Configurez SAML et SCIM avec Microsoft Entra ID et IAM Identity Center - AWS IAM Identity Center
PrérequisConsidérationsÉtape 1 : préparer votre client MicrosoftÉtape 2 : Préparez votre AWS compteÉtape 3 : configurer et tester votre connexion SAMLÉtape 4 : configurer et tester votre synchronisation SCIMÉtape 5 : Configuration de l'ABAC - FacultatifAttribuez l'accès à Comptes AWSRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurez SAML et SCIM avec Microsoft Entra ID et IAM Identity Center

AWS IAM Identity Center prend en charge l'intégration avec le langage SAML (Security Assertion Markup Language) 2.0 ainsi que le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes à partir de Microsoft Entra ID (anciennement connu sous le nom de Azure Active Directory or Azure AD) dans IAM Identity Center à l'aide du protocole System for Cross-Domain Identity Management (SCIM) 2.0. Pour de plus amples informations, veuillez consulter Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes.

Objectif

Dans ce didacticiel, vous allez configurer un laboratoire de test et configurer une connexion SAML et un provisionnement SCIM entre Microsoft Entra ID et IAM Identity Center. Au cours des étapes de préparation initiales, vous allez créer un utilisateur de test (Nikki Wolf) dans les deux Microsoft Entra ID et IAM Identity Center que vous utiliserez pour tester la connexion SAML dans les deux sens. Plus tard, dans le cadre des étapes SCIM, vous créerez un autre utilisateur de test (Richard Roe) pour vérifier que les nouveaux attributs dans Microsoft Entra ID se synchronisent avec IAM Identity Center comme prévu.

Prérequis

Avant de commencer ce didacticiel, vous devez d'abord configurer les éléments suivants :

Considérations

Les points suivants sont importants à prendre en compte concernant Microsoft Entra ID cela peut affecter la manière dont vous prévoyez de mettre en œuvre le provisionnement automatique avec IAM Identity Center dans votre environnement de production à l'aide du protocole SCIM v2.

Provisionnement automatique

Avant de commencer à déployer le SCIM, nous vous recommandons de procéder à un premier examenConsidérations relatives à l'utilisation du provisionnement automatique.

Attributs pour le contrôle d'accès

Les attributs de contrôle d'accès sont utilisés dans les politiques d'autorisation qui déterminent qui, dans votre source d'identité, peut accéder à vos AWS ressources. Si un attribut est supprimé d'un utilisateur dans Microsoft Entra ID, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dans Microsoft Entra ID. Si un attribut est remplacé par une valeur différente (non vide) pour un utilisateur, cette modification sera synchronisée avec IAM Identity Center.

Groupes imbriqués

Le Microsoft Entra ID le service de provisionnement des utilisateurs ne peut ni lire ni approvisionner les utilisateurs dans les groupes imbriqués. Seuls les utilisateurs qui sont membres immédiats d'un groupe explicitement assigné peuvent être lus et approvisionnés. Microsoft Entra ID ne décompresse pas de manière récursive les appartenances aux groupes ou utilisateurs assignés indirectement (utilisateurs ou groupes membres d'un groupe directement attribué). Pour plus d'informations, consultez la section Délimitation basée sur les assignations dans le Microsoft . Vous pouvez également utiliser IAM Identity Center ID AD Sync pour intégrer Active Directory groupes avec IAM Identity Center.

Groupes dynamiques

Le Microsoft Entra ID le service de provisionnement utilisateur peut lire et provisionner les utilisateurs dans des groupes dynamiques. Vous trouverez ci-dessous un exemple illustrant la structure des utilisateurs et des groupes lors de l'utilisation de groupes dynamiques et la manière dont ils sont affichés dans IAM Identity Center. Ces utilisateurs et groupes ont été approvisionnés à partir de Microsoft Entra ID dans IAM Identity Center via SCIM

Par exemple, si Microsoft Entra ID la structure des groupes dynamiques est la suivante :

  1. Groupe A avec les membres ua1, ua2

  2. Groupe B avec membres ub1

  3. Groupe C avec membres uc1

  4. Groupe K avec une règle pour inclure les membres des groupes A, B, C

  5. Groupe L avec une règle pour inclure les membres des groupes B et C

Une fois que les informations relatives aux utilisateurs et aux groupes ont été fournies à partir de Microsoft Entra ID dans IAM Identity Center via SCIM, la structure sera la suivante :

  1. Groupe A avec les membres ua1, ua2

  2. Groupe B avec membres ub1

  3. Groupe C avec membres uc1

  4. Groupe K avec les membres ua1, ua2, ub1, uc1

  5. Groupe L avec membres ub1, uc1

Lorsque vous configurez le provisionnement automatique à l'aide de groupes dynamiques, tenez compte des considérations suivantes.

