Approvisionnement automatique - AWS IAM Identity Center
Considérations relatives à l'utilisation du provisionnement automatiqueComment surveiller l'expiration des jetons d'accèsComment activer le provisionnement automatiqueComment désactiver le provisionnement automatiqueComment générer un nouveau jeton d'accèsComment supprimer un jeton d'accèsComment faire pivoter un jeton d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Approvisionnement automatique

IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis votre fournisseur d'identité (IdP) vers IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) v2.0. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage des attributs utilisateur de votre fournisseur d'identité (IdP) avec les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center et votre IdP. Vous configurez cette connexion dans votre IdP à l'aide de votre point de terminaison SCIM pour IAM Identity Center et d'un jeton porteur que vous créez dans IAM Identity Center.

Considérations relatives à l'utilisation du provisionnement automatique

Avant de commencer à déployer le SCIM, nous vous recommandons de prendre d'abord en compte les considérations importantes suivantes concernant son fonctionnement avec IAM Identity Center. Pour d'autres considérations relatives au provisionnement, consultez la section Tutoriels de mise en route applicable à votre IdP.

  • Si vous fournissez une adresse e-mail principale, cette valeur d'attribut doit être unique pour chaque utilisateur. Dans certains IdPs cas, l'adresse e-mail principale peut ne pas être une adresse e-mail réelle. Par exemple, il peut s'agir d'un nom principal universel (UPN) qui ressemble uniquement à un e-mail. Ils IdPs peuvent avoir une adresse e-mail secondaire ou « autre » contenant la véritable adresse e-mail de l'utilisateur. Vous devez configurer le SCIM dans votre IdP pour associer l'adresse e-mail unique non NULL à l'attribut d'adresse e-mail principale du IAM Identity Center. Et vous devez associer l'identifiant de connexion unique non NULL de l'utilisateur à l'attribut de nom d'utilisateur IAM Identity Center. Vérifiez si votre IdP possède une valeur unique qui est à la fois l'identifiant de connexion et le nom e-mail de l'utilisateur. Si tel est le cas, vous pouvez mapper ce champ IdP à la fois à l'adresse e-mail principale et au nom d'utilisateur de l'IAM Identity Center.

  • Pour que la synchronisation SCIM fonctionne, chaque utilisateur doit avoir un prénom, un nom de famille, un nom d'utilisateur et une valeur de nom d'affichage spécifiés. Si l'une de ces valeurs est absente pour un utilisateur, celui-ci ne sera pas approvisionné.

  • Si vous devez utiliser des applications tierces, vous devez d'abord mapper l'attribut de sujet SAML sortant à l'attribut de nom d'utilisateur. Si l'application tierce a besoin d'une adresse e-mail routable, vous devez fournir l'attribut e-mail à votre IdP.

  • Les intervalles de mise en service et de mise à jour du SCIM sont contrôlés par votre fournisseur d'identité. Les modifications apportées aux utilisateurs et aux groupes de votre fournisseur d'identité ne sont reflétées dans IAM Identity Center qu'une fois que votre fournisseur d'identité a envoyé ces modifications à IAM Identity Center. Consultez votre fournisseur d'identité pour plus de détails sur la fréquence des mises à jour des utilisateurs et des groupes.

  • Actuellement, les attributs à valeurs multiples (tels que plusieurs e-mails ou numéros de téléphone pour un utilisateur donné) ne sont pas fournis avec SCIM. Les tentatives de synchronisation d'attributs à valeurs multiples dans IAM Identity Center avec SCIM échoueront. Pour éviter les échecs, assurez-vous qu'une seule valeur est transmise pour chaque attribut. Si vous avez des utilisateurs dotés d'attributs à valeurs multiples, supprimez ou modifiez les mappages d'attributs dupliqués dans SCIM sur votre IdP pour la connexion à IAM Identity Center.

