvée** contient l’ARN du fournisseur d’identité. Vous pouvez vérifier à nouveau l’ARN dans la console IAM en ouvrant **Fournisseurs d’identité**, **Okta**.
**Création d’une clé d’accès pour Okta**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Ajoutez une politique qui permet à Okta d’afficher une liste de rôles IAM à l’utilisateur. Pour ce faire, choisissez **Politique**, **Créer une nouvelle politique**.
1. Choisissez **JSON** puis saisissez la politique suivante.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Choisissez **Review Policy (Examiner une stratégie)**.
1. Pour **Nom**, saisissez **OktaListRolesPolicy**. Sélectionnez ensuite **Créer une politique**.
1. Ajoutez un utilisateur afin de fournir à Okta une clé d’accès.
Dans le volet de navigation, choisissez **Utilisateurs**, **Ajouter un utilisateur**.
1. Utilisez les paramètres suivants :
+ Dans **User name** (Nom d’utilisateur), saisissez `OktaSSOUser`.
+ Pour **Type d’accès**, activez **Accès par programmation**.
1. Choisissez **Suivant : Autorisations**.
1. Choisissez **Attach existing policies directly (Attacher directement les politiques existantes)**.
1. Dans le champ **Rechercher****OktaListRolesPolicy**, entrez et choisissez **OktaListRolesPolicy**parmi les résultats de recherche.
1. Sélectionnez **Suivant : Balises**, puis **Suivant : Vérification)**.
1. Choisissez **Create user (Créer un utilisateur)**. Vous pouvez maintenant obtenir la clé d’accès.
1. Téléchargez le fichier clé en choisissant **Télécharger .csv**. Le fichier contient le même ID de clé d’accès et la même clé d’accès secrète que ceux affichés sur cet écran. Toutefois, comme cette information AWS n'est pas affichée une seconde fois, assurez-vous de télécharger le fichier.
1. Vérifiez que vous avez correctement effectué cette étape en procédant comme suit :
1. Ouvrez la console IAM et choisissez **Utilisateurs**. Recherchez **OktaSSOUser, puis** ouvrez-le en choisissant le nom d'utilisateur dans les résultats de recherche.
1. Dans l'onglet **Autorisations**, vérifiez que le **OktaListRolesPolicy**est joint.
1. Utilisez l’icône ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/caret-right-filled.png) pour ouvrir la politique. Vérifiez que le texte correspond à ce qui est indiqué dans cette procédure.
1. Dans l’onglet **Informations d’identification de sécurité**, vous pouvez vérifier la clé d’accès, même si vous l’avez déjà téléchargée. Vous pouvez revenir à cet onglet pour créer une clé d’accès lorsque vous en avez besoin d’une nouvelle.
Dans la procédure suivante, vous retournez à Okta pour fournir la clé d’accès. La clé d'accès fonctionne avec vos nouveaux paramètres de sécurité pour permettre AWS à Okta IdP de fonctionner ensemble.
**Pour terminer la configuration de l'application Okta avec les AWS paramètres**
1. Retournez à votre tableau de bord Okta. Si vous y êtes invité, connectez-vous. Si la console du développeur n’est plus ouverte, choisissez **Admin** pour la rouvrir.
1. Si vous devez rouvrir Okta, vous pouvez revenir à cette section en suivant les étapes ci-dessous :
1. Connectez-vous à Okta. Choisissez **Applications**.
1. Choisissez **AWS Account Federation - Amazon Quick**, l'application que vous avez créée au début de ce didacticiel.
1. Choisissez l’onglet **Authentification**, entre **Général** et **Mobile**.
1. Faites défiler l’écran jusqu’à **Paramètres d’authentification avancés**.
1. Dans le champ **ARN du fournisseur d’identité (obligatoire uniquement pour la fédération IAM SAML)**, saisissez l’ARN du fournisseur indiqué dans la procédure précédente, par exemple :
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Choisissez **Terminer** ou **Enregistrer**. Le nom du bouton varie selon que vous créez ou modifiez l’application.
1. Choisissez l’onglet **Provisionnement** et, dans la partie inférieure de cet onglet, choisissez **Configurer l’intégration API**.
1. Activez l’option **Activer l’intégration API** pour afficher les paramètres.
1. Pour la **clé d’accès** et la **clé secrète**, indiquez la clé d’accès et la clé secrète que vous avez précédemment téléchargées dans un fichier nommé **OktaSSOUser**`_credentials.csv`.
1. Choisissez **Test des informations d’identification API**. Au-dessus du paramètre **Activer l’intégration API**, vous trouverez un message confirmant que la **Fédération de comptes AWS a été vérifiée avec succès**.
1. Choisissez **Enregistrer**.
1. Assurez-vous que **Vers l’application** est en surbrillance à gauche, puis choisissez **Modifier** à droite.
1. Pour **Créer des utilisateurs**, activez l’option **Activer**.
1. Choisissez **Enregistrer**.
1. Dans l’onglet **Attributions**, près de **Provisionnement** et **Importation**, choisissez **Attribuer**.
1. Effectuez une ou plusieurs des opérations suivantes pour activer l’accès fédéré :
+ Pour travailler avec des utilisateurs individuels, choisissez **Attribuer à des personnes**.