  • Un groupe dynamique peut inclure un groupe imbriqué. Cependant, Microsoft Entra ID le service de provisionnement n'aplatit pas le groupe imbriqué. Par exemple, si vous avez les éléments suivants Microsoft Entra ID structure pour les groupes dynamiques :

    • Le groupe A est le parent du groupe B.

    • Le groupe A compte ua1 comme membre.

    • Le groupe B a ub1 comme membre.

Le groupe dynamique qui inclut le groupe A inclura uniquement les membres directs du groupe A (c'est-à-dire ua1). Il n'inclura pas de manière récursive les membres du groupe B.

  • Les groupes dynamiques ne peuvent pas contenir d'autres groupes dynamiques. Pour plus d'informations, consultez la section Limitations relatives à l'aperçu dans le Microsoft .

Étape 1 : préparer votre client Microsoft

Au cours de cette étape, vous découvrirez comment installer et configurer votre application AWS IAM Identity Center d'entreprise et comment attribuer l'accès à une application nouvellement créée Microsoft Entra ID utilisateur de test.

Step 1.1 >

Étape 1.1 : Configuration de l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID

Dans cette procédure, vous allez installer l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID. Vous aurez besoin de cette application ultérieurement pour configurer votre connexion SAML avec AWS.

  1. Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur d'applications cloud au moins.

  2. Accédez à Identité > Applications > Applications d'entreprise, puis sélectionnez Nouvelle application.

  3. Sur la page Parcourir la galerie Microsoft Entra, entrez AWS IAM Identity Centerdans le champ de recherche.

  4. Sélectionnez AWS IAM Identity Centerl'un des résultats.

  5. Sélectionnez Create (Créer).

Step 1.2 >

Étape 1.2 : créer un utilisateur de test dans Microsoft Entra ID

Nikki Wolf est le nom de votre Microsoft Entra ID utilisateur de test que vous allez créer dans cette procédure.

  1. Dans la console du centre d'administration Microsoft Entra, accédez à Identité > Utilisateurs > Tous les utilisateurs.

  2. Sélectionnez Nouvel utilisateur, puis choisissez Créer un nouvel utilisateur en haut de l'écran.

  3. Dans Nom d'utilisateur principal, entrez NikkiWolf, puis sélectionnez le domaine et l'extension de votre choix. Par exemple, NikkiWolf@example.org.

  4. Dans Nom d'affichage, entrez NikkiWolf.

  5. Dans Mot de passe, entrez un mot de passe fort ou sélectionnez l'icône en forme d'œil pour afficher le mot de passe généré automatiquement, puis copiez ou notez la valeur affichée.

  6. Choisissez Propriétés, dans Prénom, entrez Nikki. Dans Nom de famille, entrez Wolf.

  7. Choisissez Réviser + créer, puis sélectionnez Créer.

Step 1.3

Étape 1.3 : Testez l'expérience de Nikki avant d'attribuer ses autorisations à AWS IAM Identity Center

Au cours de cette procédure, vous allez vérifier ce que Nikki peut connecter avec succès à son portail Microsoft My Account.

  1. Dans le même navigateur, ouvrez un nouvel onglet, accédez à la page de connexion au portail Mon compte et saisissez l'adresse e-mail complète de Nikki. Par exemple, NikkiWolf@example.org.

  2. Lorsque vous y êtes invité, entrez le mot de passe de Nikki, puis choisissez Se connecter. S'il s'agit d'un mot de passe généré automatiquement, vous serez invité à le modifier.

  3. Sur la page Action requise, choisissez Demander plus tard pour ignorer l'invite à utiliser des méthodes de sécurité supplémentaires.

  4. Sur la page Mon compte, dans le volet de navigation de gauche, sélectionnez Mes applications. Notez qu'à part les compléments, aucune application n'est affichée pour le moment. Vous allez ajouter une AWS IAM Identity Centerapplication qui apparaîtra ici lors d'une étape ultérieure.

Step 1.4

Étape 1.4 : Attribuer des autorisations à Nikki dans Microsoft Entra ID

Maintenant que vous avez vérifié que Nikki peut accéder correctement au portail Mon compte, suivez cette procédure pour attribuer son utilisateur à l'AWS IAM Identity Centerapplication.

  1. Dans la console du centre d'administration Microsoft Entra, accédez à Identité > Applications > Applications d'entreprise, puis AWS IAM Identity Centerchoisissez dans la liste.

  2. Sur la gauche, sélectionnez Utilisateurs et groupes.

  3. Choisissez Add user/group (Ajouter un utilisateur/groupe). Vous pouvez ignorer le message indiquant que les groupes ne sont pas disponibles pour l'attribution. Ce didacticiel n'utilise pas de groupes pour les devoirs.

