Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriels sur les sources d'identité IAM Identity Center
Vous pouvez connecter votre source d'identité existante dans votre compte AWS Organizations de gestion à [une instance organisationnelle d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Si vous n'avez pas de fournisseur d'identité existant, vous pouvez créer et gérer des utilisateurs directement dans le répertoire par défaut de l'IAM Identity Center. Vous ne pouvez avoir qu'une seule source d'identité par organisation.
Les didacticiels de cette section expliquent comment configurer une instance organisationnelle d'IAM Identity Center avec une source d'identité couramment utilisée, créer un utilisateur administratif et si vous utilisez IAM Identity Center pour gérer l'accès aux ensembles d'autorisations Comptes AWS, les créer et les configurer. Si vous utilisez IAM Identity Center uniquement pour accéder aux applications, il n'est pas nécessaire d'utiliser des ensembles d'autorisations.
Ces didacticiels ne décrivent pas comment configurer les instances de compte d'IAM Identity Center. Vous pouvez utiliser des instances de compte pour attribuer des utilisateurs et des groupes à des applications, mais vous ne pouvez pas utiliser ce type d'instance pour gérer l'accès des utilisateurs à Comptes AWS. Pour de plus amples informations, veuillez consulter [Instances de compte d’IAM Identity Center](account-instances-identity-center.md).
**Note**
Avant de commencer l'un de ces didacticiels, activez IAM Identity Center. Pour de plus amples informations, veuillez consulter [Activer IAM Identity Center](enable-identity-center.md).
**Topics**
+ [Utilisation d'Active Directory comme source d'identité](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [Configurer SAML et SCIM avec un IAM Google Workspace Identity Center](gs-gwp.md)
+ [Utilisation d'IAM Identity Center pour vous connecter à votre plateforme d'JumpCloudannuaire](jumpcloud-idp.md)
+ [Configurer SAML et SCIM avec un IAM Microsoft Entra ID Identity Center](idp-microsoft-entra.md)
+ [Configurer SAML et SCIM avec un IAM Okta Identity Center](gs-okta.md)
+ [Configuration du provisionnement SCIM entre OneLogin et IAM Identity Center](onelogin-idp.md)
+ [Utilisation de Ping Identity produits avec IAM Identity Center](pingidentity.md)
+ [Configuration de l'accès utilisateur avec le répertoire IAM Identity Center par défaut](quick-start-default-idc.md)
+ [Didacticiels vidéo](#w2aac15c31)
# Utilisation d'Active Directory comme source d'identité
Si vous gérez les utilisateurs de votre AWS Managed Microsoft AD annuaire à l'aide d'Active Directory (AD) Directory Service ou de votre annuaire autogéré dans Active Directory (AD), vous pouvez modifier la source d'identité de votre IAM Identity Center pour qu'elle fonctionne avec ces utilisateurs. Nous vous recommandons d'envisager de connecter cette source d'identité lorsque vous activez IAM Identity Center et que vous choisissez votre source d'identité. Cette opération avant de créer des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center vous permettra d'éviter la configuration supplémentaire requise si vous modifiez votre source d'identité ultérieurement.
Pour utiliser Active Directory comme source d'identité, votre configuration doit répondre aux conditions préalables suivantes :
+ Si vous utilisez AWS Managed Microsoft AD, vous devez activer IAM Identity Center dans le même Région AWS endroit où votre AWS Managed Microsoft AD annuaire est configuré. IAM Identity Center stocke les données d'attribution dans la même région que le répertoire. Pour administrer IAM Identity Center, vous devrez peut-être passer à la région dans laquelle IAM Identity Center est configuré. Notez également que le portail AWS d'accès utilise la même URL d'accès que votre annuaire.
+ Utilisez un Active Directory résidant dans le compte de gestion :
Un AD Connector ou un AWS Managed Microsoft AD annuaire AD Connector existant doit être configuré dans AWS Directory Service votre compte AWS Organizations de gestion. Vous ne pouvez connecter qu'un seul répertoire AD Connector ou un seul annuaire AWS Managed Microsoft AD à la fois. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez AWS Managed Microsoft AD. Pour en savoir plus, consultez :
+ [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md)
+ [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md)
+ Utilisez un Active Directory résidant dans le compte d'administrateur délégué :
Si vous envisagez d'activer un administrateur délégué IAM Identity Center et d'utiliser Active Directory comme source d'identité IAM Identity Center, vous pouvez utiliser un AD Connector ou un AWS Managed Microsoft AD annuaire existant configuré dans AWS Directory résidant dans le compte d'administrateur délégué.
Si vous décidez de remplacer la source d'identité IAM Identity Center d'une autre source par Active Directory, ou de la remplacer par une autre source, le répertoire doit résider dans le compte membre administrateur délégué d'IAM Identity Center (s'il en existe un) ; sinon, il doit se trouver dans le compte de gestion.
Ce didacticiel explique la configuration de base pour utiliser Active Directory comme source d'identité IAM Identity Center.
# Étape 1 : Connecter Active Directory et spécifier un utilisateur
Si vous utilisez déjà Active Directory, les rubriques suivantes vous aideront à préparer la connexion de votre annuaire à IAM Identity Center.
**Note**
Si vous envisagez de connecter un AWS Managed Microsoft AD annuaire ou un annuaire autogéré dans Active Directory et que vous n'utilisez pas RADIUS MFA AWS Directory Service avec, activez l'authentification MFA dans IAM Identity Center.
**AWS Managed Microsoft AD**
1. Consultez les directives dans[Microsoft ADannuaire](manage-your-identity-source-ad.md).
1. Suivez les étapes de [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md).
1. Configurez Active Directory pour synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Synchroniser un utilisateur administratif dans IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
**Répertoire autogéré dans Active Directory**
1. Consultez les directives dans[Microsoft ADannuaire](manage-your-identity-source-ad.md).
1. Suivez les étapes de [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md).
1. Configurez Active Directory pour synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Synchroniser un utilisateur administratif dans IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
## Étape 2 : Synchroniser un utilisateur administratif dans IAM Identity Center
Après avoir connecté votre annuaire à IAM Identity Center, vous pouvez spécifier un utilisateur auquel vous souhaitez accorder des autorisations administratives, puis synchroniser cet utilisateur depuis votre annuaire avec IAM Identity Center.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Utilisateurs**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.
1. Dans l'onglet **Utilisateurs**, sous **Utilisateur**, entrez le nom d'utilisateur exact et choisissez **Ajouter**.
1. Sous **Utilisateurs et groupes ajoutés**, procédez comme suit :
1. Vérifiez que l'utilisateur auquel vous souhaitez accorder des autorisations administratives est spécifié.
1. Cochez la case située à gauche du nom d'utilisateur.
1. Sélectionnez **Soumettre**.
1. Sur la page **Gérer la synchronisation**, l'utilisateur que vous avez spécifié apparaît dans la liste **Utilisateurs synchronisés**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Sur la page **Utilisateurs**, l'utilisateur que vous avez spécifié peut mettre un certain temps à apparaître dans la liste. Cliquez sur l'icône d'actualisation pour mettre à jour la liste des utilisateurs.
À ce stade, votre utilisateur n'a pas accès au compte de gestion. Vous allez configurer l'accès administratif à ce compte en créant un ensemble d'autorisations administratives et en affectant l'utilisateur à cet ensemble d'autorisations. Pour de plus amples informations, veuillez consulter [Crée un jeu d'autorisations](howtocreatepermissionset.md).
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations utilisateur depuis CyberArk Directory Platform IAM Identity Center. Ce provisionnement utilise le protocole SCIM (System for Cross-Domain Identity Management) v2.0. Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
**Note**
CyberArkne prend actuellement pas en charge le service de consommation d'assertions multiples (ACS) SAML URLs dans l' AWS IAM Identity Center application. Cette fonctionnalité SAML est requise pour tirer pleinement parti de la prise en [charge multirégionale](multi-region-iam-identity-center.md) dans IAM Identity Center. Si vous envisagez de répliquer IAM Identity Center vers d'autres régions, sachez que l'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans ces régions supplémentaires. Votre région principale continuera de fonctionner normalement. Nous vous recommandons de travailler avec votre fournisseur d'IdP pour activer cette fonctionnalité. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations). Passez ensuite en revue les autres considérations dans la section suivante.
**Topics**
+ [Conditions préalables](#cyberark-prereqs)
+ [Considérations relatives au SCIM](#cyberark-considerations)
+ [Étape 1 : activer le provisionnement dans IAM Identity Center](#cyberark-step1)
+ [Étape 2 : configurer le provisionnement dans CyberArk](#cyberark-step2)
+ [(Facultatif) Étape 3 : Configuration des attributs utilisateur CyberArk pour le contrôle d'accès (ABAC) dans IAM Identity Center](#cyberark-step3)
+ [(Facultatif) Transmission d'attributs pour le contrôle d'accès](#cyberark-passing-abac)
## Conditions préalables
Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ CyberArkabonnement ou essai gratuit. Pour vous inscrire à un essai gratuit, rendez-vous sur [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Un compte compatible avec IAM Identity Center ([gratuit](https://aws.amazon.com/single-sign-on/)). Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Une connexion SAML entre votre CyberArk compte et IAM Identity Center, comme décrit dans la [CyberArkdocumentation d'IAM](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#) Identity Center.
+ Associez le connecteur IAM Identity Center aux rôles, utilisateurs et organisations auxquels vous souhaitez autoriser l'accès Comptes AWS.
## Considérations relatives au SCIM
Voici les points à prendre en compte lors de l'utilisation CyberArk de la fédération pour IAM Identity Center :
+ Seuls les rôles mappés dans la section Provisioning des applications seront synchronisés avec IAM Identity Center.
+ Le script de provisionnement n'est pris en charge que dans son état par défaut. Une fois modifié, le provisionnement SCIM peut échouer.
+ Un seul attribut de numéro de téléphone peut être synchronisé et l'attribut par défaut est « téléphone professionnel ».
+ Si le mappage des rôles dans l'application CyberArk IAM Identity Center est modifié, le comportement ci-dessous est attendu :
+ Si les noms de rôles sont modifiés, aucune modification n'est apportée aux noms de groupes dans IAM Identity Center.
+ Si les noms des groupes sont modifiés, de nouveaux groupes seront créés dans IAM Identity Center, les anciens groupes resteront mais n'auront aucun membre.
+ Le comportement de synchronisation et de déprovisionnement des utilisateurs peut être configuré à partir de l'application CyberArk IAM Identity Center. Assurez-vous de configurer le comportement adapté à votre organisation. Voici les options qui s'offrent à vous :
+ Remplacez (ou non) les utilisateurs du répertoire Identity Center par le même nom principal.
+ Déprovisionnez les utilisateurs du centre d'identité IAM lorsque l'utilisateur est supprimé du CyberArk rôle.
+ Déprovisionner le comportement de l'utilisateur : désactiver ou supprimer.
## Étape 1 : activer le provisionnement dans IAM Identity Center
Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide de l'application CyberArk IAM Identity Center. Ces étapes sont décrites dans la procédure suivante.
## Étape 2 : configurer le provisionnement dans CyberArk
Utilisez la procédure suivante dans l'application CyberArk IAM Identity Center pour activer le provisionnement avec IAM Identity Center. Cette procédure suppose que vous avez déjà ajouté l'application CyberArk IAM Identity Center à votre console CyberArk d'administration sous **Web Apps**. Si vous ne l'avez pas encore fait, reportez-vous au[Conditions préalables](#cyberark-prereqs), puis suivez cette procédure pour configurer le provisionnement SCIM.
**Pour configurer le provisionnement dans CyberArk**
1. Ouvrez l'application CyberArk IAM Identity Center que vous avez ajoutée dans le cadre de la configuration de SAML pour CyberArk (**Apps > Web App**). Consultez [Conditions préalables](#cyberark-prereqs).
1. Choisissez l'application **IAM Identity Center** et accédez à la section **Provisioning**.
1. Cochez la case **Activer le provisionnement pour cette application** et choisissez **Live Mode.**
1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** depuis IAM Identity Center. Collez cette valeur dans le champ **URL du service SCIM**. Dans l'application CyberArk IAM Identity Center, définissez le **type d'autorisation** comme en-tête d'**autorisation**.
1. Définissez le **type d'en-tête** sur **Bearer Token**.
1. À partir de la procédure précédente, vous avez copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **Bearer Token** de l'application CyberArk IAM Identity Center.
1. Cliquez sur **Vérifier** pour tester et appliquer la configuration.
1. Dans les **options de synchronisation**, choisissez le comportement approprié pour lequel vous souhaitez que le provisionnement sortant fonctionneCyberArk. Vous pouvez choisir de remplacer (ou non) les utilisateurs IAM Identity Center existants par un nom principal et un comportement de déprovisionnement similaires.