+ Pour travailler avec des groupes IAM, choisissez **Attribuer à des groupes**. Vous pouvez choisir des groupes IAM spécifiques ou **Tout le monde (tous les utilisateurs de votre organisation)**.
1. Pour chaque utilisateur ou groupe IAM, procédez de la façon suivante :
1. Choisissez **Attribuer**, **Rôle**.
1. Sélectionnez un **QuicksightOktaFederatedRole**rôle dans la liste des rôles IAM.
1. Pour les **rôles utilisateur SAML**, activez **QuicksightOktaFederatedRole**.
1. Choisissez **Enregistrer et revenir en arrière**, puis cliquez sur **OK**.
1. Vérifiez que vous avez effectué cette étape correctement en choisissant le filtre **Personnes** ou **Groupes** à gauche et en vérifiant les utilisateurs ou les groupes que vous avez saisis. Si vous ne parvenez pas à terminer ce processus parce que le rôle que vous avez créé ne figure pas dans la liste, revenez aux procédures précédentes pour vérifier les paramètres.
**Pour vous connecter à Amazon Quick à l'aide d'Okta (connexion de l'IdP au fournisseur de services)**
1. Si vous utilisez un compte administrateur Okta, passez en mode utilisateur.
1. Connectez-vous à votre tableau de bord Okta Applications avec un utilisateur auquel un accès fédéré a été accordé. Vous devriez voir une nouvelle application avec votre étiquette, par exemple **AWS Account Federation - Amazon Quick**.
1. Choisissez l'icône de l'application pour lancer **AWS Account Federation - Amazon Quick**.
Vous pouvez désormais gérer les identités avec Okta et utiliser l'accès fédéré avec Quick.
La procédure suivante est une partie facultative de ce didacticiel. Si vous suivez ses étapes, vous autorisez Amazon Quick à transmettre les demandes d'autorisation à l'IdP au nom de vos utilisateurs. Grâce à cette méthode, les utilisateurs peuvent se connecter à Amazon Quick sans avoir à se connecter au préalable via la page IdP.
**(Facultatif) Pour configurer Amazon Quick afin d'envoyer des demandes d'authentification à Okta**
1. Ouvrez Amazon Quick, puis choisissez **Gérer Amazon Quick** dans le menu de votre profil.
1. Choisissez **Authentification unique (fédération IAM)** dans le volet de navigation.
1. Dans **Configuration**, URL de l'**IdP, entrez l'URL** fournie par votre IdP pour authentifier les utilisateurs, par exemple https://dev - .okta. *1-----0* com/home/amazon\$1frais/. *0oabababababaGQei5d5/282* Vous pouvez le trouver sur la page de votre application Okta, sous l’onglet **Général**, dans **Lien d’intégration**.
1. Dans le champ **URL IdP**, saisissez `RelayState`.
1. Effectuez l’une des actions suivantes :
+ Pour tester d’abord la connexion avec votre fournisseur d’identité, utilisez l’URL personnalisée fournie dans **Test en commençant par votre IdP**. Vous devriez accéder à la page de démarrage d'Amazon Quick, par exemple https://quicksight.aws.amazon.com/sn/ Start.
+ Pour tester d'abord la connexion à Amazon Quick, utilisez l'URL personnalisée fournie dans **Tester l' end-to-endexpérience**. Le paramètre `enable-sso` est ajouté à l’URL. Si `enable-sso=1`, la fédération IAM tente de s’authentifier. Si `enable-sso=0` Amazon Quick n'envoie pas la demande d'authentification, vous vous connectez à Amazon Quick comme avant.
1. Pour **État**, sélectionnez **Activé**.
1. Choisissez **Enregistrer** pour conserver vos paramètres.
Vous pouvez créer un lien profond vers un tableau de bord Amazon Quick pour permettre aux utilisateurs d'utiliser la fédération IAM pour se connecter directement à des tableaux de bord spécifiques. Pour ce faire, vous devez ajouter l’indicateur d’état de relais et l’URL du tableau de bord à l’URL de l’authentification unique Okta, comme décrit ci-dessous.
**Pour créer un lien profond vers un tableau de bord Amazon Quick pour l'authentification unique**
1. Localisez l’URL d’authentification unique (fédération IAM) de l’application Okta dans le fichier `metadata.xml` que vous avez téléchargé au début du didacticiel. Vous pouvez trouver l’URL au bas du fichier, dans l’élément nommé `md:SingleSignOnService`. L’attribut est nommé `Location` et la valeur se termine par `/sso/saml`, comme illustré dans l’exemple suivant.
```
```
1. Prenez la valeur de l'URL de fédération IAM et ajoutez-la, `?RelayState=` suivie de l'URL de votre tableau de bord Amazon Quick. Le paramètre `RelayState` transmet l’état (l’URL) dans lequel se trouvait l’utilisateur lorsqu’il a été redirigé vers l’URL d’authentification.
1. À la nouvelle fédération IAM avec l'état du relais ajouté, ajoutez l'URL de votre tableau de bord Amazon Quick. L’URL obtenue doit ressembler à ce qui suit.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Si le lien que vous créez ne s’ouvre pas, vérifiez que vous utilisez l’URL de fédération IAM la plus récente du `metadata.xml`. Vérifiez également que le nom d’utilisateur que vous utilisez pour vous connecter n’est pas attribué dans plus d’une application Okta de la fédération IAM.