  4. Sur la page Ajouter une attribution, sous Utilisateurs, sélectionnez Aucune sélection.

  5. Sélectionnez NikkiWolf, puis sélectionnez Sélectionner.

  6. Sur la page Ajouter une affectation, choisissez Attribuer. NikkiWolf apparaît désormais dans la liste des utilisateurs assignés à l'AWS IAM Identity Centerapplication.

Étape 2 : Préparez votre AWS compte

Dans cette étape, vous allez découvrir comment utiliser IAM Identity Centerpour configurer les autorisations d'accès (via un ensemble d'autorisations), créer manuellement un utilisateur Nikki Wolf correspondant et lui attribuer les autorisations nécessaires pour administrer les ressources dans AWS.

Step 2.1 >

Étape 2.1 : Création d'un ensemble d' RegionalAdmin autorisations dans IAM Identity Center

Cet ensemble d'autorisations sera utilisé pour accorder à Nikki les autorisations de AWS compte nécessaires pour gérer les régions depuis la page Compte du AWS Management Console. Toutes les autres autorisations permettant de consulter ou de gérer d'autres informations relatives au compte de Nikki sont refusées par défaut.

  1. Ouvrez la console IAM Identity Center.

  2. Sous Autorisations multi-comptes, choisissez Ensembles d'autorisations.

  3. Choisissez Create permission set (Créer un jeu d'autorisations).

  4. Sur la page Sélectionner le type d'ensemble d'autorisations, sélectionnez Ensemble d'autorisations personnalisé, puis cliquez sur Suivant.

  5. Sélectionnez Stratégie intégrée pour l'étendre, puis créez une politique pour l'ensemble d'autorisations en suivant les étapes suivantes :

    1. Choisissez Ajouter une nouvelle déclaration pour créer une déclaration de politique.

    2. Sous Modifier le relevé, sélectionnez Compte dans la liste, puis cochez les cases suivantes.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. À côté de Ajouter une ressource, choisissez Ajouter.

    4. Sur la page Ajouter une ressource, sous Type de ressource, sélectionnez Toutes les ressources, puis choisissez Ajouter une ressource. Vérifiez que votre politique ressemble à ce qui suit :

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. Choisissez Suivant.

  7. Sur la page Spécifier les détails de l'ensemble d'autorisations, sous Nom du jeu d'autorisations RegionalAdmin, entrez, puis choisissez Suivant.

  8. Sur la page Review and create (Vérifier et créer), choisissez Create (Créer). Vous devriez RegionalAdminapparaître dans la liste des ensembles d'autorisations.

Step 2.2 >

Étape 2.2 : créer un NikkiWolf utilisateur correspondant dans IAM Identity Center

Étant donné que le protocole SAML ne fournit pas de mécanisme pour interroger l'IdP (Microsoft Entra ID) et créez automatiquement des utilisateurs ici dans IAM Identity Center, utilisez la procédure suivante pour créer manuellement un utilisateur dans IAM Identity Center qui reflète les principaux attributs de l'utilisateur de Nikki Wolf dans Microsoft Entra ID.

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez Utilisateurs, choisissez Ajouter un utilisateur, puis fournissez les informations suivantes :

    1. Pour le nom d'utilisateur et l'adresse e-mail, entrez le même NikkiWolf@ yourcompanydomain.extension que celui que vous avez utilisé lors de la création de votre Microsoft Entra ID utilisateur. Par exemple, NikkiWolf@example.org.

    2. Confirmer l'adresse e-mail — Entrez à nouveau l'adresse e-mail de l'étape précédente

    3. Prénom — Entrez Nikki

    4. Nom de famille — Entrez Wolf

    5. Nom d'affichage — Entrez Nikki Wolf

  3. Choisissez Suivant deux fois, puis sélectionnez Ajouter un utilisateur.

  4. Sélectionnez Fermer.

Step 2.3

Étape 2.3 : Attribuer Nikki aux RegionalAdmin autorisations définies dans IAM Identity Center

Vous trouvez ici les régions Compte AWS dans lesquelles Nikki administrera les régions, puis vous lui attribuez les autorisations nécessaires pour qu'elle puisse accéder correctement au portail AWS d'accès.

  1. Ouvrez la console IAM Identity Center.

  2. Sous Autorisations multi-comptes, choisissez Comptes AWS.

  3. Cochez la case à côté du nom du compte (par exemple,Sandbox) auquel vous souhaitez accorder à Nikki l'accès pour gérer les régions, puis choisissez Attribuer des utilisateurs et des groupes.

  4. Sur la page Attribuer des utilisateurs et des groupes, choisissez l'onglet Utilisateurs, recherchez et cochez la case à côté de Nikki, puis choisissez Suivant.

