Configurez des applications OAuth 2.0 gérées par le client pour une propagation fiable des identités - AWS IAM Identity Center
Sélectionnez le type d'applicationÉtape 2 : Spécifier les détails de l'applicationÉtape 3 : Spécifier les paramètres d'authentificationÉtape 4 : Spécifier les informations d'identification de l'applicationÉtape 5 : révision et configuration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurez des applications OAuth 2.0 gérées par le client pour une propagation fiable des identités

Pour configurer une application OAuth 2.0 gérée par le client pour une propagation d'identité fiable, vous devez d'abord l'ajouter à IAM Identity Center. Utilisez la procédure suivante pour ajouter votre application à IAM Identity Center.

Étape 1 : Sélectionnez le type de demande

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez Applications.

  3. Choisissez l’onglet Gérée par le client.

  4. Choisissez Add application (Ajouter une application).

  5. Sur la page Sélectionner le type d’application, sous Préférence de configuration, choisissez J’ai une application que je souhaite configurer.

  6. Sous Type d'application, choisissez OAuth 2.0.

  7. Choisissez Next pour passer à la page suivante,Étape 2 : Spécifier les détails de l'application.

Étape 2 : Spécifier les détails de l'application

  1. Sur la page Spécifier les détails de l'application, sous Nom et description de l'application, entrez un nom d'affichage pour l'application, tel queMyApp. Entrez ensuite une description.

  2. Sous Méthode d'attribution des utilisateurs et des groupes, choisissez l'une des options suivantes :

    • Exiger des attributions : autorisez uniquement les utilisateurs et les groupes IAM Identity Center assignés à cette application à accéder à l'application.

      Visibilité de la vignette de l'application : seuls les utilisateurs affectés à l'application directement ou par le biais d'une attribution de groupe peuvent voir la vignette de l'application dans le portail AWS d'accès, à condition que la visibilité de l'application dans le portail AWS d'accès soit définie sur Visible.

    • Pas besoin d'assignations : autorisez tous les utilisateurs et groupes autorisés d'IAM Identity Center à accéder à cette application.

      Visibilité de la vignette de l'application : la vignette de l'application est visible par tous les utilisateurs qui se connectent au portail AWS d'accès, sauf si la visibilité de l'application dans le portail d' AWS accès est définie sur Non visible.

  3. Sous portail AWS d'accès, entrez l'URL à laquelle les utilisateurs peuvent accéder à l'application et spécifiez si la vignette de l'application sera visible ou non dans le portail AWS d'accès. Si vous choisissez Non visible, même les utilisateurs assignés ne peuvent pas voir la vignette de l'application.

  4. Sous Balises (facultatif), choisissez Ajouter une nouvelle balise, puis spécifiez les valeurs de clé et de valeur (facultatif).

    Pour plus d’informations sur les balises, consultez Identification AWS IAM Identity Center resources.

  5. Choisissez Next, puis passez à la page suivante,Étape 3 : Spécifier les paramètres d'authentification.

Étape 3 : Spécifier les paramètres d'authentification

Pour ajouter une application gérée par le client compatible avec la OAuth version 2.0 à IAM Identity Center, vous devez spécifier un émetteur de jetons fiable. Un émetteur de jetons de confiance est un serveur d'autorisation OAuth 2.0 qui crée des jetons signés. Ces jetons autorisent les applications qui lancent des demandes (demandes d'applications) pour accéder aux applications AWS gérées (réception d'applications).

  1. Sur la page Spécifier les paramètres d'authentification, sous Émetteurs de jetons fiables, effectuez l'une des opérations suivantes :

    • Pour utiliser un émetteur de jetons de confiance existant :

      Cochez la case à côté du nom de l'émetteur de jetons de confiance que vous souhaitez utiliser.

    • Pour ajouter un nouvel émetteur de jetons de confiance :

      1. Choisissez Créer un émetteur de jetons approuvés.

      2. Un nouvel onglet de navigateur s'ouvre. Suivez les étapes 5 à 8 dansComment ajouter un émetteur de jetons fiable à la console IAM Identity Center.