  • Vérifiez que le mappage externalId SCIM de votre IdP correspond à une valeur unique, toujours présente et peu susceptible de changer pour vos utilisateurs. Par exemple, votre IdP peut fournir un identifiant garanti objectId ou autre qui n'est pas affecté par les modifications apportées aux attributs utilisateur tels que le nom et l'adresse e-mail. Si tel est le cas, vous pouvez mapper cette valeur au externalId champ SCIM. Cela garantit que vos utilisateurs ne perdront pas leurs AWS droits, attributions ou autorisations si vous devez modifier leur nom ou leur adresse e-mail.

  • Utilisateurs qui n'ont pas encore été affectés à une application ou qui Compte AWS ne peuvent pas être approvisionnés dans IAM Identity Center. Pour synchroniser les utilisateurs et les groupes, assurez-vous qu'ils sont affectés à l'application ou à une autre configuration représentant la connexion de votre IdP à IAM Identity Center.

  • Le comportement de déprovisionnement des utilisateurs est géré par le fournisseur d'identité et peut varier en fonction de sa mise en œuvre. Renseignez-vous auprès de votre fournisseur d'identité pour en savoir plus sur le déprovisionnement des utilisateurs.

Pour plus d'informations sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du SCIM d'IAM Identity Center.

Comment surveiller l'expiration des jetons d'accès

Les jetons d'accès SCIM sont générés avec une validité d'un an. Lorsque votre jeton d'accès SCIM doit expirer dans 90 jours ou moins, il vous AWS envoie des rappels dans la console IAM Identity Center et via le tableau de AWS Health bord pour vous aider à faire pivoter le jeton. En faisant pivoter le jeton d'accès SCIM avant son expiration, vous sécurisez en permanence le provisionnement automatique des informations sur les utilisateurs et les groupes. Si le jeton d'accès SCIM expire, la synchronisation des informations relatives aux utilisateurs et aux groupes entre votre fournisseur d'identité et IAM Identity Center s'arrête, de sorte que le provisionnement automatique ne peut plus effectuer de mises à jour ni créer et supprimer des informations. L'interruption du provisionnement automatique peut entraîner des risques de sécurité accrus et avoir un impact sur l'accès à vos services.

Les rappels de la console Identity Center sont conservés jusqu'à ce que vous fassiez pivoter le jeton d'accès SCIM et que vous supprimiez tous les jetons d'accès inutilisés ou expirés. Les événements du tableau de AWS Health bord sont renouvelés chaque semaine entre 90 et 60 jours, deux fois par semaine de 60 à 30 jours, trois fois par semaine de 30 à 15 jours et tous les jours pendant 15 jours jusqu'à l'expiration des jetons d'accès SCIM.

Comment activer le provisionnement automatique

Utilisez la procédure suivante pour activer le provisionnement automatique des utilisateurs et des groupes depuis votre IdP vers IAM Identity Center à l'aide du protocole SCIM.

Note

Avant de commencer cette procédure, nous vous recommandons de passer d'abord en revue les considérations de provisionnement applicables à votre IdP. Pour plus d'informations, consultez le correspondant Tutoriels de mise en route à votre IdP.

Pour activer le provisionnement automatique dans IAM Identity Center

  1. Une fois que vous avez rempli les conditions requises, ouvrez la console IAM Identity Center.

  2. Choisissez Paramètres dans le volet de navigation de gauche.

  3. Sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.

  4. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.

    1. Point de terminaison SCIM

    2. Jeton d'accès

  5. Choisissez Fermer.

Une fois cette procédure terminée, vous devez configurer le provisionnement automatique dans votre IdP. Pour plus d'informations, consultez le correspondant Tutoriels de mise en route à votre IdP.

Comment désactiver le provisionnement automatique

Utilisez la procédure suivante pour désactiver le provisionnement automatique dans la console IAM Identity Center.

Important

Vous devez supprimer le jeton d'accès avant de commencer cette procédure. Pour plus d’informations, consultez Comment supprimer un jeton d'accès.