1. Sous **Mappage des rôles**, configurez le mappage à partir CyberArk des rôles, dans le champ **Nom**, vers le groupe IAM Identity Center, sous le **groupe de destination**.
1. Cliquez sur **Enregistrer** en bas de page une fois que vous avez terminé.
1. **Pour vérifier que les utilisateurs ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Les utilisateurs synchronisés depuis CyberArk apparaîtront sur la page **Utilisateurs**. Ces utilisateurs peuvent désormais être affectés à des comptes et peuvent se connecter au sein d'IAM Identity Center.
## (Facultatif) Étape 3 : Configuration des attributs utilisateur CyberArk pour le contrôle d'accès (ABAC) dans IAM Identity Center
Il s'agit d'une procédure facultative CyberArk si vous choisissez de configurer des attributs pour IAM Identity Center afin de gérer l'accès à vos AWS ressources. Les attributs que vous définissez CyberArk sont transmis dans une assertion SAML à IAM Identity Center. Vous créez ensuite un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisCyberArk.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
**Pour configurer les attributs utilisateur CyberArk pour le contrôle d'accès dans IAM Identity Center**
1. Ouvrez l'application CyberArk IAM Identity Center que vous avez installée dans le cadre de la configuration de SAML pour CyberArk (**Apps > Web Apps**).
1. Accédez à l'option **SAML Response**.
1. Sous **Attributs**, ajoutez les attributs appropriés au tableau en suivant la logique ci-dessous :
1. Le **nom de l'attribut** est le nom d'attribut d'origine deCyberArk.
1. La **valeur d'attribut** est le nom d'attribut envoyé dans l'assertion SAML à IAM Identity Center.
1. Choisissez **Enregistrer**.
## (Facultatif) Transmission d'attributs pour le contrôle d'accès
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
# Configurer SAML et SCIM avec un IAM Google Workspace Identity Center
Si votre organisation l'utilise, Google Workspace vous pouvez intégrer vos utilisateurs depuis Google Workspace IAM Identity Center pour leur donner accès aux AWS ressources. Vous pouvez réaliser cette intégration en remplaçant la source d'identité par défaut de votre source d'identité IAM Identity Center par. Google Workspace
**Note**
Google Workspacene prend actuellement pas en charge le service de consommation d'assertions multiples (ACS) SAML URLs dans l' AWS IAM Identity Center application. Cette fonctionnalité SAML est requise pour tirer pleinement parti de la prise en [charge multirégionale](multi-region-iam-identity-center.md) dans IAM Identity Center. Si vous envisagez de répliquer IAM Identity Center vers d'autres régions, sachez que l'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans ces régions supplémentaires. Votre région principale continuera de fonctionner normalement. Nous vous recommandons de travailler avec votre fournisseur d'IdP pour activer cette fonctionnalité. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Les informations utilisateur provenant de Google Workspace sont synchronisées dans IAM Identity Center à l'aide du protocole [SCIM (System for Cross-Domain Identity Management) 2.0](scim-profile-saml.md#scim-profile). Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
Vous configurez cette connexion en Google Workspace utilisant votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec Google Workspace les attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center etGoogle Workspace. Pour ce faire, vous devez vous configurer en Google Workspace tant que fournisseur d'identité et vous connecter à votre IAM Identity Center.
**Objectif**
Les étapes de ce didacticiel vous aident à établir la connexion SAML entre Google Workspace et AWS. Plus tard, vous synchroniserez les utilisateurs à Google Workspace l'aide de SCIM. Pour vérifier que tout est correctement configuré, une fois les étapes de configuration terminées, vous vous connecterez en tant qu'Google Workspaceutilisateur et vérifierez l'accès aux AWS ressources. Notez que ce didacticiel est basé sur un environnement de test de petits Google Workspace répertoires. Les structures de répertoires telles que les groupes et les unités organisationnelles ne sont pas incluses dans ce didacticiel. Après avoir terminé ce didacticiel, vos utilisateurs pourront accéder au portail d' AWS accès avec vos Google Workspace informations d'identification.
**Note**
Pour vous inscrire à un essai gratuit ou Google Workspace rendez-vous [https://workspace.google.com/](https://workspace.google.com/)sur le Google's site Web.
Si vous n'avez pas encore activé IAM Identity Center, consultez[Activer IAM Identity Center](enable-identity-center.md).
## Considérations
+ Avant de configurer le provisionnement SCIM entre Google Workspace et IAM Identity Center, nous vous recommandons de procéder à un premier examen. [Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations)
+ La synchronisation automatique depuis SCIM Google Workspace est actuellement limitée au provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Les groupes peuvent être créés manuellement à AWS CLI l'aide de la commande Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) ou de l'API Gestion des identités et des accès AWS (IAM). [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Vous pouvez également utiliser [ssosync](https://github.com/awslabs/ssosync) pour synchroniser Google Workspace les utilisateurs et les groupes dans IAM Identity Center.
+ Chaque Google Workspace utilisateur doit avoir un **prénom, un nom de famille**, un **nom** **d'utilisateur** et une valeur de **nom d'affichage** spécifiés.
+ Chaque Google Workspace utilisateur ne dispose que d'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.
+ Les attributs sont toujours synchronisés si l'utilisateur est désactivé dans IAM Identity Center, mais toujours actif dans. Google Workspace
+ Si un utilisateur existe déjà dans le répertoire Identity Center avec le même nom d'utilisateur et le même e-mail, il sera remplacé et synchronisé à l'aide de SCIM from. Google Workspace
+ Des considérations supplémentaires doivent être prises en compte lors de la modification de votre source d'identité. Pour de plus amples informations, veuillez consulter [Passage d'IAM Identity Center à un IdP externe](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Étape 1 Google Workspace : Configuration de l'application SAML
1. Connectez-vous à votre **console d'Googleadministration** à l'aide d'un compte doté de privilèges de super administrateur.
1. Dans le panneau de navigation de gauche de votre **console Google d'administration**, sélectionnez **Applications**, puis **Applications Web et mobiles**.
1. Dans la liste déroulante **Ajouter une application**, sélectionnez **Rechercher des applications**.
1. Dans le champ de recherche, saisissez **Amazon Web Services**, puis sélectionnez l'application **Amazon Web Services (SAML)** dans la liste.
1. Sur la page **Informations sur le fournisseur d'Googleidentité - Amazon Web Services**, vous pouvez effectuer l'une des opérations suivantes :
1. Téléchargez les métadonnées de l'IdP.
1. Copiez l'URL SSO, l'URL de l'identifiant de l'entité et les informations du certificat.
Vous aurez besoin du fichier XML ou des informations d'URL à l'étape 2.
1. Avant de passer à l'étape suivante dans la console Google d'administration, laissez cette page ouverte et passez à la console IAM Identity Center.
## Étape 2 : IAM Identity Center et Google Workspace : Modification de la source d'identité IAM Identity Center et configuration en Google Workspace tant que fournisseur d'identité SAML
1. Connectez-vous à la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) à l'aide d'un rôle doté d'autorisations administratives.
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez **Actions**, puis **Modifier la source d'identité**.
+ Si vous n'avez pas activé IAM Identity Center, consultez [Activer IAM Identity Center](enable-identity-center.md) pour plus d'informations. Après avoir activé et accédé à IAM Identity Center pour la première fois, vous arriverez au **tableau de bord** où vous pourrez sélectionner **Choisissez votre source d'identité**.
1. Sur la page **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. La page **Configurer le fournisseur d'identité externe** s'ouvre. Pour compléter cette page et celle de l'Google Workspaceétape 1, vous devez effectuer les opérations suivantes :
1. Dans la section **des métadonnées du fournisseur** d'**identité de la console IAM Identity Center**, vous devez effectuer l'une des opérations suivantes :
1. Téléchargez les métadonnées **GoogleSAML en tant que métadonnées** **IDP SAML** dans la console IAM Identity Center.
1. ****Copiez et collez l'URL **GoogleSSO dans le champ URL** de **connexion de l'IdP Google****, l'URL de l'émetteur dans le champ URL** de l'**émetteur de l'IdP et téléchargez le certificat** en tant que certificat IdP. Google****
1. Après avoir fourni les Google métadonnées dans la section des **métadonnées du fournisseur d'identité** de la console **IAM Identity Center**, copiez l'URL du **IAM Identity Assertion Consumer Service (ACS) et l'URL** de l'émetteur du **IAM Identity Center**. Vous devrez les fournir URLs dans la console Google d'administration à l'étape suivante.
1. Laissez la page ouverte avec la console IAM Identity Center et revenez à la console Google d'administration. Vous devriez être sur la page de **détails d'Amazon Web Services - Service Provider**. Sélectionnez **Continuer**.
1. Sur la page de **détails du fournisseur** de services, entrez les valeurs de l'**URL ACS** et de **l'ID d'entité**. Vous avez copié ces valeurs à l'étape précédente et elles se trouvent dans la console IAM Identity Center.
+ Collez l'**URL du IAM Identity Center Assertion Consumer Service (ACS)** dans le champ **URL ACS**
+ Collez l'**URL de l'émetteur du IAM Identity Center** dans le champ **Entity ID**.
1. Sur la page de **détails du fournisseur** de services, complétez les champs sous le **nom ID** comme suit :
+ Pour le **format du nom et de l'identifiant**, sélectionnez **EMAIL**
+ Pour **Name ID**, sélectionnez **Informations de base > E-mail principal**
1. Sélectionnez **Continuer**.
1. Sur la page **Mappage** d'**attributs, sous Attributs**, choisissez **AJOUTER UN MAPPAGE**, puis configurez les champs suivants sous **Attribut de Google répertoire** :
+ Pour l'**attribut de l'`https://aws.amazon.com/SAML/Attributes/RoleSessionName`application**, sélectionnez le champ **Informations de base, e-mail principal** dans les **Google Directoryattributs**.
+ Pour l'**attribut de `https://aws.amazon.com/SAML/Attributes/Role` l'application**, sélectionnez n'importe quel **Google Directoryattribut**. Un attribut de Google répertoire peut être **Department**.
1. Choisissez **Finish**
1. Revenez à la console **IAM Identity Center** et choisissez **Next**. Sur la page **Vérifier et confirmer**, passez en revue les informations, puis saisissez **ACCEPT** dans l'espace prévu à cet effet. Choisissez **Modifier la source d'identité.**
Vous êtes maintenant prêt à activer l'application Amazon Web Services Google Workspace afin que vos utilisateurs puissent être connectés à IAM Identity Center.
## Étape 3 Google Workspace : Activez les applications
1. Retournez à la **console Google d'administration** et à votre AWS IAM Identity Center application, qui se trouvent sous **Applications** et **applications Web et mobiles**.
1. Dans le panneau **Accès utilisateur situé** à côté de **Accès utilisateur**, cliquez sur la flèche vers le bas pour étendre **l'accès utilisateur** afin d'afficher le panneau d'**état du service**.
1. Dans le panneau **d'état du service**, sélectionnez **Activé pour tout le monde**, puis sélectionnez **ENREGISTRER**.
**Note**
Pour respecter le principe du moindre privilège, nous vous recommandons de changer le **statut du service** **sur OFF pour tous** après avoir terminé ce didacticiel. Le service AWS doit être activé uniquement pour les utilisateurs ayant besoin d'un accès. Vous pouvez utiliser Google Workspace des groupes ou des unités organisationnelles pour donner aux utilisateurs l'accès à un sous-ensemble particulier de vos utilisateurs.
## Étape 4 : IAM Identity Center : configurer le provisionnement automatique d'IAM Identity Center
1. Retournez à la console IAM Identity Center.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. **Dans la boîte de dialogue de provisionnement automatique entrant**, copiez chacune des valeurs des options suivantes. À l'étape 5 de ce didacticiel, vous allez entrer ces valeurs pour configurer le provisionnement automatique dansGoogle Workspace.
1. Point de **terminaison SCIM** - Par exemple,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Double pile `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer.
1. Choisissez **Fermer**.
Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, à l'étape suivante, vous allez configurer le provisionnement automatique dans. Google Workspace
## Étape 5 Google Workspace : Configuration du provisionnement automatique
1. Retournez à la console Google d'administration et à votre AWS IAM Identity Center application, qui se trouvent sous **Applications** et **applications Web et mobiles**. Dans la section **Approvisionnement automatique**, choisissez **Configurer le provisionnement automatique**.
1. Dans la procédure précédente, vous avez copié la valeur du **jeton d'accès** dans la console IAM Identity Center. Collez cette valeur dans le champ du **jeton d'accès** et choisissez **Continuer**. Dans la procédure précédente, vous avez également copié la valeur du point de **terminaison SCIM** dans la console IAM Identity Center. Collez cette valeur dans le champ **URL du point de terminaison** et choisissez **Continuer**.
1. Vérifiez que tous les attributs obligatoires du centre d'identité IAM (ceux marqués d'un \$1) sont mappés aux Google Cloud Directory attributs. Si ce n'est pas le cas, cliquez sur la flèche vers le bas et mappez vers l'attribut approprié. Sélectionnez **Continuer**.
