Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Approvisionnement d'utilisateurs et de groupes de fournisseurs d'identité externes dans IAM Identity Center à l'aide de SCIM
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis votre fournisseur d'identité (IdP) vers IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) v2.0. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage des attributs utilisateur de votre fournisseur d'identité (IdP) avec les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center et votre IdP. Vous configurez cette connexion dans votre IdP à l'aide de votre point de terminaison SCIM pour IAM Identity Center et d'un jeton porteur que vous créez dans IAM Identity Center.
Rubriques
- Considérations relatives à l'utilisation du provisionnement automatique
- Comment surveiller l'expiration des jetons d'accès
- Activer le provisionnement automatique
- Désactiver le provisionnement automatique
- Générer un jeton d'accès
- Supprimer un jeton d'accès
- Faire pivoter un jeton d'accès
- Approvisionnement manuel
Considérations relatives à l'utilisation du provisionnement automatique
Avant de commencer à déployer le SCIM, nous vous recommandons de prendre d'abord en compte les considérations importantes suivantes concernant son fonctionnement avec IAM Identity Center. Pour d'autres considérations relatives au provisionnement, consultez la section IAMTutoriels d'Identity Center Identity Source applicable à votre IdP.
-
Si vous fournissez une adresse e-mail principale, cette valeur d'attribut doit être unique pour chaque utilisateur. Dans certains IdPs cas, l'adresse e-mail principale peut ne pas être une adresse e-mail réelle. Par exemple, il peut s'agir d'un nom principal universel (UPN) qui ressemble uniquement à un e-mail. Ils IdPs peuvent avoir une adresse e-mail secondaire ou « autre » contenant la véritable adresse e-mail de l'utilisateur. Vous devez configurer le SCIM dans votre IdP pour associer l'adresse e-mail unique non NULL à l'attribut d'adresse e-mail principale du IAM Identity Center. Et vous devez associer l'identifiant de connexion unique non NULL de l'utilisateur à l'attribut de nom d'utilisateur IAM Identity Center. Vérifiez si votre IdP possède une valeur unique qui est à la fois l'identifiant de connexion et le nom e-mail de l'utilisateur. Si tel est le cas, vous pouvez mapper ce champ IdP à la fois à l'adresse e-mail principale et au nom d'utilisateur de l'IAM Identity Center.
-
Pour que la synchronisation SCIM fonctionne, chaque utilisateur doit avoir un prénom, un nom de famille, un nom d'utilisateur et une valeur de nom d'affichage spécifiés. Si l'une de ces valeurs est absente pour un utilisateur, celui-ci ne sera pas approvisionné.
-
Si vous devez utiliser des applications tierces, vous devez d'abord mapper l'attribut de sujet SAML sortant à l'attribut de nom d'utilisateur. Si l'application tierce a besoin d'une adresse e-mail routable, vous devez fournir l'attribut e-mail à votre IdP.
-
Les intervalles de mise en service et de mise à jour du SCIM sont contrôlés par votre fournisseur d'identité. Les modifications apportées aux utilisateurs et aux groupes de votre fournisseur d'identité ne sont reflétées dans IAM Identity Center qu'une fois que votre fournisseur d'identité a envoyé ces modifications à IAM Identity Center. Consultez votre fournisseur d'identité pour plus de détails sur la fréquence des mises à jour des utilisateurs et des groupes.
-
Actuellement, les attributs à valeurs multiples (tels que plusieurs e-mails ou numéros de téléphone pour un utilisateur donné) ne sont pas fournis avec SCIM. Les tentatives de synchronisation d'attributs à valeurs multiples dans IAM Identity Center avec SCIM échoueront. Pour éviter les échecs, assurez-vous qu'une seule valeur est transmise pour chaque attribut. Si vous avez des utilisateurs dotés d'attributs à valeurs multiples, supprimez ou modifiez les mappages d'attributs dupliqués dans SCIM sur votre IdP pour la connexion à IAM Identity Center.