Pour désactiver le provisionnement automatique dans la console IAM Identity Center

  1. Dans la console IAM Identity Center, sélectionnez Paramètres dans le volet de navigation de gauche.

  2. Sur la page Paramètres, choisissez l'onglet Source d'identité, puis sélectionnez Actions > Gérer le provisionnement.

  3. Sur la page Provisionnement automatique, choisissez Désactiver.

  4. Dans la boîte de dialogue Désactiver le provisionnement automatique, passez en revue les informations, tapez DISABLE, puis choisissez Désactiver le provisionnement automatique.

Comment générer un nouveau jeton d'accès

Utilisez la procédure suivante pour générer un nouveau jeton d'accès dans la console IAM Identity Center.

Note

Cette procédure nécessite que vous ayez préalablement activé le provisionnement automatique. Pour plus d’informations, consultez Comment activer le provisionnement automatique.

Pour générer un nouveau jeton d'accès

  1. Dans la console IAM Identity Center, sélectionnez Paramètres dans le volet de navigation de gauche.

  2. Sur la page Paramètres, choisissez l'onglet Source d'identité, puis sélectionnez Actions > Gérer le provisionnement.

  3. Sur la page Provisionnement automatique, sous Jetons d'accès, choisissez Générer un jeton.

  4. Dans la boîte de dialogue Générer un nouveau jeton d'accès, copiez le nouveau jeton d'accès et enregistrez-le en lieu sûr.

  5. Choisissez Fermer.

Comment supprimer un jeton d'accès

Utilisez la procédure suivante pour supprimer un jeton d'accès existant dans la console IAM Identity Center.

Pour supprimer un jeton d'accès existant

  1. Dans la console IAM Identity Center, sélectionnez Paramètres dans le volet de navigation de gauche.

  2. Sur la page Paramètres, choisissez l'onglet Source d'identité, puis sélectionnez Actions > Gérer le provisionnement.

  3. Sur la page Provisionnement automatique, sous Jetons d'accès, sélectionnez le jeton d'accès que vous souhaitez supprimer, puis choisissez Supprimer.

  4. Dans la boîte de dialogue Supprimer le jeton d'accès, passez en revue les informations, tapez DELETE, puis choisissez Supprimer le jeton d'accès.

Comment faire pivoter un jeton d'accès

Un annuaire IAM Identity Center prend en charge jusqu'à deux jetons d'accès à la fois. Pour générer un jeton d'accès supplémentaire avant toute rotation, supprimez tous les jetons d'accès expirés ou non utilisés.

Si votre jeton d'accès SCIM est sur le point d'expirer, vous pouvez utiliser la procédure suivante pour faire pivoter un jeton d'accès existant dans la console IAM Identity Center.

Pour faire pivoter un jeton d'accès

  1. Dans la console IAM Identity Center, sélectionnez Paramètres dans le volet de navigation de gauche.

  2. Sur la page Paramètres, choisissez l'onglet Source d'identité, puis sélectionnez Actions > Gérer le provisionnement.

  3. Sur la page Provisionnement automatique, sous Jetons d'accès, notez l'ID du jeton que vous souhaitez faire pivoter.

  4. Suivez les étapes décrites Comment générer un nouveau jeton d'accès pour créer un nouveau jeton. Si vous avez déjà créé le nombre maximum de jetons d'accès SCIM, vous devez d'abord supprimer l'un des jetons existants.

  5. Accédez au site Web de votre fournisseur d'identité et configurez le nouveau jeton d'accès pour le provisionnement SCIM, puis testez la connectivité à IAM Identity Center à l'aide du nouveau jeton d'accès SCIM. Une fois que vous avez confirmé que le provisionnement fonctionne correctement à l'aide du nouveau jeton, passez à l'étape suivante de cette procédure.

  6. Suivez les étapes décrites Comment supprimer un jeton d'accès pour supprimer l'ancien jeton d'accès que vous avez indiqué précédemment. Vous pouvez également utiliser la date de création du jeton comme indication du jeton à supprimer.