1. Dans la section **Provisioning Scope**, vous pouvez choisir un groupe avec votre Google Workspace annuaire pour fournir un accès à l'application Amazon Web Services. Ignorez cette étape et sélectionnez **Continuer**.
1. Dans la section **Déprovisionnement**, vous pouvez choisir comment répondre aux différents événements qui suppriment l'accès à un utilisateur. Pour chaque situation, vous pouvez spécifier le délai avant le début du déprovisionnement afin de :
+ dans les 24 heures
+ après une journée
+ après sept jours
+ après 30 jours
Chaque situation est assortie d'un délai pour suspendre l'accès à un compte et quand supprimer le compte.
**Astuce**
Prévoyez toujours plus de temps avant de supprimer le compte d'un utilisateur que pour le suspendre.
1. Choisissez **Finish** (Terminer). Vous êtes redirigé vers la page de l'application Amazon Web Services.
1. **Dans la section **Provisionnement automatique**, activez le commutateur pour le faire passer d'**Inactif** à Actif.**
**Note**
Le curseur d'activation est désactivé si IAM Identity Center n'est pas activé pour les utilisateurs. Choisissez **Accès utilisateur** et activez l'application pour activer le curseur.
1. Dans la boîte de dialogue de confirmation, choisissez **Activer**.
1. **Pour vérifier que les utilisateurs sont correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** La page **Utilisateurs** répertorie les utilisateurs de votre Google Workspace répertoire qui ont été créés par SCIM. Si les utilisateurs ne figurent pas encore dans la liste, il se peut que le provisionnement soit toujours en cours. Le provisionnement peut prendre jusqu'à 24 heures, mais dans la plupart des cas, il ne prend que quelques minutes. Assurez-vous d'actualiser la fenêtre du navigateur toutes les quelques minutes.
Sélectionnez un utilisateur et consultez ses informations. Les informations doivent correspondre à celles du Google Workspace répertoire.
**Félicitations \$1**
Vous avez correctement configuré une connexion SAML entre Google Workspace et AWS et vous avez vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans **IAM Identity Center**. Dans le cadre de ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur du centre d'identité IAM en lui accordant des autorisations administratives sur le compte de gestion.
## Transmission d'attributs pour le contrôle d'accès - *Facultatif*
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Attribuez l'accès à Comptes AWS
Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.
**Note**
Pour effectuer cette étape, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
### Étape 1 : IAM Identity Center : accordez aux Google Workspace utilisateurs l'accès aux comptes
1. Retournez à la console **IAM Identity Center**. Dans le volet de navigation d'IAM Identity Center, sous **Autorisations multi-comptes**, sélectionnez. **Comptes AWS**
1. Sur la **Comptes AWS**page, la **structure organisationnelle affiche la** racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez **Attribuer des utilisateurs ou des groupes**.
1. Le flux de travail **Attribuer des utilisateurs et des groupes** s'affiche. Il se compose de trois étapes :
1. Pour **l'étape 1 : Sélectionnez les utilisateurs et les groupes**, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez **Suivant**.
1. Pour **l'étape 2 : Sélectionnez des ensembles d'autorisations**, choisissez **Créer un ensemble d'autorisations** pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.
1. Pour **l'étape 1 : Sélectionnez le type d'ensemble d'autorisations**, procédez comme suit :
+ Dans **Type d'ensemble d'autorisations**, choisissez **Ensemble d'autorisations prédéfini**.
+ Dans **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez **AdministratorAccess**.
Choisissez **Suivant**.
1. Pour **l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations**, conservez les paramètres par défaut et choisissez **Next**.
Les paramètres par défaut créent un ensemble d'autorisations nommé *AdministratorAccess* avec une durée de session fixée à une heure.
1. Pour **l'étape 3 : révision et création**, vérifiez que le **type d'ensemble d'autorisations** utilise la politique AWS gérée **AdministratorAccess**. Choisissez **Créer**. Sur la page **Ensembles d'autorisations**, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.
1. Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, vous êtes toujours à l'**étape 2 : sélectionnez les ensembles d'autorisations** à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.
1. Dans la zone **Ensembles d'autorisations**, cliquez sur le bouton **Actualiser**. L'ensemble *AdministratorAccess* d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez **Next**.
1. Pour **l'étape 3 : vérifier et envoyer**, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez **Soumettre**.
La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.
Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le *AdministratorAccess* rôle.
**Note**
La synchronisation automatique SCIM depuis Google Workspace ne prend en charge que le provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Vous ne pouvez pas créer de groupes pour vos Google Workspace utilisateurs à l'aide du AWS Management Console. Après avoir configuré les utilisateurs, vous pouvez créer des groupes à l'aide de la commande AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) ou de l'API IAM. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Étape 2 Google Workspace : Confirmer l'accès Google Workspace des utilisateurs aux AWS ressources
1. Connectez-vous à Google l'aide d'un compte utilisateur de test. Pour savoir comment ajouter des utilisateursGoogle Workspace, consultez [Google Workspacela documentation](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Sélectionnez l'icône du Google apps lanceur (gaufre).
1. Faites défiler la liste des applications vers le bas où se trouvent vos Google Workspace applications personnalisées. L'application **Amazon Web Services** s'affiche.
1. Sélectionnez l'application **Amazon Web Services**. Vous êtes connecté au portail AWS d'accès et vous pouvez voir l' Compte AWS icône. Développez cette icône pour voir la liste des Comptes AWS objets auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.
1. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble **AdministratorAccess**d'autorisations.
1. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez indiqué que la console de gestion et l'accès par programmation devaient être activés. Ces deux options sont donc présentes. Sélectionnez **Console de gestion** pour ouvrir le AWS Management Console.
1. L'utilisateur est connecté à la console.
## Étapes suivantes
Maintenant que vous avez configuré Google Workspace en tant que fournisseur d'identité et que vous avez configuré les utilisateurs dans IAM Identity Center, vous pouvez :
+ Utilisez la commande AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) ou l'API IAM [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)pour créer des groupes pour vos utilisateurs.
Les groupes sont utiles lors de l'attribution de l'accès aux applications Comptes AWS et de leur attribution. Plutôt que d'affecter chaque utilisateur individuellement, vous accordez des autorisations à un groupe. Plus tard, lorsque vous ajoutez ou supprimez des utilisateurs d'un groupe, l'utilisateur obtient ou perd l'accès dynamique aux comptes et aux applications que vous avez affectés au groupe.
+ Configurez les autorisations en fonction des fonctions du travail, voir [Création d'un ensemble d'autorisations](howtocreatepermissionset.md).
Les ensembles d'autorisations définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et peuvent être fournis à une ou plusieurs personnes. Comptes AWS Vous pouvez attribuer plus d'un jeu d'autorisations à un utilisateur.
**Note**
En tant qu'administrateur du centre d'identité IAM, vous devrez parfois remplacer les anciens certificats IdP par des certificats plus récents. Par exemple, il se peut que vous deviez remplacer un certificat IdP lorsque la date d'expiration du certificat approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé rotation des certificats. Assurez-vous de vérifier comment [gérer les certificats SAML](managesamlcerts.md) pourGoogle Workspace.
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAMLGoogle Workspace, consultez les sections suivantes :
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ Pour le Google Workspace dépannage, consultez [Google Workspacela documentation](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA).
Les ressources suivantes peuvent vous aider à résoudre les problèmes lorsque vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique
# Utilisation d'IAM Identity Center pour vous connecter à votre plateforme d'JumpCloudannuaire
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations utilisateur depuis JumpCloud Directory Platform vers IAM Identity Center. Ce provisionnement utilise le protocole [SAML (Security Assertion Markup Language) 2.0.](scim-profile-saml.md) Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
Vous configurez cette connexion à JumpCloud l'aide de votre point de terminaison SCIM et de votre jeton d'accès IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec JumpCloud les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etJumpCloud.
Ce guide est basé sur JumpCloud la version de juin 2021. Les étapes à suivre pour les nouvelles versions peuvent varier. Ce guide contient quelques remarques concernant la configuration de l'authentification des utilisateurs via SAML.
Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs et des groupes depuis IAM Identity Center JumpCloud à l'aide du protocole SCIM.
**Note**
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations). Passez ensuite en revue les autres considérations dans la section suivante.
**Topics**
+ [Conditions préalables](#jumpcloud-prereqs)
+ [Considérations relatives au SCIM](#jumpcloud-scim)
+ [Étape 1 : activer le provisionnement dans IAM Identity Center](#jumpcloud-step1)
+ [Étape 2 : configurer le provisionnement dans JumpCloud](#jumpcloud-step2)
+ [(Facultatif) Étape 3 : Configuration des attributs utilisateur JumpCloud pour le contrôle d'accès dans IAM Identity Center](#jumpcloud-step3)
+ [(Facultatif) Transmission d'attributs pour le contrôle d'accès](#jumpcloud-passing-abac)
## Conditions préalables
Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ JumpCloudabonnement ou essai gratuit. Pour vous inscrire à un essai gratuit, rendez-vous sur [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup).
+ Un compte compatible avec IAM Identity Center ([gratuit](https://aws.amazon.com/single-sign-on/)). Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Une connexion SAML entre votre JumpCloud compte et IAM Identity Center, comme décrit dans la [JumpClouddocumentation d'IAM](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO) Identity Center.
+ Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et à Comptes AWS partir de ces régions. Pour en savoir plus, consultez [Étape 3 : Mettre à jour la configuration de l'IdP externe](replicate-to-additional-region.md#update-external-idp-setup). Consultez la JumpCloud documentation pour plus de détails.
+ Associez le connecteur IAM Identity Center aux groupes auxquels vous souhaitez autoriser l'accès aux AWS comptes.
## Considérations relatives au SCIM
Les points suivants sont à prendre en compte lors de l'utilisation JumpCloud de la fédération pour IAM Identity Center.
+ Seuls les groupes associés au connecteur AWS Single Sign-On JumpCloud seront synchronisés avec SCIM.
+ Un seul attribut de numéro de téléphone peut être synchronisé et l'attribut par défaut est « téléphone professionnel ».
+ Les noms et prénoms des utilisateurs de l'JumpCloudannuaire doivent être configurés pour être synchronisés avec IAM Identity Center avec SCIM.
+ Les attributs sont toujours synchronisés si l'utilisateur est désactivé dans IAM Identity Center mais qu'il est toujours activé. JumpCloud
+ Vous pouvez choisir d'activer la synchronisation SCIM uniquement pour les informations utilisateur en décochant la case « Activer la gestion des groupes d'utilisateurs et de l'appartenance aux groupes » dans le connecteur.
## Étape 1 : activer le provisionnement dans IAM Identity Center
Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide du connecteur JumpCloud IAM Identity Center. Ces étapes sont décrites dans la procédure suivante.
## Étape 2 : configurer le provisionnement dans JumpCloud
Utilisez la procédure suivante dans le connecteur JumpCloud IAM Identity Center pour activer le provisionnement avec IAM Identity Center. Cette procédure suppose que vous avez déjà ajouté le connecteur JumpCloud IAM Identity Center à votre portail d'JumpCloudadministration et à vos groupes. Si vous ne l'avez pas encore fait, reportez-vous à cette procédure[Conditions préalables](#jumpcloud-prereqs), puis exécutez-la pour configurer le provisionnement SCIM.
**Pour configurer le provisionnement dans JumpCloud**
1. Ouvrez le connecteur JumpCloud IAM Identity Center que vous avez installé dans le cadre de la configuration de SAML pour JumpCloud (**Authentification utilisateur** > **IAM Identity** Center). Consultez [Conditions préalables](#jumpcloud-prereqs).
1. Choisissez le connecteur **IAM Identity Center**, puis le troisième onglet **Gestion des identités**.
1. Cochez la case **Activer la gestion des groupes d'utilisateurs et de l'appartenance aux groupes dans cette application** si vous souhaitez que les groupes soient synchronisés avec SCIM.
1. Cliquez sur **Configurer**.
1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** dans IAM Identity Center. Collez cette valeur dans le champ **URL de base** du connecteur JumpCloud IAM Identity Center.
1. À partir de la procédure précédente, vous avez copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **Token Key** du connecteur JumpCloud IAM Identity Center.
1. Cliquez sur **Activer** pour appliquer la configuration.
1. Assurez-vous d'avoir un indicateur vert à côté de l'**authentification unique activée**.
1. Passez au quatrième onglet **Groupes d'utilisateurs** et cochez les groupes que vous souhaitez approvisionner avec SCIM.
1. Cliquez sur **Enregistrer** en bas de page une fois que vous avez terminé.
1. **Pour vérifier que les utilisateurs ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Les utilisateurs synchronisés JumpCloud apparaissent sur la page **Utilisateurs**. Ces utilisateurs peuvent désormais être affectés à des comptes au sein d'IAM Identity Center.
