Connectez-vous à un fournisseur d'identité externe - AWS IAM Identity Center
Provisionnement lorsque les utilisateurs proviennent d'un IdP externeComment se connecter à un fournisseur d'identité externe

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à un fournisseur d'identité externe

Si vous utilisez un annuaire autogéré dans Active Directory ou un AWS Managed Microsoft AD, consultezSe connecter à un Microsoft AD annuaire. Pour les autres fournisseurs d'identité externes (IdPs), vous pouvez les utiliser AWS IAM Identity Center pour authentifier les identités IdPs via la norme SAML (Security Assertion Markup Language) 2.0. Cela permet à vos utilisateurs de se connecter au portail AWS d'accès avec leurs informations d'identification professionnelles. Ils peuvent ensuite accéder aux comptes, rôles et applications qui leur sont assignés et hébergés en externe IdPs.

Par exemple, vous pouvez connecter un IdP externe tel que Okta ou à IAM Microsoft Entra ID Identity Center. Vos utilisateurs peuvent ensuite se connecter au portail d' AWS accès avec leurs informations d'identification existantes Okta ou leurs Microsoft Entra ID informations d'identification. Pour contrôler ce que vos utilisateurs peuvent faire une fois qu'ils sont connectés, vous pouvez leur attribuer des autorisations d'accès de manière centralisée pour tous les comptes et applications de votre AWS organisation. En outre, les développeurs peuvent simplement se connecter au AWS Command Line Interface (AWS CLI) à l'aide de leurs informations d'identification existantes et bénéficier de la génération et de la rotation automatiques des informations d'identification à court terme.

Le protocole SAML ne permet pas d'interroger l'IdP pour en savoir plus sur les utilisateurs et les groupes. Par conséquent, vous devez informer IAM Identity Center de l'existence de ces utilisateurs et groupes en les configurant dans IAM Identity Center.

Provisionnement lorsque les utilisateurs proviennent d'un IdP externe

Lorsque vous utilisez un IdP externe, vous devez configurer tous les utilisateurs et groupes concernés dans IAM Identity Center avant de pouvoir attribuer des tâches à des applications ou à Comptes AWS des applications. Pour ce faire, vous pouvez configurer Approvisionnement automatique pour vos utilisateurs et groupes, ou utiliserApprovisionnement manuel. Quelle que soit la manière dont vous configurez les utilisateurs, IAM Identity Center redirige l' AWS Management Console interface de ligne de commande et l'authentification des applications vers votre IdP externe. IAM Identity Center accorde ensuite l'accès à ces ressources en fonction des politiques que vous créez dans IAM Identity Center. Pour plus d'informations sur le provisionnement, consultezProvisionnement d'utilisateurs et de groupes.

Comment se connecter à un fournisseur d'identité externe

Des step-by-step didacticiels sont disponibles pour les personnes prises en charge IdPs :

Il existe différents prérequis, considérations et procédures de provisionnement pour les différents systèmes externes pris en charge. IdPs La procédure suivante fournit un aperçu général de la procédure utilisée avec tous les fournisseurs d'identité externes.

Pour vous connecter à un fournisseur d'identité externe

  1. Ouvrez la console IAM Identity Center.

  2. Sélectionnez Settings (Paramètres).

  3. Sur la page Paramètres, choisissez l'onglet Source d'identité, puis sélectionnez Actions > Modifier la source d'identité.

  4. Sous Choisir une source d'identité, sélectionnez Fournisseur d'identité externe, puis cliquez sur Suivant.

  5. Sous Configurer le fournisseur d'identité externe, procédez comme suit :

    1. Sous Métadonnées du fournisseur de services, choisissez Télécharger le fichier de métadonnées pour télécharger le fichier de métadonnées et l'enregistrer sur votre système. Le fichier de métadonnées SAML d'IAM Identity Center est requis par votre fournisseur d'identité externe.

    2. Sous Métadonnées du fournisseur d'identité, choisissez Choisir un fichier et recherchez le fichier de métadonnées que vous avez téléchargé auprès de votre fournisseur d'identité externe. Téléchargez ensuite le fichier. Ce fichier de métadonnées contient le certificat public x509 nécessaire utilisé pour approuver les messages envoyés par l'IdP.

    3. Choisissez Suivant.

    Important

    La modification de votre source vers ou depuis Active Directory supprime toutes les attributions d'utilisateurs et de groupes existantes. Vous devez réappliquer les assignations manuellement une fois que vous avez correctement modifié votre source.

  6. Après avoir lu la clause de non-responsabilité et être prêt à continuer, saisissez ACCEPTER.

  7. Choisissez Modifier la source d'identité. Un message d'état vous informe que vous avez correctement modifié la source d'identité.

Rubriques