Étape 3 : configurer et tester votre connexion SAML

Au cours de cette étape, vous allez configurer votre connexion SAML à l'aide de l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID ainsi que les paramètres IdP externes dans IAM Identity Center.

Step 3.1 >

Étape 3.1 : Collecter les métadonnées des fournisseurs de services requises auprès d'IAM Identity Center

Au cours de cette étape, vous lancerez l'assistant de modification de la source d'identité depuis la console IAM Identity Center et récupérerez le fichier de métadonnées et l'URL de connexion AWS spécifique que vous devrez saisir lors de la configuration de la connexion avec Microsoft Entra ID à l'étape suivante.

  1. Dans la console IAM Identity Center, sélectionnez Paramètres.

  2. Sur la page Paramètres, choisissez l'onglet Source d'identité, puis sélectionnez Actions > Modifier la source d'identité.

  3. Sur la page Choisir une source d'identité, sélectionnez Fournisseur d'identité externe, puis cliquez sur Suivant.

  4. Sur la page Configurer le fournisseur d'identité externe, sous Métadonnées du fournisseur de services, choisissez Télécharger le fichier de métadonnées pour télécharger le fichier XML.

  5. Dans la même section, recherchez la valeur de l'URL de connexion AWS au portail d'accès et copiez-la. Vous devrez saisir cette valeur lorsque vous y serez invité à l'étape suivante.

  6. Laissez cette page ouverte et passez à l'étape suivante (Step 3.2) pour configurer l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID. Plus tard, vous reviendrez sur cette page pour terminer le processus.

Step 3.2 >

Étape 3.2 : Configuration de l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID

Cette procédure établit la moitié de la connexion SAML côté Microsoft en utilisant les valeurs du fichier de métadonnées et de l'URL de connexion que vous avez obtenues à l'étape précédente.

  1. Dans la console du centre d'administration Microsoft Entra, accédez à Identité > Applications > Applications d'entreprise, puis choisissez AWS IAM Identity Center.

  2. Sur la gauche, choisissez 2. Configurez l'authentification unique.

  3. Sur la page Configurer l'authentification unique avec SAML, choisissez SAML. Choisissez ensuite Télécharger le fichier de métadonnées, choisissez l'icône du dossier, sélectionnez le fichier de métadonnées du fournisseur de services que vous avez téléchargé à l'étape précédente, puis choisissez Ajouter.

  4. Sur la page de configuration SAML de base, vérifiez que les valeurs de l'identifiant et de l'URL de réponse AWS pointent désormais vers des points de terminaison commençant par. https://<REGION>.signin.aws.amazon.com/platform/saml/

  5. Sous URL de connexion (facultatif), collez la valeur de l'URL de connexion AWS au portail d'accès que vous avez copiée à l'étape précédente (Step 3.1), choisissez Enregistrer, puis X pour fermer la fenêtre.

  6. Si vous êtes invité à tester l'authentification unique avec AWS IAM Identity Center, choisissez Non, je testerai plus tard. Vous effectuerez cette vérification dans une étape ultérieure.

  7. Sur la page Configurer l'authentification unique avec SAML, dans la section Certificats SAML, à côté de Federation Metadata XML, choisissez Télécharger pour enregistrer le fichier de métadonnées sur votre système. Vous devrez télécharger ce fichier lorsque vous y serez invité à l'étape suivante.

Step 3.3 >

Étape 3.3 : Configuration du Microsoft Entra ID entrée IdP externe AWS IAM Identity Center

Ici, vous allez revenir à l'assistant de modification de la source d'identité de la console IAM Identity Center pour terminer la seconde moitié de la connexion SAML. AWS

  1. Revenez à la session de navigateur que vous avez laissée ouverte Step 3.1dans la console IAM Identity Center.

  2. Sur la page Configurer le fournisseur d'identité externe, dans la section Métadonnées du fournisseur d'identité, sous Métadonnées IDP SAML, cliquez sur le bouton Choisir un fichier, puis sélectionnez le fichier de métadonnées du fournisseur d'identité que vous avez téléchargé depuis Microsoft Entra ID à l'étape précédente, puis choisissez Ouvrir.

  3. Choisissez Suivant.

  4. Après avoir lu la clause de non-responsabilité et être prêt à continuer, entrez ACCEPT.

  5. Choisissez Modifier la source d'identité pour appliquer vos modifications.

Step 3.4 >

Étape 3.4 : Vérifiez que Nikki est redirigée vers le portail AWS d'accès

Dans cette procédure, vous allez tester la connexion SAML en vous connectant au portail My Account de Microsoft avec les informations d'identification de Nikki. Une fois authentifié, vous allez sélectionner l' AWS IAM Identity Center application qui redirigera Nikki vers le portail d' AWS accès.