## (Facultatif) Étape 3 : Configuration des attributs utilisateur JumpCloud pour le contrôle d'accès dans IAM Identity Center
Il s'agit d'une procédure facultative JumpCloud si vous choisissez de configurer des attributs pour IAM Identity Center afin de gérer l'accès à vos AWS ressources. Les attributs que vous définissez JumpCloud sont transmis dans une assertion SAML à IAM Identity Center. Vous créez ensuite un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisJumpCloud.
Avant de commencer cette procédure, vous devez d'abord activer la fonctionnalité [Attributs pour le contrôle d'accès](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html). Pour plus d'informations sur la procédure à suivre, voir [Activer et configurer les attributs pour le contrôle d'accès](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html).
****Pour configurer les attributs utilisateur JumpCloud pour le contrôle d'accès dans IAM Identity Center****
1. Ouvrez le connecteur JumpCloud IAM Identity Center que vous avez installé dans le cadre de la configuration de SAML pour JumpCloud (**Authentification utilisateur** > **IAM Identity** Center).
1. Choisissez le connecteur **IAM Identity Center**. Choisissez ensuite le deuxième onglet **IAM Identity Center**.
1. Au bas de cet onglet, vous trouverez le **mappage des attributs utilisateur**. Choisissez **Ajouter un nouvel attribut**, puis procédez comme suit : vous devez effectuer ces étapes pour chaque attribut que vous allez ajouter afin de l'utiliser dans IAM Identity Center à des fins de contrôle d'accès.
1. Dans le champ **Nom de l'attribut du fournisseur de services**, saisissez `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` Remplacer ` AttributeName ` par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `.
1. Dans le champ **Nom de JumpCloud l'attribut**, sélectionnez les attributs utilisateur de votre JumpCloud répertoire. Par exemple, **Email (Work)**.
1. Choisissez **Enregistrer**.
## (Facultatif) Transmission d'attributs pour le contrôle d'accès
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
# Configurer SAML et SCIM avec un IAM Microsoft Entra ID Identity Center
AWS IAM Identity Center prend en charge l'intégration avec le [langage SAML (Security Assertion Markup Language) 2.0](scim-profile-saml.md) ainsi que le [provisionnement automatique](provision-automatically.md) (synchronisation) des informations sur les utilisateurs et les groupes Microsoft Entra ID (anciennement connu sous le nom de Azure Active Directory ouAzure AD) dans IAM Identity Center à l'aide du protocole [System for Cross-domain Identity Management (](scim-profile-saml.md#scim-profile)SCIM) 2.0. Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
**Objectif**
Dans ce didacticiel, vous allez configurer un laboratoire de test et configurer une connexion SAML et un provisionnement SCIM entre IAM Identity Center Microsoft Entra ID et IAM. Au cours des étapes de préparation initiales, vous allez créer un utilisateur de test (Nikki Wolf) à la fois Microsoft Entra ID dans IAM Identity Center, que vous utiliserez pour tester la connexion SAML dans les deux sens. Plus tard, dans le cadre des étapes SCIM, vous créerez un autre utilisateur de test (Richard Roe) pour vérifier que les nouveaux attributs Microsoft Entra ID sont synchronisés avec IAM Identity Center comme prévu.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez d'abord configurer les éléments suivants :
+ Un Microsoft Entra ID locataire. Pour plus d'informations, voir [Démarrage rapide : configurer un locataire](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) dans Microsoft la documentation.
+ Un compte AWS IAM Identity Center activé. Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) dans le *guide de l'AWS IAM Identity Center utilisateur*.
## Considérations
Voici quelques considérations importantes Microsoft Entra ID qui peuvent affecter la manière dont vous prévoyez de mettre en œuvre le [provisionnement automatique](provision-automatically.md) avec IAM Identity Center dans votre environnement de production à l'aide du protocole SCIM v2.
**Provisionnement automatique**
Avant de commencer à déployer le SCIM, nous vous recommandons de procéder à un premier examen[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations).
**Attributs pour le contrôle d'accès**
Les attributs de contrôle d'accès sont utilisés dans les politiques d'autorisation qui déterminent qui, dans votre source d'identité, peut accéder à vos AWS ressources. Si un attribut est supprimé d'un utilisateur dansMicrosoft Entra ID, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dansMicrosoft Entra ID. Si un attribut est remplacé par une valeur différente (non vide) pour un utilisateur, cette modification sera synchronisée avec IAM Identity Center.
**Groupes imbriqués**
Le service de provisionnement des Microsoft Entra ID utilisateurs ne peut ni lire ni approvisionner les utilisateurs dans des groupes imbriqués. Seuls les utilisateurs qui sont membres immédiats d'un groupe explicitement assigné peuvent être lus et approvisionnés. Microsoft Entra IDne décompresse pas de manière récursive les appartenances aux groupes ou utilisateurs assignés indirectement (utilisateurs ou groupes membres d'un groupe directement attribué). Pour plus d'informations, consultez la section [Délimitation basée sur les assignations dans la documentation](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping). Microsoft Vous pouvez également utiliser la [synchronisation AD configurable d'IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) pour intégrer Active Directory des groupes à IAM Identity Center.
**Groupes dynamiques**
Le service de provisionnement des Microsoft Entra ID utilisateurs peut lire et provisionner les utilisateurs dans des [groupes dynamiques](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Vous trouverez ci-dessous un exemple illustrant la structure des utilisateurs et des groupes lors de l'utilisation de groupes dynamiques et la manière dont ils sont affichés dans IAM Identity Center. Ces utilisateurs et groupes ont été approvisionnés depuis Microsoft Entra ID IAM Identity Center via SCIM.
Par exemple, si Microsoft Entra ID la structure des groupes dynamiques est la suivante :
1. Groupe A avec les membres ua1, ua2
1. Groupe B avec membres ub1
1. Groupe C avec membres uc1
1. Groupe K avec une règle pour inclure les membres des groupes A, B, C
1. Groupe L avec une règle pour inclure les membres des groupes B et C
Une fois que les informations sur les utilisateurs et les groupes ont été Microsoft Entra ID fournies depuis IAM Identity Center via SCIM, la structure sera la suivante :
1. Groupe A avec les membres ua1, ua2
1. Groupe B avec membres ub1
1. Groupe C avec membres uc1
1. Groupe K avec les membres ua1, ua2, ub1, uc1
1. Groupe L avec membres ub1, uc1
Lorsque vous configurez le provisionnement automatique à l'aide de groupes dynamiques, tenez compte des considérations suivantes.
+ Un groupe dynamique peut inclure un groupe imbriqué. Cependant, le service de Microsoft Entra ID provisionnement n'aplatit pas le groupe imbriqué. Par exemple, si vous avez la Microsoft Entra ID structure suivante pour les groupes dynamiques :
+ Le groupe A est le parent du groupe B.
+ Le groupe A compte ua1 comme membre.
+ Le groupe B a ub1 comme membre.
Le groupe dynamique qui inclut le groupe A inclura uniquement les membres directs du groupe A (c'est-à-dire ua1). Il n'inclura pas de manière récursive les membres du groupe B.
+ Les groupes dynamiques ne peuvent pas contenir d'autres groupes dynamiques. Pour plus d'informations, consultez la section [Limitations relatives à la prévisualisation](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) dans la Microsoft documentation.
## Étape 1 : préparer votre client Microsoft
Au cours de cette étape, vous allez découvrir comment installer et configurer votre application AWS IAM Identity Center d'entreprise et comment attribuer l'accès à un nouvel utilisateur de Microsoft Entra ID test.
------
#### [ Step 1.1 > ]
**Étape 1.1 : Configuration de l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID**
Dans cette procédure, vous allez installer l'application AWS IAM Identity Center d'entreprise dansMicrosoft Entra ID. Vous aurez besoin de cette application ultérieurement pour configurer votre connexion SAML avec AWS.
1. Connectez-vous au [centre d'administration Microsoft Entra](https://entra.microsoft.com/) en tant qu'administrateur d'applications cloud au moins.
1. Accédez à **Identité > Applications > Applications d'entreprise**, puis sélectionnez **Nouvelle application**.
1. Sur la page **Parcourir la galerie Microsoft Entra**, entrez ****AWS IAM Identity Center****dans le champ de recherche.
1. Sélectionnez **AWS IAM Identity Center**l'un des résultats.
1. Choisissez **Créer**.
------
#### [ Step 1.2 > ]
**Étape 1.2 : créer un utilisateur de test dans Microsoft Entra ID**
Nikki Wolf est le nom de l'utilisateur de Microsoft Entra ID test que vous allez créer dans cette procédure.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Utilisateurs > Tous les utilisateurs**.
1. Sélectionnez **Nouvel utilisateur**, puis choisissez **Créer un nouvel utilisateur** en haut de l'écran.
1. Dans **Nom d'utilisateur principal**, entrez ****NikkiWolf****, puis sélectionnez le domaine et l'extension de votre choix. Par exemple, *NikkiWolf*@*example.org*.
1. Dans **Nom d'affichage**, entrez ****NikkiWolf****.
1. Dans **Mot de passe**, entrez un mot de passe fort ou sélectionnez l'icône en forme d'œil pour afficher le mot de passe généré automatiquement, puis copiez ou notez la valeur affichée.
1. Choisissez **Propriétés**, dans **Prénom**, entrez ****Nikki****. Dans **Nom de famille**, entrez ****Wolf****.
1. Choisissez **Réviser \$1 créer**, puis sélectionnez **Créer**.
------
#### [ Step 1.3 ]
**Étape 1.3 : Testez l'expérience de Nikki avant d'attribuer ses autorisations à AWS IAM Identity Center**
Au cours de cette procédure, vous allez vérifier ce que Nikki peut connecter avec succès à son [portail Microsoft My Account](https://myaccount.microsoft.com/).
1. Dans le même navigateur, ouvrez un nouvel onglet, accédez à la page de connexion au [portail Mon compte](https://myaccount.microsoft.com/) et saisissez l'adresse e-mail complète de Nikki. Par exemple, *NikkiWolf*@*example.org*.
1. Lorsque vous y êtes invité, entrez le mot de passe de Nikki, puis choisissez **Se connecter**. S'il s'agit d'un mot de passe généré automatiquement, vous serez invité à le modifier.
1. Sur la page **Action requise**, choisissez **Demander plus tard** pour ignorer l'invite à utiliser des méthodes de sécurité supplémentaires.
1. Sur la page **Mon compte**, dans le volet de navigation de gauche, sélectionnez **Mes applications**. Notez qu'à part **les compléments**, aucune application n'est affichée pour le moment. Vous allez ajouter une **AWS IAM Identity Center**application qui apparaîtra ici lors d'une étape ultérieure.
------
#### [ Step 1.4 ]
**Étape 1.4 : Attribuer des autorisations à Nikki dans Microsoft Entra ID**
Maintenant que vous avez vérifié que Nikki peut accéder correctement au **portail Mon compte**, suivez cette procédure pour attribuer son utilisateur à l'**AWS IAM Identity Center**application.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis **AWS IAM Identity Center**choisissez dans la liste.
1. Sur la gauche, sélectionnez **Utilisateurs et groupes**.
1. Choisissez **Add user/group** (Ajouter un utilisateur/groupe). Vous pouvez ignorer le message indiquant que les groupes ne sont pas disponibles pour l'attribution. Ce didacticiel n'utilise pas de groupes pour les devoirs.
1. Sur la page **Ajouter une attribution**, sous **Utilisateurs**, sélectionnez **Aucune sélection**.
1. Sélectionnez **NikkiWolf**, puis sélectionnez **Sélectionner**.
1. Sur la page **Ajouter une affectation**, choisissez **Attribuer**. NikkiWolf apparaît désormais dans la liste des utilisateurs assignés à l'**AWS IAM Identity Center**application.
------
## Étape 2 : Préparez votre AWS compte
Au cours de cette étape, vous découvrirez comment configurer les autorisations **IAM Identity Center**d'accès (via un ensemble d'autorisations), créer manuellement un utilisateur Nikki Wolf correspondant et lui attribuer les autorisations nécessaires pour administrer les ressources dans AWS.
------
#### [ Step 2.1 > ]
**Étape 2.1 : Création d'un ensemble d' RegionalAdmin autorisations dans IAM Identity Center**
Cet ensemble d'autorisations sera utilisé pour accorder à Nikki les autorisations de AWS compte nécessaires pour gérer les régions depuis la page **Compte** du AWS Management Console. Toutes les autres autorisations permettant de consulter ou de gérer d'autres informations relatives au compte de Nikki sont refusées par défaut.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sous Autorisations **multi-comptes, choisissez **Ensembles d'**autorisations**.