      3. Après avoir effectué ces étapes, retournez dans la fenêtre du navigateur que vous utilisez pour configurer votre application et sélectionnez l'émetteur de jetons de confiance que vous venez d'ajouter.

      4. Dans la liste des émetteurs de jetons de confiance, cochez la case à côté du nom de l'émetteur de jetons de confiance que vous venez d'ajouter.

        Après avoir sélectionné un émetteur de jetons de confiance, la section Configurer les émetteurs de jetons de confiance sélectionnés apparaît.

  2. Sous Configurer les émetteurs de jetons fiables sélectionnés, entrez la réclamation Aud. La réclamation Aud identifie le public cible (destinataires) du jeton généré par l'émetteur de confiance. Pour de plus amples informations, veuillez consulter Réclamation d'aide.

  3. Pour éviter que vos utilisateurs n'aient à s'authentifier à nouveau lorsqu'ils utilisent cette application, sélectionnez Activer l'octroi de jetons d'actualisation. Lorsqu'elle est sélectionnée, cette option actualise le jeton d'accès à la session toutes les 60 minutes, jusqu'à ce que la session expire ou que l'utilisateur y mette fin.

  4. Choisissez Next, puis passez à la page suivante,Étape 4 : Spécifier les informations d'identification de l'application.

Étape 4 : Spécifier les informations d'identification de l'application

Suivez les étapes de cette procédure pour spécifier les informations d'identification que votre application utilise pour effectuer des actions d'échange de jetons avec des applications fiables. Ces informations d'identification sont utilisées dans une politique basée sur les ressources. La politique exige que vous spécifiiez un principal autorisé à effectuer les actions spécifiées dans la stratégie. Vous devez spécifier un principal, même si les applications fiables se trouvent dans les mêmes applications Compte AWS.

Note

Lorsque vous définissez des autorisations à l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège.

Cette politique nécessite l'sso-oauth:CreateTokenWithIAMaction.

  1. Sur la page Spécifier les informations d'identification de l'application, effectuez l'une des opérations suivantes :

    • Pour définir rapidement un ou plusieurs rôles IAM :

      1. Choisissez Entrez un ou plusieurs rôles IAM.

      2. Sous Enter IAM roles, spécifiez le Amazon Resource Name (ARN) d'un rôle IAM existant. Pour spécifier l'ARN, utilisez la syntaxe suivante. La partie de la région de l'ARN est vide, car les ressources IAM sont globales. 

          arn:aws:iam::account:role/role-name-with-path

        Pour plus d'informations, consultez la section Accès entre comptes à l'aide de politiques basées sur les ressources et IAM ARNs dans le guide de l'utilisateur.AWS Identity and Access Management

    • Pour modifier manuellement la politique (obligatoire si vous spécifiez des informations autres que les informations AWS d'identification) :

      1. Sélectionnez Modifier la politique de l'application.

      2. Modifiez votre politique en tapant ou en collant du texte dans la zone de texte JSON.

      3. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés lors de la validation des politiques. Pour plus d'informations, consultez la section Validation des politiques IAM dans le guide de l'AWS Identity and Access Management utilisateur.

  2. Choisissez Next et passez à la page suivante,Étape 5 : révision et configuration.

Étape 5 : révision et configuration

  1. Sur la page Révision et configuration, passez en revue les choix que vous avez faits. Pour apporter des modifications, choisissez la section de configuration souhaitée, choisissez Modifier, puis apportez les modifications requises.

  2. Lorsque vous avez terminé, choisissez Ajouter une application.

  3. L'application que vous avez ajoutée apparaît dans la liste des applications gérées par le client.

  4. Après avoir configuré votre application gérée par le client dans IAM Identity Center, vous devez spécifier un ou plusieurs AWS services, ou applications fiables, pour la propagation des identités. Cela permet aux utilisateurs de se connecter à votre application gérée par le client et d'accéder aux données de l'application sécurisée.

    Pour de plus amples informations, veuillez consulter Spécifier les applications fiables .