  1. Accédez à la page de connexion au portail Mon compte et saisissez l'adresse e-mail complète de Nikki. Par exemple, NikkiWolf@example.org.

  2. Lorsque vous y êtes invité, entrez le mot de passe de Nikki, puis choisissez Se connecter.

  3. Sur la page Mon compte, dans le volet de navigation de gauche, sélectionnez Mes applications.

  4. Sur la page Mes applications, sélectionnez l'application nommée AWS IAM Identity Center. Cela devrait vous demander une authentification supplémentaire.

  5. Sur la page de connexion de Microsoft, choisissez vos NikkiWolf informations d'identification. Si vous êtes invité une deuxième fois à vous authentifier, sélectionnez à nouveau vos NikkiWolf informations d'identification. Cela devrait vous rediriger automatiquement vers le portail AWS d'accès.

    Astuce

    Si vous n'êtes pas redirigé correctement, assurez-vous que la valeur de l'URL de connexion AWS au portail d'accès que vous avez saisie Step 3.2correspond à la valeur à partir Step 3.1de laquelle vous l'avez copiée.

  6. Vérifiez que votre Comptes AWS écran.

    Astuce

    Si la page est vide et ne s' Comptes AWS affiche pas, vérifiez que Nikki a bien été affectée à l'ensemble RegionalAdmind'autorisations (voir Step 2.3).

Step 3.5

Étape 3.5 : Testez le niveau d'accès de Nikki pour la gérer Compte AWS

Au cours de cette étape, vous allez vérifier le niveau d'accès de Nikki pour gérer les paramètres régionaux pour elle Compte AWS. Nikki ne doit disposer de privilèges d'administrateur suffisants que pour gérer les régions depuis la page des comptes.

  1. Dans le portail AWS d'accès, cliquez sur l'onglet Comptes pour afficher la liste des comptes. Les noms de compte IDs, les comptes et les adresses e-mail associés à tous les comptes pour lesquels vous avez défini des ensembles d'autorisations apparaissent.

  2. Choisissez le nom du compte (par exempleSandbox) sur lequel vous avez appliqué l'ensemble d'autorisations (voir Step 2.3). Cela élargira la liste des ensembles d'autorisations parmi lesquels Nikki pourra choisir pour gérer son compte.

  3. Ensuite, RegionalAdminchoisissez la console de gestion pour assumer le rôle que vous avez défini dans le jeu RegionalAdmind'autorisations. Cela vous redirigera vers la page d' AWS Management Console accueil.

  4. Dans le coin supérieur droit de la console, choisissez le nom de votre compte, puis sélectionnez Compte. Vous serez redirigé vers la page du compte. Notez que toutes les autres sections de cette page affichent un message indiquant que vous ne disposez pas des autorisations nécessaires pour afficher ou modifier ces paramètres.

  5. Sur la page Compte, faites défiler la page jusqu'à la section AWS Régions. Cochez une case pour n'importe quelle région disponible dans le tableau. Notez que Nikki dispose des autorisations nécessaires pour activer ou désactiver la liste des régions pour son compte, comme prévu.

Bien fait !

Les étapes 1 à 3 vous ont aidé à implémenter et à tester avec succès votre connexion SAML. Maintenant, pour terminer le didacticiel, nous vous encourageons à passer à l'étape 4 pour implémenter le provisionnement automatique.

Étape 4 : configurer et tester votre synchronisation SCIM

Au cours de cette étape, vous allez configurer le provisionnement automatique (synchronisation) des informations utilisateur à partir de Microsoft Entra ID dans IAM Identity Center à l'aide du protocole SCIM v2.0. Vous configurez cette connexion dans Microsoft Entra ID en utilisant votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center.

Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur dans Microsoft Entra ID aux attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center et Microsoft Entra ID.

Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs résidant principalement dans Microsoft Entra ID vers IAM Identity Center à l'aide de l'application IAM Identity Center dans Microsoft Entra ID.

Step 4.1 >

Étape 4.1 : créer un deuxième utilisateur de test dans Microsoft Entra ID

À des fins de test, vous allez créer un nouvel utilisateur (Richard Roe) dans Microsoft Entra ID. Plus tard, après avoir configuré la synchronisation SCIM, vous testerez que cet utilisateur et tous les attributs pertinents ont été correctement synchronisés avec IAM Identity Center.

  1. Dans la console du centre d'administration Microsoft Entra, accédez à Identité > Utilisateurs > Tous les utilisateurs.

  2. Sélectionnez Nouvel utilisateur, puis choisissez Créer un nouvel utilisateur en haut de l'écran.

  3. Dans Nom d'utilisateur principal, entrez RichRoe, puis sélectionnez le domaine et l'extension de votre choix. Par exemple, RichRoe@example.org.