1. Choisissez **Create permission set (Créer un jeu d'autorisations)**.
1. Sur la page **Sélectionner le type d'ensemble d'autorisations**, sélectionnez **Ensemble d'autorisations personnalisé**, puis cliquez sur **Suivant**.
1. Sélectionnez **Stratégie intégrée** pour l'étendre, puis créez une politique pour l'ensemble d'autorisations en suivant les étapes suivantes :
1. Choisissez **Ajouter une nouvelle déclaration** pour créer une déclaration de politique.
1. Sous **Modifier le relevé**, sélectionnez **Compte** dans la liste, puis cochez les cases suivantes.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. À côté de **Ajouter une ressource**, choisissez **Ajouter**.
1. Sur la page **Ajouter une ressource**, sous **Type de ressource**, sélectionnez **Toutes les ressources**, puis choisissez **Ajouter une ressource**. Vérifiez que votre politique ressemble à ce qui suit :
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Choisissez **Suivant**.
1. Sur la page **Spécifier les détails de l'ensemble** d'**autorisations, sous Nom du jeu** d'autorisations ****RegionalAdmin****, entrez, puis choisissez **Suivant**.
1. Sur la page **Review and create** (Vérifier et créer), choisissez **Create** (Créer). Vous devriez **RegionalAdmin**apparaître dans la liste des ensembles d'autorisations.
------
#### [ Step 2.2 > ]
**Étape 2.2 : créer un NikkiWolf utilisateur correspondant dans IAM Identity Center**
Étant donné que le protocole SAML ne fournit aucun mécanisme permettant d'interroger l'IdP Microsoft Entra ID () et de créer automatiquement des utilisateurs ici dans IAM Identity Center, utilisez la procédure suivante pour créer manuellement un utilisateur dans IAM Identity Center qui reflète les principaux attributs de l'utilisateur Nikki Wolfs dans. Microsoft Entra ID
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Utilisateurs**, choisissez **Ajouter un utilisateur**, puis fournissez les informations suivantes :
1. Pour le **nom d'utilisateur** et l'**adresse e-mail** : entrez le même ****NikkiWolf**@ *yourcompanydomain.extension*** que celui que vous avez utilisé lors de la création de votre Microsoft Entra ID utilisateur. Par exemple, *NikkiWolf*@*example.org*.
1. **Confirmer l'adresse e-mail** — Entrez à nouveau l'adresse e-mail de l'étape précédente
1. **Prénom** — Entrez ****Nikki****
1. **Nom de famille** — Entrez ****Wolf****
1. **Nom d'affichage** — Entrez ****Nikki Wolf****
1. Choisissez **Suivant** deux fois, puis sélectionnez **Ajouter un utilisateur**.
1. Sélectionnez **Fermer**.
------
#### [ Step 2.3 ]
**Étape 2.3 : Attribuer Nikki aux RegionalAdmin autorisations définies dans IAM Identity Center**
Vous trouvez ici les régions Compte AWS dans lesquelles Nikki administrera les régions, puis vous lui attribuez les autorisations nécessaires pour qu'elle puisse accéder correctement au portail AWS d'accès.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**.
1. Cochez la case à côté du nom du compte (par exemple,*Sandbox*) auquel vous souhaitez accorder à Nikki l'accès pour gérer les régions, puis choisissez **Attribuer des utilisateurs et** des groupes.
1. Sur la page **Attribuer des utilisateurs et des groupes**, choisissez l'onglet **Utilisateurs**, recherchez et cochez la case à côté de Nikki, puis choisissez **Suivant**.
1.
**Example**
1. Sur la page **Révision et envoi**, passez en revue vos sélections, puis choisissez **Soumettre**.
------
## Étape 3 : configurer et tester votre connexion SAML
Au cours de cette étape, vous configurez votre connexion SAML à l'aide de l'application AWS IAM Identity Center d'entreprise Microsoft Entra ID ainsi que des paramètres IdP externes dans IAM Identity Center.
------
#### [ Step 3.1 > ]
**Étape 3.1 : Collecter les métadonnées des fournisseurs de services requises auprès d'IAM Identity Center**
Au cours de cette étape, vous lancerez l'assistant de **modification de la source** d'identité depuis la console IAM Identity Center et récupérerez le fichier de métadonnées et l'URL de connexion AWS spécifique que vous devrez saisir lors de la configuration de la connexion Microsoft Entra ID à l'étape suivante.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Modifier la source d'identité**.
1. Sur la page **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. Sur la page **Configurer le fournisseur d'identité externe**, sous **Métadonnées du fournisseur de services**, choisissez **Default IPv4** ou **Dual-Stack**. Vous pouvez télécharger le fichier de métadonnées du fournisseur de services après avoir effectué le changement de source d'identité.
1. Dans la même section, recherchez la valeur de l'**URL de connexion AWS au portail d'accès** et copiez-la. Vous devrez saisir cette valeur lorsque vous y serez invité à l'étape suivante.
1. Laissez cette page ouverte et passez à l'étape suivante (**`Step 3.2`**) pour configurer l'application AWS IAM Identity Center d'entreprise dansMicrosoft Entra ID. Plus tard, vous reviendrez sur cette page pour terminer le processus.
------
#### [ Step 3.2 > ]
**Étape 3.2 : Configuration de l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID**
Cette procédure établit la moitié de la connexion SAML côté Microsoft en utilisant les valeurs du fichier de métadonnées et de l'URL de connexion que vous avez obtenues à l'étape précédente.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Sur la gauche, choisissez **2. Configurez l'authentification unique**.
1. **Sur la page **Configurer l'authentification unique avec SAML**, choisissez SAML.** Choisissez ensuite **Télécharger le fichier de métadonnées**, choisissez l'icône du dossier, sélectionnez le fichier de métadonnées du fournisseur de services que vous avez téléchargé à l'étape précédente, puis choisissez **Ajouter**.
1. Sur la page de **configuration SAML de base**, vérifiez que les valeurs de l'**identifiant** et de l'URL de **réponse (URL du service client d'assertion)** pointent désormais vers des points de terminaison. AWS
+ **Identifiant** : il s'agit de l'**URL de l'émetteur** provenant d'IAM Identity Center. La même valeur s'applique, que vous utilisiez des points de IPv4 terminaison à double pile ou uniquement.
+ URL de **réponse (URL d'Assertion Consumer Service)** : les valeurs indiquées ici incluent à la fois les points de terminaison à double IPv4 pile et les points de terminaison à double pile provenant de toutes les régions activées de votre centre d'identité IAM. Vous pouvez utiliser l'URL ACS de la région principale comme URL par défaut afin que les utilisateurs soient redirigés vers la région principale lorsqu'ils lancent l'application Amazon Web ServicesMicrosoft Entra ID. Pour plus d'informations sur ACS URLs, voir[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
+ (Facultatif) Si vous avez répliqué IAM Identity Center dans d'autres régions, vous pouvez également créer une application de favoris Microsoft Entra ID pour le portail AWS d'accès de chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deMicrosoft Entra ID. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansMicrosoft Entra ID. Consultez [Microsoft Entra IDla documentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) pour plus de détails. Si vous prévoyez de répliquer IAM Identity Center dans d'autres régions ultérieurement, consultez la page [Microsoft Entra IDconfiguration pour l'accès à des régions supplémentaires](#gs-microsoft-entra-multi-region) pour savoir comment activer l'accès aux régions supplémentaires après cette configuration initiale.
1. **Sous URL de connexion (facultatif)**, collez la valeur de l'**URL de connexion AWS au portail d'accès** que vous avez copiée à l'étape précédente (**`Step 3.1`**), choisissez **Enregistrer**, puis **X** pour fermer la fenêtre.
1. Si vous êtes invité à tester l'authentification unique avec AWS IAM Identity Center, choisissez **Non, je testerai plus tard**. Vous effectuerez cette vérification dans une étape ultérieure.
1. Sur la page **Configurer l'authentification unique avec SAML**, dans la section **Certificats SAML**, à côté de **Federation Metadata XML**, choisissez **Télécharger** pour enregistrer le fichier de métadonnées sur votre système. Vous devrez télécharger ce fichier lorsque vous y serez invité à l'étape suivante.
------
#### [ Step 3.3 > ]
**Étape 3.3 : Configuration de l'IdP Microsoft Entra ID externe dans AWS IAM Identity Center**
Ici, vous allez revenir à l'assistant de **modification de la source d'identité** de la console IAM Identity Center pour terminer la seconde moitié de la connexion SAML. AWS
1. Revenez à la session de navigateur que vous avez laissée ouverte **`Step 3.1`**dans la console IAM Identity Center.
1. **Sur la page **Configurer le fournisseur d'identité externe**, dans la section **Métadonnées du fournisseur d'identité**, sous **Métadonnées IDP SAML**, cliquez sur le bouton **Choisir un fichier**, sélectionnez le fichier de métadonnées du fournisseur d'identité à partir duquel vous avez téléchargé Microsoft Entra ID à l'étape précédente, puis choisissez Ouvrir.**
1. Choisissez **Suivant**.
1. Après avoir lu la clause de non-responsabilité et être prêt à continuer, entrez ****ACCEPT****.
1. Choisissez **Modifier la source d'identité** pour appliquer vos modifications.
------
#### [ Step 3.4 > ]
**Étape 3.4 : Vérifiez que Nikki est redirigée vers le portail AWS d'accès**
Dans cette procédure, vous allez tester la connexion SAML en vous connectant au **portail My Account** de Microsoft avec les informations d'identification de Nikki. Une fois authentifié, vous allez sélectionner l' AWS IAM Identity Center application qui redirigera Nikki vers le portail d' AWS accès.
1. Accédez à la page de connexion au [portail Mon compte](https://myaccount.microsoft.com/) et saisissez l'adresse e-mail complète de Nikki. Par exemple, ***NikkiWolf**@**example.org*.
1. Lorsque vous y êtes invité, entrez le mot de passe de Nikki, puis choisissez **Se connecter**.
1. Sur la page **Mon compte**, dans le volet de navigation de gauche, sélectionnez **Mes applications**.
1. Sur la page **Mes applications**, sélectionnez l'application nommée **AWS IAM Identity Center**. Cela devrait vous demander une authentification supplémentaire.
1. Sur la page de connexion de Microsoft, choisissez vos NikkiWolf informations d'identification. Si vous êtes invité une deuxième fois à vous authentifier, sélectionnez à nouveau vos NikkiWolf informations d'identification. Cela devrait vous rediriger automatiquement vers le portail AWS d'accès.
**Astuce**
Si vous n'êtes pas redirigé correctement, assurez-vous que la valeur de l'**URL de connexion AWS au portail d'accès** que vous avez saisie **`Step 3.2`**correspond à la valeur à partir **`Step 3.1`**de laquelle vous l'avez copiée.
1. Vérifiez que votre Comptes AWS écran.
**Astuce**
Si la page est vide et ne s' Comptes AWS affiche pas, vérifiez que Nikki a bien été affectée à l'ensemble **RegionalAdmin**d'autorisations (voir **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Étape 3.5 : Testez le niveau d'accès de Nikki pour la gérer Compte AWS**
Au cours de cette étape, vous allez vérifier le niveau d'accès de Nikki pour gérer les paramètres régionaux pour elle Compte AWS. Nikki ne doit disposer de privilèges d'administrateur suffisants que pour gérer les régions depuis la page **des comptes**.
1. Dans le portail AWS d'accès, cliquez sur l'onglet **Comptes** pour afficher la liste des comptes. Les noms de compte IDs, les comptes et les adresses e-mail associés à tous les comptes pour lesquels vous avez défini des ensembles d'autorisations apparaissent.
1. Choisissez le nom du compte (par exemple*Sandbox*) sur lequel vous avez appliqué l'ensemble d'autorisations (voir **`Step 2.3`**). Cela élargira la liste des ensembles d'autorisations parmi lesquels Nikki pourra choisir pour gérer son compte.
1. Ensuite, **RegionalAdmin**choisissez **la console de gestion** pour assumer le rôle que vous avez défini dans le jeu **RegionalAdmin**d'autorisations. Cela vous redirigera vers la page d' AWS Management Console accueil.
1. **Dans le coin supérieur droit de la console, choisissez le nom de votre compte, puis sélectionnez Compte.** Vous serez redirigé vers la page du **compte**. Notez que toutes les autres sections de cette page affichent un message indiquant que vous ne disposez pas des autorisations nécessaires pour afficher ou modifier ces paramètres.
1. Sur la page **Compte**, faites défiler la page jusqu'à la section **AWS Régions**. Cochez une case pour n'importe quelle région disponible dans le tableau. Notez que Nikki dispose des autorisations nécessaires pour **activer** ou **désactiver** la liste des régions pour son compte, comme prévu.
**Bien fait \$1**
Les étapes 1 à 3 vous ont aidé à implémenter et à tester avec succès votre connexion SAML. Maintenant, pour terminer le didacticiel, nous vous encourageons à passer à l'étape 4 pour implémenter le provisionnement automatique.