-
Vérifiez que le mappage
externalIdSCIM de votre IdP correspond à une valeur unique, toujours présente et peu susceptible de changer pour vos utilisateurs. Par exemple, votre IdP peut fournir un identifiant garantiobjectIdou autre qui n'est pas affecté par les modifications apportées aux attributs utilisateur tels que le nom et l'adresse e-mail. Si tel est le cas, vous pouvez mapper cette valeur auexternalIdchamp SCIM. Cela garantit que vos utilisateurs ne perdront pas leurs AWS droits, attributions ou autorisations si vous devez modifier leur nom ou leur adresse e-mail. -
Utilisateurs qui n'ont pas encore été affectés à une application ou qui Compte AWS ne peuvent pas être approvisionnés dans IAM Identity Center. Pour synchroniser les utilisateurs et les groupes, assurez-vous qu'ils sont affectés à l'application ou à une autre configuration représentant la connexion de votre IdP à IAM Identity Center.
-
Le comportement de déprovisionnement des utilisateurs est géré par le fournisseur d'identité et peut varier en fonction de sa mise en œuvre. Renseignez-vous auprès de votre fournisseur d'identité pour en savoir plus sur le déprovisionnement des utilisateurs.
-
Après avoir configuré le provisionnement automatique avec SCIM pour votre IdP, vous ne pouvez plus ajouter ni modifier d'utilisateurs dans la console IAM Identity Center. Si vous devez ajouter ou modifier un utilisateur, vous devez le faire à partir de votre IdP externe ou de votre source d'identité.
Pour plus d'informations sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du SCIM d'IAM Identity Center.
Comment surveiller l'expiration des jetons d'accès
Les jetons d'accès SCIM sont générés avec une validité d'un an. Lorsque votre jeton d'accès SCIM est censé expirer dans 90 jours ou moins, il vous AWS envoie des rappels dans la console IAM Identity Center et via le tableau de AWS Health bord pour vous aider à faire pivoter le jeton. En faisant pivoter le jeton d'accès SCIM avant son expiration, vous sécurisez en permanence le provisionnement automatique des informations sur les utilisateurs et les groupes. Si le jeton d'accès SCIM expire, la synchronisation des informations relatives aux utilisateurs et aux groupes entre votre fournisseur d'identité et IAM Identity Center s'arrête, de sorte que le provisionnement automatique ne peut plus effectuer de mises à jour ni créer et supprimer des informations. L'interruption du provisionnement automatique peut entraîner des risques de sécurité accrus et avoir un impact sur l'accès à vos services.
Les rappels de la console Identity Center sont conservés jusqu'à ce que vous fassiez pivoter le jeton d'accès SCIM et que vous supprimiez tous les jetons d'accès inutilisés ou expirés. Les événements du tableau de AWS Health bord sont renouvelés chaque semaine entre 90 et 60 jours, deux fois par semaine de 60 à 30 jours, trois fois par semaine de 30 à 15 jours et tous les jours pendant 15 jours jusqu'à l'expiration des jetons d'accès SCIM.
Approvisionnement manuel
Certains IdPs ne sont pas compatibles avec le système de gestion des identités interdomaines (SCIM) ou ont une implémentation SCIM incompatible. Dans ces cas, vous pouvez configurer manuellement les utilisateurs via la console IAM Identity Center. Lorsque vous ajoutez des utilisateurs à IAM Identity Center, assurez-vous que le nom d'utilisateur est identique à celui que vous avez dans votre IdP. Au minimum, vous devez disposer d'une adresse e-mail et d'un nom d'utilisateur uniques. Pour de plus amples informations, veuillez consulter Unicité du nom d'utilisateur et de l'adresse e-mail.
Vous devez également gérer tous les groupes manuellement dans IAM Identity Center. Pour ce faire, vous devez créer les groupes et les ajouter à l'aide de la console IAM Identity Center. Ces groupes n'ont pas besoin de correspondre à ce qui existe dans votre IdP. Pour de plus amples informations, veuillez consulter Groups.