  4. Dans Nom d'affichage, entrez RichRoe.

  5. Dans Mot de passe, entrez un mot de passe fort ou sélectionnez l'icône en forme d'œil pour afficher le mot de passe généré automatiquement, puis copiez ou notez la valeur affichée.

  6. Choisissez Propriétés, puis indiquez les valeurs suivantes :

    • Prénom - Entrez Richard

    • Nom de famille - Enter Roe

    • Titre du poste - Entrez Marketing Lead

    • Département - Entrez Sales

    • ID d'employé - Entrez 12345

  7. Choisissez Réviser + créer, puis sélectionnez Créer.

Step 4.2 >

Étape 4.2 : activer le provisionnement automatique dans IAM Identity Center

Dans cette procédure, vous allez utiliser la console IAM Identity Center pour activer le provisionnement automatique des utilisateurs et des groupes provenant de Microsoft Entra ID dans IAM Identity Center.

  1. Ouvrez la console IAM Identity Center, puis sélectionnez Paramètres dans le volet de navigation de gauche.

  2. Sur la page Paramètres, sous l'onglet Source d'identité, notez que la méthode de provisionnement est définie sur Manuel.

  3. Localisez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.

  4. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes. Vous devrez les coller à l'étape suivante lorsque vous configurerez le provisionnement dans Microsoft Entra ID.

    1. Point de terminaison SCIM : par exemple, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Jeton d'accès : choisissez Afficher le jeton pour copier la valeur.

    Avertissement

    C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer.

  5. Choisissez Close (Fermer).

  6. Dans l'onglet Source d'identité, notez que la méthode de provisionnement est désormais définie sur SCIM.

Step 4.3 >

Étape 4.3 : Configuration du provisionnement automatique dans Microsoft Entra ID

Maintenant que votre utilisateur de RichRoe test est en place et que vous avez activé le SCIM dans IAM Identity Center, vous pouvez procéder à la configuration des paramètres de synchronisation SCIM dans Microsoft Entra ID.

  1. Dans la console du centre d'administration Microsoft Entra, accédez à Identité > Applications > Applications d'entreprise, puis choisissez AWS IAM Identity Center.

  2. Choisissez Provisioning, sous Manage, choisissez à nouveau Provisioning.

  3. En mode de provisionnement, sélectionnez Automatique.

  4. Sous Informations d'identification de l'administrateur, dans URL du locataire, collez la valeur de l'URL du point de terminaison SCIM que vous avez copiée Step 4.2précédemment. Dans Secret Token, collez la valeur du jeton d'accès.

  5. Choisissez Test Connection (Connexion test). Vous devriez voir un message indiquant que les informations d'identification testées ont été correctement autorisées pour activer le provisionnement.

  6. Choisissez Save (Enregistrer).

  7. Sous Gérer, sélectionnez Utilisateurs et groupes, puis choisissez Ajouter un utilisateur/un groupe.

  8. Sur la page Ajouter une attribution, sous Utilisateurs, sélectionnez Aucune sélection.

  9. Sélectionnez RichRoe, puis sélectionnez Sélectionner.

  10. Sur la page Add Assignment (Ajouter une affectation), sélectionnez Assign (Affecter).

  11. Choisissez Vue d'ensemble, puis sélectionnez Démarrer le provisionnement.

Step 4.4

Étape 4.4 : vérifier que la synchronisation a bien eu lieu

Dans cette section, vous allez vérifier que l'utilisateur de Richard a été correctement configuré et que tous les attributs sont affichés dans IAM Identity Center.

  1. Dans la console IAM Identity Center, sélectionnez Users.

  2. Sur la page Utilisateurs, vous devriez voir votre nom RichRoed'utilisateur affiché. Notez que dans la colonne Created by, la valeur est définie sur SCIM.

  3. Choisissez RichRoe, sous Profil, de vérifier que les attributs suivants ont été copiés depuis Microsoft Entra ID.

    • Prénom - Richard

    • Nom de famille - Roe

    • Département - Sales

    • Titre - Marketing Lead

    • Numéro d'employé - 12345

    Maintenant que l'utilisateur de Richard a été créé dans IAM Identity Center, vous pouvez l'attribuer à n'importe quel ensemble d'autorisations afin de contrôler le niveau d'accès dont il dispose à vos AWS ressources. Par exemple, vous pouvez attribuer RichRoeà l'ensemble d'RegionalAdminautorisations que vous avez utilisé précédemment pour accorder à Nikki les autorisations nécessaires pour gérer les régions (voir Step 2.3), puis tester son niveau d'accès à l'aide Step 3.5de.

Félicitations !