------
## Étape 4 : configurer et tester votre synchronisation SCIM
Au cours de cette étape, vous allez configurer le [provisionnement automatique](provision-automatically.md) (synchronisation) des informations utilisateur depuis Microsoft Entra ID IAM Identity Center à l'aide du protocole SCIM v2.0. Vous configurez cette connexion en Microsoft Entra ID utilisant votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center.
Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec Microsoft Entra ID les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etMicrosoft Entra ID.
Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs résidant principalement dans IAM Identity Center Microsoft Entra ID à l'aide de l'application IAM Identity Center dans. Microsoft Entra ID
------
#### [ Step 4.1 > ]
**Étape 4.1 : créer un deuxième utilisateur de test dans Microsoft Entra ID**
À des fins de test, vous allez créer un nouvel utilisateur (Richard Roe) dansMicrosoft Entra ID. Plus tard, après avoir configuré la synchronisation SCIM, vous testerez que cet utilisateur et tous les attributs pertinents ont été correctement synchronisés avec IAM Identity Center.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Utilisateurs > Tous les utilisateurs**.
1. Sélectionnez **Nouvel utilisateur**, puis choisissez **Créer un nouvel utilisateur** en haut de l'écran.
1. Dans **Nom d'utilisateur principal**, entrez ****RichRoe****, puis sélectionnez le domaine et l'extension de votre choix. Par exemple, *RichRoe*@*example.org*.
1. Dans **Nom d'affichage**, entrez ****RichRoe****.
1. Dans **Mot de passe**, entrez un mot de passe fort ou sélectionnez l'icône en forme d'œil pour afficher le mot de passe généré automatiquement, puis copiez ou notez la valeur affichée.
1. Choisissez **Propriétés**, puis indiquez les valeurs suivantes :
+ **Prénom** - Entrez ****Richard****
+ **Nom de famille** - Enter ****Roe****
+ **Intitulé du poste** - Entrez ****Marketing Lead****
+ **Département** - Entrez ****Sales****
+ **ID d'employé** - Entrez ****12345****
1. Choisissez **Réviser \$1 créer**, puis sélectionnez **Créer**.
------
#### [ Step 4.2 > ]
**Étape 4.2 : activer le provisionnement automatique dans IAM Identity Center**
Dans cette procédure, vous allez utiliser la console IAM Identity Center pour activer le provisionnement automatique des utilisateurs et des groupes provenant d'IAM Microsoft Entra ID Identity Center.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), puis sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, sous l'onglet **Source d'identité**, notez que la **méthode de provisionnement** est définie sur **Manuel**.
1. Localisez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. **Dans la boîte de dialogue de provisionnement automatique entrant**, copiez chacune des valeurs des options suivantes. Vous devrez les coller à l'étape suivante lorsque vous configurerez le provisionnement dansMicrosoft Entra ID.
1. Point de **terminaison SCIM** - Par exemple,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Double pile : `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer.
1. Choisissez **Fermer**.
1. Dans l'onglet **Source d'identité**, notez que la **méthode de provisionnement** est désormais définie sur **SCIM**.
------
#### [ Step 4.3 > ]
**Étape 4.3 : Configuration du provisionnement automatique dans Microsoft Entra ID**
Maintenant que votre utilisateur de RichRoe test est en place et que vous avez activé le SCIM dans IAM Identity Center, vous pouvez procéder à la configuration des paramètres de synchronisation SCIM dans. Microsoft Entra ID
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Choisissez **Provisioning**, sous **Manage**, choisissez à nouveau **Provisioning**.
1. En **mode de provisionnement**, sélectionnez **Automatique**.
1. Sous **Informations d'identification de l'administrateur**, dans **URL du locataire**, collez la valeur de l'URL du point de **terminaison SCIM** que vous avez copiée **`Step 4.2`**précédemment. Dans **Secret Token**, collez la valeur du **jeton d'accès**.
1. Choisissez **Test Connection (Connexion test)**. Vous devriez voir un message indiquant que les informations d'identification testées ont été correctement autorisées pour activer le provisionnement.
1. Choisissez **Enregistrer**.
1. Sous **Gérer**, sélectionnez **Utilisateurs et groupes**, puis choisissez **Ajouter un utilisateur/un** groupe.
1. Sur la page **Ajouter une attribution**, sous **Utilisateurs**, sélectionnez **Aucune sélection**.
1. Sélectionnez **RichRoe**, puis sélectionnez **Sélectionner**.
1. Sur la page **Add Assignment** (Ajouter une affectation), sélectionnez **Assign** (Affecter).
1. Choisissez **Vue d'ensemble**, puis sélectionnez **Démarrer le provisionnement**.
------
#### [ Step 4.4 ]
**Étape 4.4 : vérifier que la synchronisation a bien eu lieu**
Dans cette section, vous allez vérifier que l'utilisateur de Richard a été correctement configuré et que tous les attributs sont affichés dans IAM Identity Center.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Users**.
1. Sur la page **Utilisateurs**, vous devriez voir votre nom **RichRoe**d'utilisateur affiché. Notez que dans la colonne **Created by**, la valeur est définie sur **SCIM**.
1. Choisissez **RichRoe**, sous **Profil, de** vérifier que les attributs suivants ont été copiés depuisMicrosoft Entra ID.
+ **Prénom** - ****Richard****
+ **Nom de famille** - ****Roe****
+ **Département** - ****Sales****
+ **Titre** - ****Marketing Lead****
+ **Numéro d'employé** - ****12345****
Maintenant que l'utilisateur de Richard a été créé dans IAM Identity Center, vous pouvez l'attribuer à n'importe quel ensemble d'autorisations afin de contrôler le niveau d'accès dont il dispose à vos AWS ressources. Par exemple, vous pouvez attribuer **RichRoe**à l'ensemble d'**RegionalAdmin**autorisations que vous avez utilisé précédemment pour accorder à Nikki les autorisations nécessaires pour gérer les régions (voir **`Step 2.3`**), puis tester son niveau d'accès à l'aide **`Step 3.5`**de.
**Félicitations \$1**
Vous avez correctement configuré une connexion SAML entre Microsoft AWS et vous avez vérifié que le provisionnement automatique fonctionne pour que tout reste synchronisé. Vous pouvez désormais appliquer ce que vous avez appris pour configurer plus facilement votre environnement de production.
------
## *Étape 5 : Configuration de l'ABAC - Facultatif*
Maintenant que vous avez correctement configuré SAML et SCIM, vous pouvez éventuellement choisir de configurer le contrôle d'accès basé sur les attributs (ABAC). L'ABAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs.
AvecMicrosoft Entra ID, vous pouvez utiliser l'une des deux méthodes suivantes pour configurer ABAC afin de l'utiliser avec IAM Identity Center.
------
#### [ Configure user attributes in Identifiant Microsoft Entra for access control in IAM Identity Center ]
**Configuration des attributs utilisateur Microsoft Entra ID pour le contrôle d'accès dans IAM Identity Center**
Dans la procédure suivante, vous allez déterminer quels attributs Microsoft Entra ID doivent être utilisés par IAM Identity Center pour gérer l'accès à vos AWS ressources. Une fois définis, Microsoft Entra ID envoie ces attributs à IAM Identity Center via des assertions SAML. Vous devrez ensuite accéder [Crée un jeu d'autorisations](howtocreatepermissionset.md) à IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisMicrosoft Entra ID.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Choisissez **Single sign-on** (Authentification unique).
1. Dans la section **Attributs et revendications**, choisissez **Modifier**.
1. Sur la page **Attributs et réclamations**, procédez comme suit :
1. Choisissez **Ajouter une nouvelle réclamation**
1. Pour **Nom**, saisissez `AccessControl:AttributeName`. *AttributeName*Remplacez-le par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, `AccessControl:Department`.
1. Pour **Espace de noms**, saisissez ****https://aws.amazon.com/SAML/Attributes****.
1. Pour **Source**, choisissez **Attribut**.
1. Pour **Attribut source**, utilisez la liste déroulante pour sélectionner les attributs Microsoft Entra ID utilisateur. Par exemple, `user.department`.
1. Répétez l'étape précédente pour chaque attribut que vous devez envoyer à IAM Identity Center dans l'assertion SAML.
1. Choisissez **Enregistrer**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Configuration d'ABAC à l'aide d'IAM Identity Center**
Avec cette méthode, vous utilisez la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Vous pouvez utiliser cet élément pour transmettre des attributs sous forme de balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`Department=billing`, utilisez l'attribut suivant :
```
billing
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
------
## Attribuez l'accès à Comptes AWS
Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.
**Note**
Pour effectuer cette étape, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
### Étape 1 : IAM Identity Center : accordez aux Microsoft Entra ID utilisateurs l'accès aux comptes
1. Retournez à la console **IAM Identity Center**. Dans le volet de navigation d'IAM Identity Center, sous **Autorisations multi-comptes**, sélectionnez. **Comptes AWS**
1. Sur la **Comptes AWS**page, la **structure organisationnelle affiche la** racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez **Attribuer des utilisateurs ou des groupes**.
1. Le flux de travail **Attribuer des utilisateurs et des groupes** s'affiche. Il se compose de trois étapes :
1. Pour **l'étape 1 : Sélectionnez les utilisateurs et les groupes**, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez **Suivant**.
1. Pour **l'étape 2 : Sélectionnez des ensembles d'autorisations**, choisissez **Créer un ensemble d'autorisations** pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.
1. Pour **l'étape 1 : Sélectionnez le type d'ensemble d'autorisations**, procédez comme suit :
+ Dans **Type d'ensemble d'autorisations**, choisissez **Ensemble d'autorisations prédéfini**.
+ Dans **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez **AdministratorAccess**.
Choisissez **Suivant**.
1. Pour **l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations**, conservez les paramètres par défaut et choisissez **Next**.
Les paramètres par défaut créent un ensemble d'autorisations nommé *AdministratorAccess* avec une durée de session fixée à une heure.
1. Pour **l'étape 3 : révision et création**, vérifiez que le **type d'ensemble d'autorisations** utilise la politique AWS gérée **AdministratorAccess**. Choisissez **Créer**. Sur la page **Ensembles d'autorisations**, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.
1. Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, vous êtes toujours à l'**étape 2 : sélectionnez les ensembles d'autorisations** à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.
1. Dans la zone **Ensembles d'autorisations**, cliquez sur le bouton **Actualiser**. L'ensemble *AdministratorAccess* d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez **Next**.
1. Pour **l'étape 3 : vérifier et envoyer**, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez **Soumettre**.
La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.
Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le *AdministratorAccess* rôle.
### Étape 2 Microsoft Entra ID : Confirmer l'accès Microsoft Entra ID des utilisateurs aux AWS ressources
1. Retournez à la **Microsoft Entra ID**console et accédez à votre application de connexion basée sur SAML IAM Identity Center.
1. Sélectionnez **Utilisateurs et groupes**, puis sélectionnez **Ajouter des utilisateurs ou des groupes**. Vous allez ajouter à l'Microsoft Entra IDapplication l'utilisateur que vous avez créé dans ce didacticiel à l'étape 4. En ajoutant l'utilisateur, vous l'autorisez à se connecter à AWS. Recherchez l'utilisateur que vous avez créé à l'étape 4. Si vous suiviez cette étape, ce serait le cas**RichardRoe**.
1. Pour une démonstration, voir [Fédérer votre instance IAM Identity Center existante](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) avec Microsoft Entra ID
## Microsoft Entra IDconfiguration pour l'accès à des régions supplémentaires d'IAM Identity Center - Facultatif
Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et Comptes AWS via les régions supplémentaires. Les étapes ci-dessous vous guident tout au long de la procédure. Pour plus de détails sur cette rubrique, y compris les prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
1. Récupérez l'ACS URLs pour les régions supplémentaires à partir de la console IAM Identity Center, comme indiqué dans[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Sur la gauche, choisissez **2. Configurez l'authentification unique**.
1. Sur la page de **configuration SAML de base**, dans **la section URL de réponse (URL de service client d'assertion)**, choisissez **Ajouter une URL de réponse pour l'URL** ACS de chaque région supplémentaire. Vous pouvez conserver l'URL ACS de la région principale comme URL par défaut afin que les utilisateurs continuent d'être redirigés vers la région principale lorsqu'ils lancent l' AWS IAM Identity Center applicationMicrosoft Entra ID.
1. Lorsque vous avez terminé d'ajouter l'ACS URLs, enregistrez l'**AWS IAM Identity Center**application.
1. Vous pouvez créer une application de favoris Microsoft Entra ID pour le portail AWS d'accès dans chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deMicrosoft Entra ID. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansMicrosoft Entra ID. Consultez [Microsoft Entra IDla documentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) pour plus de détails.
1. Vérifiez que vous pouvez vous connecter au portail AWS d'accès dans chaque région supplémentaire. Accédez au [portail AWS d'accès URLs](multi-region-workforce-access.md#portal-endpoints) ou lancez les applications de favoris à partir deMicrosoft Entra ID.
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAML avecMicrosoft Entra ID, consultez les sections suivantes :
+ [Problèmes de synchronisation avec Microsoft Entra ID IAM Identity Center](#entra-scim-troubleshooting)
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ [Ressources supplémentaires](#entra-scim-troubleshooting-resources)
### Problèmes de synchronisation avec Microsoft Entra ID IAM Identity Center
Si vous rencontrez des problèmes lorsque Microsoft Entra ID les utilisateurs ne se synchronisent pas avec IAM Identity Center, cela peut être dû à un problème de syntaxe signalé par IAM Identity Center lorsqu'un nouvel utilisateur est ajouté à IAM Identity Center. Vous pouvez le confirmer en vérifiant les journaux Microsoft Entra ID d'audit pour détecter les événements ayant échoué, tels qu'un`'Export'`. Le **motif du statut** de cet événement indiquera :
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Vous pouvez également vérifier AWS CloudTrail l'échec de l'événement. Cela peut être fait en effectuant une recherche dans la console de **l'historique des événements** CloudTrail ou en utilisant le filtre suivant :
```
"eventName":"CreateUser"
```
L'erreur de l' CloudTrail événement indiquera ce qui suit :
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
En fin de compte, cette exception signifie que l'une des valeurs transmises Microsoft Entra ID contenait plus de valeurs que prévu. La solution consiste à examiner les attributs de l'utilisateur en Microsoft Entra ID veillant à ce qu'aucun ne contienne de valeurs dupliquées. Un exemple courant de valeurs dupliquées est la présence de plusieurs valeurs pour les numéros de contact tels que les numéros de **téléphone portable**, **professionnel** et de **télécopie**. Bien que les valeurs soient distinctes, elles sont toutes transmises à IAM Identity Center sous l'attribut parent unique **PhoneNumbers**.
Pour obtenir des conseils généraux de résolution des problèmes liés au SCIM, consultez la section [Résolution des problèmes](troubleshooting.md#issue2).
### Microsoft Entra IDSynchronisation du compte invité
Si vous souhaitez synchroniser vos utilisateurs Microsoft Entra ID invités avec IAM Identity Center, consultez la procédure suivante.
Microsoft Entra IDl'adresse e-mail des utilisateurs invités est différente de celle Microsoft Entra ID des utilisateurs. Cette différence pose des problèmes lors des tentatives de synchronisation des utilisateurs Microsoft Entra ID invités avec IAM Identity Center. Par exemple, consultez l'adresse e-mail suivante pour un utilisateur invité :
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center ne s'attend pas à ce que l'adresse e-mail contienne ce *\$1EXT\$1@domain* format.
1. Connectez-vous au [centre d'administration Microsoft Entra](https://entra.microsoft.com/) et accédez à **Identité** > **Applications > Applications** **d'entreprise**, puis choisissez **AWS IAM Identity Center**
1. Accédez à l'onglet **Single Sign** On dans le volet de gauche.
1. Sélectionnez **Modifier** qui apparaît à côté de **Attributs et revendications de l'utilisateur**.
1. Sélectionnez **un identifiant utilisateur unique (nom ID)** après les **demandes requises**.
1. Vous allez créer deux conditions de réclamation pour vos Microsoft Entra ID utilisateurs et vos utilisateurs invités :
1. Pour Microsoft Entra ID les utilisateurs, créez un type d'utilisateur pour les membres dont l'attribut source est défini sur` user.userprincipalname`.
1. Pour les utilisateurs Microsoft Entra ID invités, créez un type d'utilisateur pour les invités externes avec l'attribut source défini sur`user.mail`.
1. Sélectionnez **Enregistrer** et réessayez de vous connecter en tant qu'utilisateur Microsoft Entra ID invité.
### Ressources supplémentaires
+ Pour obtenir des conseils généraux de résolution des problèmes liés au SCIM, consultez[Résolution des problèmes liés à IAM Identity Center](troubleshooting.md).
+ Pour le Microsoft Entra ID dépannage, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Pour en savoir plus sur la fédération entre plusieurs entités Comptes AWS, consultez la section [Sécurisation Comptes AWS avec Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique
# Configurer SAML et SCIM avec un IAM Okta Identity Center
Vous pouvez automatiquement fournir ou synchroniser les informations des utilisateurs et des groupes depuis Okta IAM Identity Center à l'aide du protocole [SCIM (System for Cross-domain Identity Management) 2.0](scim-profile-saml.md#scim-profile). Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
Pour configurer cette connexionOkta, vous utilisez votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec Okta les attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center et votre Okta compte.
Oktaprend en charge les fonctionnalités de provisionnement suivantes lorsqu'il est connecté à IAM Identity Center via SCIM :
+ Créer des utilisateurs : les utilisateurs affectés à l'application IAM Identity Center dans Okta sont provisionnés dans IAM Identity Center.
+ Mettre à jour les attributs utilisateur : les modifications d'attributs pour les utilisateurs affectés à l'application IAM Identity Center Okta sont mises à jour dans IAM Identity Center.
+ Désactiver les utilisateurs : les utilisateurs qui ne sont pas affectés par l'application IAM Identity Center dans Okta sont désactivés dans IAM Identity Center.
+ Push de groupe : les groupes (et leurs membres) Okta sont synchronisés avec IAM Identity Center.
**Note**
Pour minimiser les frais administratifs, tant Okta pour IAM Identity Center, que pour IAM Identity Center, nous vous recommandons d'attribuer et de *transférer* des groupes plutôt que des utilisateurs individuels.
+ Importer des utilisateurs : les utilisateurs peuvent être importés depuis IAM Identity Center versOkta.
**Objectif**
Dans ce didacticiel, vous allez découvrir comment configurer une connexion SAML avec Okta IAM Identity Center. Plus tard, vous synchroniserez les utilisateurs depuisOkta, à l'aide de SCIM. Dans ce scénario, vous gérez tous les utilisateurs et groupes dansOkta. Les utilisateurs se connectent via le Okta portail. Pour vérifier que tout est correctement configuré, une fois les étapes de configuration terminées, vous vous connecterez en tant qu'Oktautilisateur et vérifierez l'accès aux AWS ressources.
Les fonctionnalités suivantes sont prises en charge lors de la connexion Okta à IAM Identity Center via SAML :
+ Connexion SAML initiée par l'IDP : les utilisateurs se connectent via le Okta portail et ont accès à IAM Identity Center.
+ Connexion SAML initiée par le SP : les utilisateurs accèdent au portail d' AWS accès, qui les redirige pour qu'ils se connectent via le portail. Okta
**Note**
Vous pouvez créer un Okta compte ([essai gratuit](https://www.okta.com/free-trial/)) sur lequel l'application Okta's [IAM Identity Center est installée](https://www.okta.com/integrations/aws-single-sign-on/). Pour les Okta produits payants, vous devrez peut-être confirmer que votre Okta licence prend en charge la *gestion du cycle de vie ou des* fonctionnalités similaires permettant le provisionnement sortant. Ces fonctionnalités peuvent être nécessaires pour configurer le SCIM depuis Okta IAM Identity Center.
Si vous n'avez pas encore activé IAM Identity Center, consultez[Activer IAM Identity Center](enable-identity-center.md).
## Considérations
+ Avant de configurer le provisionnement SCIM entre Okta et IAM Identity Center, nous vous recommandons de procéder à un premier examen. [Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations)
+ Chaque Okta utilisateur doit avoir un **prénom, un nom de famille**, un **nom** **d'utilisateur** et une valeur de **nom d'affichage** spécifiés.
+ Chaque Okta utilisateur ne dispose que d'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.
+ Lors de l'utilisation Okta avec IAM Identity Center, IAM Identity Center est généralement configuré en tant qu'application dans. Okta Cela vous permet de configurer plusieurs instances d'IAM Identity Center en tant que plusieurs applications, prenant en charge l'accès à plusieurs AWS Organisations, au sein d'une seule instance duOkta.
+ Les droits et les attributs de rôle ne sont pas pris en charge et ne peuvent pas être synchronisés avec IAM Identity Center.
+ L'utilisation du même Okta groupe pour les devoirs et le transfert de groupe n'est actuellement pas prise en charge. Pour maintenir des appartenances de groupe cohérentes entre IAM Identity Center Okta et IAM Identity Center, créez un groupe distinct et configurez-le pour transférer des groupes vers IAM Identity Center.
+ Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et Comptes AWS via des régions supplémentaires. Pour plus de détails, notamment sur les prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md). Les étapes spécifiques à Okta sont décrites dans [Oktaconfiguration pour l'accès à des régions supplémentaires](#gs-okta-multi-region)
## Étape 1 Okta : Obtenir les métadonnées SAML de votre compte Okta
1. Connectez-vous auOkta admin dashboard, développez **Applications**, puis sélectionnez **Applications**.
1. Sur la page **Applications**, choisissez **Browse App Catalog** (Parcourir le catalogue d'applications).
1. Dans le champ de recherche, tapez ** AWS IAM Identity Center**, sélectionnez l'application pour ajouter l'application IAM Identity Center.
1. Sélectionnez l'**onglet Se connecter**.
1. Sous **Certificats de signature SAML**, sélectionnez **Actions**, puis **Afficher les métadonnées IdP**. Un nouvel onglet de navigateur s'ouvre et affiche l'arborescence du document d'un fichier XML. Sélectionnez tout le code XML de `` à `` et copiez-le dans un fichier texte.
1. Enregistrez le fichier texte sous`metadata.xml`.
Laissez la console Okta admin dashboard ouverte, vous continuerez à utiliser cette console dans les étapes ultérieures.
## Étape 2 : IAM Identity Center : configurer Okta en tant que source d'identité pour IAM Identity Center
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) en tant qu'utilisateur doté de privilèges administratifs.
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez **Actions**, puis **Modifier la source d'identité**.
1. Sous **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. Sous **Configurer le fournisseur d'identité externe**, procédez comme suit :
1. Sous **Métadonnées du fournisseur** de services, copiez les éléments suivants dans un fichier texte pour y accéder facilement :
+ **URL du service ACS (IAM Identity Center Assertion Consumer Service) : vous avez le choix entre un ACS** IPv4 uniquement ou un ACS à double pile. URLs De plus, si votre instance IAM Identity Center est activée dans plusieurs régions, chaque région supplémentaire possède son propre ACS à double IPv4 pile uniquement. URLs Pour plus d'informations sur ACS URLs, voir[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
+ **URL de l'émetteur du IAM Identity Center**
Vous aurez besoin de ces valeurs plus loin dans ce didacticiel.
1. Sous **Métadonnées du fournisseur d'identité**, sous **Métadonnées IDP SAML**, sélectionnez **Choisir un fichier**, puis sélectionnez le `metadata.xml` fichier que vous avez créé à l'étape précédente.
1. Choisissez **Suivant**.
1. Une fois que vous avez lu la clause de non-responsabilité et que vous êtes prêt à continuer, entrez **ACCEPT**.
1. Choisissez **Modifier la source d'identité**.
Laissez la AWS console ouverte, vous continuerez à l'utiliser à l'étape suivante.
1. Revenez à Okta admin dashboard l'onglet **Connexion de l'** AWS IAM Identity Center application et sélectionnez-le, puis sélectionnez **Modifier**.
1. Dans **Paramètres de connexion avancés, entrez les** informations suivantes :
+ Pour **l'URL ACS**, entrez la ou les valeurs que vous avez copiées pour l'**URL IAM Identity Center Assertion Consumer Service (ACS)**. Vous pouvez utiliser l'URL ACS de la région principale comme URL par défaut afin que les utilisateurs soient redirigés vers la région principale lorsqu'ils lancent l'application Amazon Web ServicesOkta.
+ (Facultatif) Si vous avez répliqué IAM Identity Center dans d'autres régions, vous pouvez également créer une application de favoris Okta pour le portail AWS d'accès de chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deOkta. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansOkta. Consultez [Oktala documentation](https://support.okta.com/help/s/article/create-a-bookmark-app) pour plus de détails. Si vous prévoyez de répliquer IAM Identity Center dans d'autres régions ultérieurement, consultez la page [Oktaconfiguration pour l'accès à des régions supplémentaires](#gs-okta-multi-region) pour savoir comment activer l'accès aux régions supplémentaires après cette configuration initiale.
+ Pour **URL de l'émetteur**, entrez la valeur que vous avez copiée pour l'URL de l'émetteur d'**IAM Identity Center**
+ Pour le **format du nom d'utilisateur de l'application**, sélectionnez l'une des options du menu.