Vous avez correctement configuré une connexion SAML entre Microsoft AWS et vous avez vérifié que le provisionnement automatique fonctionne pour que tout reste synchronisé. Vous pouvez désormais appliquer ce que vous avez appris pour configurer plus facilement votre environnement de production.

Étape 5 : Configuration de l'ABAC - Facultatif

Maintenant que vous avez correctement configuré SAML et SCIM, vous pouvez éventuellement choisir de configurer le contrôle d'accès basé sur les attributs (ABAC). L'ABAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs.

Avec Microsoft Entra ID, vous pouvez utiliser l'une des deux méthodes suivantes pour configurer ABAC afin de l'utiliser avec IAM Identity Center.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Configurer les attributs utilisateur dans Microsoft Entra ID pour le contrôle d'accès dans IAM Identity Center

Dans la procédure suivante, vous allez déterminer quels attributs dans Microsoft Entra ID doit être utilisé par IAM Identity Center pour gérer l'accès à vos AWS ressources. Une fois défini, Microsoft Entra ID envoie ces attributs à IAM Identity Center via des assertions SAML. Vous devrez ensuite accéder Crée un jeu d'autorisations. à IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmis depuis Microsoft Entra ID.

Avant de commencer cette procédure, vous devez d'abord activer la Attributs pour le contrôle d’accès fonctionnalité. Pour plus d'informations sur cette étape, consultez Activer et configurer les attributs pour le contrôle d'accès.

  1. Dans la console du centre d'administration Microsoft Entra, accédez à Identité > Applications > Applications d'entreprise, puis choisissez AWS IAM Identity Center.

  2. Choisissez Single sign-on (Authentification unique).

  3. Dans la section Attributs et revendications, choisissez Modifier.

  4. Sur la page Attributs et réclamations, procédez comme suit :

    1. Choisissez Ajouter une nouvelle réclamation

    2. Pour Nom, saisissez AccessControl:AttributeName. AttributeNameRemplacez-le par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, AccessControl:Department.

    3. Pour Espace de noms, saisissez https://aws.amazon.com/SAML/Attributes.

    4. Pour Source, choisissez Attribut.

    5. Pour l'attribut Source, utilisez la liste déroulante pour choisir Microsoft Entra ID attributs utilisateur. Par exemple, user.department.

  5. Répétez l'étape précédente pour chaque attribut que vous devez envoyer à IAM Identity Center dans l'assertion SAML.

  6. Choisissez Save (Enregistrer).

Configure ABAC using IAM Identity Center

Configuration d'ABAC à l'aide d'IAM Identity Center

Avec cette méthode, vous utilisez la Attributs pour le contrôle d’accès fonctionnalité d'IAM Identity Center pour transmettre un Attribute élément dont l'Nameattribut est défini sur. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Vous pouvez utiliser cet élément pour transmettre des attributs sous forme de balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section Transmission de balises de session AWS STS dans le guide de l'utilisateur IAM.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagDepartment=billing, utilisez l'attribut suivant :

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.

Attribuez l'accès à Comptes AWS

Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.

Étape 1 : Centre d'identité IAM : subvention Microsoft Entra ID accès des utilisateurs aux comptes

  1. Revenez à la console IAM Identity Center. Dans le volet de navigation d'IAM Identity Center, sous Autorisations multi-comptes, sélectionnez. Comptes AWS

  2. Sur la Comptes AWSpage, la structure organisationnelle affiche la racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez Attribuer des utilisateurs ou des groupes.

  3. Le flux de travail Attribuer des utilisateurs et des groupes s'affiche. Il se compose de trois étapes :

    1. Pour l'étape 1 : Sélectionnez les utilisateurs et les groupes, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez Suivant.

    2. Pour l'étape 2 : Sélectionnez des ensembles d'autorisations, choisissez Créer un ensemble d'autorisations pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.

      1. Pour l'étape 1 : Sélectionnez le type d'ensemble d'autorisations, procédez comme suit :

        • Dans Type d'ensemble d'autorisations, choisissez Ensemble d'autorisations prédéfini.

        • Dans Politique pour un ensemble d'autorisations prédéfini, sélectionnez AdministratorAccess.

        Choisissez Suivant.

      2. Pour l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations, conservez les paramètres par défaut et choisissez Next.

        Les paramètres par défaut créent un ensemble d'autorisations nommé AdministratorAccess avec une durée de session fixée à une heure.

      3. Pour l'étape 3 : révision et création, vérifiez que le type d'ensemble d'autorisations utilise la politique AWS gérée AdministratorAccess. Sélectionnez Create (Créer). Sur la page Ensembles d'autorisations, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.

      4. Dans l'onglet du navigateur Attribuer des utilisateurs et des groupes, vous êtes toujours à l'étape 2 : sélectionnez les ensembles d'autorisations à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.

      5. Dans la zone Ensembles d'autorisations, cliquez sur le bouton Actualiser. L'ensemble AdministratorAccess d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez Next.

    3. Pour l'étape 3 : vérifier et envoyer, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez Soumettre.

      La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.

      Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le AdministratorAccess rôle.

Étape 2 : Microsoft Entra ID: Confirmer Microsoft Entra ID accès des utilisateurs aux AWS ressources

  1. Retournez au Microsoft Entra IDconsole et accédez à votre application de connexion basée sur SAML IAM Identity Center.

  2. Sélectionnez Utilisateurs et groupes, puis sélectionnez Ajouter des utilisateurs ou des groupes. Vous allez ajouter l'utilisateur que vous avez créé dans ce didacticiel à l'étape 4 au Microsoft Entra ID application. En ajoutant l'utilisateur, vous l'autorisez à se connecter à AWS. Recherchez l'utilisateur que vous avez créé à l'étape 4. Si vous suiviez cette étape, ce serait le casRichardRoe.

    1. Pour une démonstration, voir Fédérer votre instance IAM Identity Center existante avec Microsoft Entra ID

Résolution des problèmes

Pour le dépannage général des systèmes SCIM et SAML avec Microsoft Entra ID, consultez les sections suivantes :

Problèmes de synchronisation avec Microsoft Entra ID et IAM Identity Center

Si vous rencontrez des problèmes avec Microsoft Entra ID si les utilisateurs ne se synchronisent pas avec IAM Identity Center, cela peut être dû à un problème de syntaxe signalé par IAM Identity Center lorsqu'un nouvel utilisateur est ajouté à IAM Identity Center. Vous pouvez le confirmer en cochant le Microsoft Entra ID journaux d'audit pour les événements ayant échoué, tels qu'un'Export'. Le motif du statut de cet événement indiquera :

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Vous pouvez également vérifier AWS CloudTrail l'échec de l'événement. Cela peut être fait en effectuant une recherche dans la console de l'historique des événements CloudTrail ou en utilisant le filtre suivant :

"eventName":"CreateUser"

L'erreur de l' CloudTrail événement indiquera ce qui suit :

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

En fin de compte, cette exception signifie que l'une des valeurs transmises par Microsoft Entra ID contenait plus de valeurs que prévu. La solution consiste à revoir les attributs de l'utilisateur dans Microsoft Entra ID, en veillant à ce qu'aucune ne contienne de valeurs dupliquées. Un exemple courant de valeurs dupliquées est la présence de plusieurs valeurs pour les numéros de contact tels que les numéros de téléphone portable, professionnel et de télécopie. Bien que les valeurs soient distinctes, elles sont toutes transmises à IAM Identity Center sous l'attribut parent unique PhoneNumbers.

Pour obtenir des conseils généraux de résolution des problèmes liés au SCIM, consultez la section Résolution des problèmes.

Microsoft Entra ID Synchronisation du compte invité

Si vous souhaitez synchroniser votre Microsoft Entra ID utilisateurs invités à IAM Identity Center, consultez la procédure suivante.

Microsoft Entra ID l'adresse e-mail des utilisateurs invités est différente de Microsoft Entra ID utilisateurs. Cette différence entraîne des problèmes lors de la tentative de synchronisation Microsoft Entra ID utilisateurs invités avec IAM Identity Center. Par exemple, consultez l'adresse e-mail suivante pour un utilisateur invité :

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAM Identity Center s'attend à ce que l'adresse e-mail d'un utilisateur ne contienne pas ce EXT@domain format.

  1. Connectez-vous au centre d'administration Microsoft Entra et accédez à Identité > Applications > Applications d'entreprise, puis choisissez AWS IAM Identity Center

  2. Accédez à l'onglet Single Sign On dans le volet de gauche.

  3. Sélectionnez Modifier qui apparaît à côté de Attributs et revendications de l'utilisateur.

  4. Sélectionnez un identifiant utilisateur unique (nom ID) après les demandes requises.

  5. Vous allez créer deux conditions de réclamation pour votre Microsoft Entra ID utilisateurs et utilisateurs invités :

    1. Dans Microsoft Entra ID utilisateurs, créez un type d'utilisateur pour les membres dont l'attribut source est défini sur user.userprincipalname.

    2. Dans Microsoft Entra ID utilisateurs invités, créez un type d'utilisateur pour les invités externes avec l'attribut source défini suruser.mail.

    3. Sélectionnez Enregistrer et réessayez de vous connecter en tant que Microsoft Entra ID utilisateur invité.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS :

  • AWS re:Post- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.

  • AWS Support- Bénéficiez d'un support technique