Assurez-vous que la valeur que vous choisissez est unique pour chaque utilisateur. Pour ce didacticiel, sélectionnez le nom d'**utilisateur Okta**
1. Choisissez **Enregistrer**.
Vous êtes maintenant prêt à approvisionner les utilisateurs depuis Okta IAM Identity Center. Laissez le champ Okta admin dashboard ouvert et revenez à la console IAM Identity Center pour passer à l'étape suivante.
## Étape 3 : IAM Identity Center et Okta Okta provisionnement des utilisateurs
1. **Dans la console IAM Identity Center, sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez Activer.** Cela permet le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. **Dans la boîte de dialogue de provisionnement automatique entrant**, copiez chacune des valeurs des options suivantes :
1. Point de **terminaison SCIM** : le format du point de terminaison dépend de votre configuration :
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
+ Double pile : https://scim. *us-east-2*.api .aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique Okta plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
1. Retournez à l'application IAM Identity Center Okta admin dashboard et naviguez vers celle-ci.
1. **Sur la page de l'**application IAM Identity Center**, choisissez l'onglet **Provisioning**, puis dans le menu de navigation de gauche, sous **Paramètres**, choisissez Integration.**
1. Choisissez **Modifier**, puis cochez la case à côté de **Activer l'intégration des API** pour activer le provisionnement automatique.
1. Configurez Okta avec les valeurs de provisionnement SCIM AWS IAM Identity Center que vous avez copiées plus tôt dans cette étape :
1. Dans le champ **URL de base**, entrez la valeur du point de **terminaison SCIM**.
1. Dans le champ **API Token**, entrez la valeur du **jeton d'accès**.
1. Choisissez **Test API Credentials** pour vérifier que les informations d'identification saisies sont valides.
Le message **AWS IAM Identity Center a été vérifié avec succès \$1** écrans.
1. Choisissez **Enregistrer**. Vous êtes redirigé vers la section **Paramètres**, où **l'option Intégration** est sélectionnée.
1. Sous **Paramètres**, choisissez **Vers l'application**, puis cochez la case **Activer** pour chacune des fonctionnalités de **provisionnement vers l'application** que vous souhaitez activer. Pour ce didacticiel, sélectionnez toutes les options.
1. Choisissez **Enregistrer**.
Vous êtes maintenant prêt à synchroniser vos utilisateurs depuis Okta IAM Identity Center.
## Étape 4 Okta : Synchroniser les utilisateurs depuis Okta IAM Identity Center
Par défaut, aucun groupe ou utilisateur n'est attribué à votre application Okta IAM Identity Center. Les groupes de provisionnement provisionnent les utilisateurs membres du groupe. Procédez comme suit pour synchroniser les groupes et les utilisateurs avec AWS IAM Identity Center.
1. Sur la page de l'**application Okta IAM Identity Center**, choisissez l'onglet **Assignments**. Vous pouvez attribuer à la fois des personnes et des groupes à l'application IAM Identity Center.
1. Pour affecter des personnes :
+ Sur la page **Attributions**, choisissez **Attribuer**, puis **Attribuer à des personnes**.
+ Choisissez les Okta utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez **Attribuer**, puis **Enregistrer et revenir en arrière**, puis cliquez sur **Terminé**.
Cela lance le processus de mise en service des utilisateurs dans IAM Identity Center.
1. Pour attribuer des groupes :
+ Sur la page **Attributions**, choisissez **Attribuer**, puis **Attribuer aux groupes**.
+ Choisissez les Okta groupes auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez **Attribuer**, puis **Enregistrer et revenir en arrière**, puis cliquez sur **Terminé**.
Cela lance le processus de mise en service des utilisateurs du groupe dans IAM Identity Center.
**Note**
Vous devrez peut-être spécifier des attributs supplémentaires pour le groupe s'ils ne figurent pas dans tous les enregistrements utilisateur. Les attributs spécifiés pour le groupe remplaceront toute valeur d'attribut individuelle.
1. Choisissez l'onglet **Push Groups**. Choisissez le Okta groupe que vous souhaitez synchroniser avec IAM Identity Center. Choisissez **Enregistrer**.
Le statut du groupe passe à **Actif** une fois que le groupe et ses membres ont été transférés vers IAM Identity Center.
1. Retournez à l'onglet **Affectations**.
1. Pour ajouter des Okta utilisateurs individuels à IAM Identity Center, procédez comme suit :
1. Sur la page **Attributions**, choisissez **Attribuer**, puis **Attribuer à des personnes**.
1. Choisissez les Okta utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez **Attribuer**, puis **Enregistrer et revenir en arrière**, puis cliquez sur **Terminé**.
Cela lance le processus de mise en service des utilisateurs individuels dans IAM Identity Center.
**Note**
Vous pouvez également attribuer des utilisateurs et des groupes à l' AWS IAM Identity Center application, depuis la page **Applications** duOkta admin dashboard. Pour ce faire, sélectionnez l'icône **Paramètres**, puis choisissez **Attribuer aux utilisateurs** ou **Attribuer aux groupes**, puis spécifiez l'utilisateur ou le groupe.
1. Retournez à la console IAM Identity Center. Dans le volet de navigation de gauche, sélectionnez **Utilisateurs**. Vous devriez voir la liste des utilisateurs renseignée par vos Okta utilisateurs.
**Félicitations \$1**
Vous avez correctement configuré une connexion SAML entre Okta et AWS et vous avez vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans **IAM Identity Center**. Dans le cadre de ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur du IAM Identity Center en lui accordant des autorisations administratives sur le compte de gestion.
## Transmission d'attributs pour le contrôle d'accès - *Facultatif*
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Attribuez l'accès à Comptes AWS
Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.
**Note**
Pour effectuer cette étape, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
### Étape 1 : IAM Identity Center : accordez aux Okta utilisateurs l'accès aux comptes
1. Dans le volet de navigation d'IAM Identity Center, sous **Autorisations multi-comptes**, sélectionnez. **Comptes AWS**
1. Sur la **Comptes AWS**page, la **structure organisationnelle affiche la** racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez **Attribuer des utilisateurs ou des groupes**.
1. Le flux de travail **Attribuer des utilisateurs et des groupes** s'affiche. Il se compose de trois étapes :
1. Pour **l'étape 1 : Sélectionnez les utilisateurs et les groupes**, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez **Suivant**.
1. Pour **l'étape 2 : sélectionner des ensembles d'autorisations**, choisissez **Créer un ensemble d'autorisations** pour ouvrir un nouvel onglet qui vous guide à travers les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.
1. Pour **l'étape 1 : Sélectionnez le type d'ensemble d'autorisations**, procédez comme suit :
+ Dans **Type d'ensemble d'autorisations**, choisissez **Ensemble d'autorisations prédéfini**.
+ Dans **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez **AdministratorAccess**.
Choisissez **Suivant**.
1. Pour **l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations**, conservez les paramètres par défaut et choisissez **Next**.
Les paramètres par défaut créent un ensemble d'autorisations nommé *AdministratorAccess* avec une durée de session fixée à une heure.
1. Pour **l'étape 3 : révision et création**, vérifiez que le **type d'ensemble d'autorisations** utilise la politique AWS gérée **AdministratorAccess**. Choisissez **Créer**. Sur la page **Ensembles d'autorisations**, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.
Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, vous êtes toujours à l'**étape 2 : sélectionnez les ensembles d'autorisations** à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.
Dans la zone **Ensembles d'autorisations**, cliquez sur le bouton **Actualiser**. L'ensemble *AdministratorAccess* d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez **Next**.
1. Pour **l'étape 3 : Révision et envoi**, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez **Soumettre**.
La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.
Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le *AdministratorAccess* rôle.
### Étape 2 Okta : Confirmer l'accès Okta des utilisateurs aux AWS ressources
1. Connectez-vous à l'aide d'un compte de test auOkta dashboard.
1. Sous **Mes applications**, sélectionnez l'AWS IAM Identity Centericône.
1. Vous devriez voir l' Compte AWS icône. Développez cette icône pour voir la liste des Comptes AWS objets auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.
1. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble **AdministratorAccess**d'autorisations.
1. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez spécifié l'accès à la fois à l'accès programmatique AWS Management Console et à l'accès programmatique. Sélectionnez **Console de gestion** pour ouvrir le AWS Management Console.
1. L'utilisateur est connecté au AWS Management Console.
Vous pouvez également utiliser le portail AWS d'accès. Cela vous redirige pour vous connecter via le Okta portail avant d' AWS accéder au portail d'accès. Ce chemin suit le flux de connexion SAML initié par le SP.
## Oktaconfiguration pour l'accès à des régions supplémentaires d'IAM Identity Center - Facultatif
Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et Comptes AWS via les régions supplémentaires. Les étapes ci-dessous vous guident tout au long de la procédure. Pour plus de détails sur cette rubrique, y compris les prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
1. Récupérez l'ACS URLs pour les régions supplémentaires à partir de la console IAM Identity Center, comme indiqué dans[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
1. Dans le volet de navigation du tableau de bord de l'Oktaadministrateur, sélectionnez **Applications**, puis à nouveau **Applications** dans la liste étendue.
1. Choisissez l'application **AWS IAM Identity Center**.
1. Choisissez l'onglet **Sign On** (Se connecter).
1. Sous **Paramètres de connexion avancés et autre authentification unique** **requise URLs, choisissez **Ajouter une autre** URL ACS** pour chaque région supplémentaire, puis collez l'URL ACS dans le champ de texte.
1. Lorsque vous avez terminé d'ajouter l'ACS URLs, enregistrez l'**AWS IAM Identity Center**application.
1. Vous pouvez créer une application de favoris Okta pour le portail AWS d'accès dans chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deOkta. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansOkta. Consultez [Oktala documentation](https://support.okta.com/help/s/article/create-a-bookmark-app) pour plus de détails.
1. Vérifiez que vous pouvez vous connecter au portail AWS d'accès dans chaque région supplémentaire. Accédez au [portail AWS d'accès URLs](multi-region-workforce-access.md#portal-endpoints) ou lancez les applications de favoris à partir deOkta.
## Étapes suivantes
Maintenant que vous avez configuré Okta en tant que fournisseur d'identité et que vous avez configuré les utilisateurs dans IAM Identity Center, vous pouvez :
+ Accorder l'accès à Comptes AWS, voir[Attribuer l'accès d'un utilisateur ou d'un groupe à Comptes AWS](assignusers.md).
+ Accordez l'accès aux applications cloud, voir[Attribuer un accès utilisateur aux applications dans la console IAM Identity Center](assignuserstoapp.md).
+ Configurez les autorisations en fonction des fonctions de la tâche, voir [Création d'un ensemble d'autorisations](howtocreatepermissionset.md).
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAML avecOkta, consultez les sections suivantes :
+ [Reprovisionnement des utilisateurs et des groupes supprimés d'IAM Identity Center](#reprovisioning-deleted-users-groups)
+ [Erreur de provisionnement automatique dans Okta](#okta-auto-provisioning-error)
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ [Ressources supplémentaires](#gs-okta-troubleshooting-resources)
### Reprovisionnement des utilisateurs et des groupes supprimés d'IAM Identity Center
+ Le message d'erreur suivant peut s'afficher dans la Okta console si vous essayez de modifier un utilisateur ou un groupe Okta qui a déjà été synchronisé puis supprimé d'IAM Identity Center :
+ Le transfert automatique du profil de l'utilisateur *Jane Doe* vers l'application AWS IAM Identity Center a échoué : erreur lors de la tentative de transfert de la mise à jour du profil pour *jane\$1doe@example.com* : aucun utilisateur n'a été renvoyé pour l'utilisateur *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Le groupe lié est absent dans AWS IAM Identity Center. Modifiez le groupe lié pour recommencer à envoyer des adhésions à des groupes.
+ Vous pouvez également recevoir le message d'erreur suivant dans les Okta journaux des systèmes pour les utilisateurs ou les groupes IAM Identity Center synchronisés et supprimés :
+ Erreur Okta : Eventfailed application.provision.user.push\$1profile : aucun utilisateur renvoyé pour l'utilisateur *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Erreur Okta : application.provision.group\$1push.mapping.update.or.delete.failed.with.error : le groupe lié est absent dans. AWS IAM Identity Center Modifiez le groupe lié pour recommencer à envoyer des adhésions à des groupes.
**Avertissement**
Les utilisateurs et les groupes doivent être supprimés de IAM Identity Center Okta plutôt que d'IAM Identity Center si vous avez synchronisé Okta IAM Identity Center à l'aide de SCIM.
**Résolution des problèmes liés à la suppression des utilisateurs d'IAM Identity Center**
Pour résoudre ce problème concernant les utilisateurs supprimés de l'IAM Identity Center, ceux-ci doivent être supprimés deOkta. Si nécessaire, ces utilisateurs devront également être recréés dansOkta. Lorsque l'utilisateur est recréé dansOkta, il est également reprovisionné dans le IAM Identity Center via SCIM. Pour plus d'informations sur la suppression d'un utilisateur, consultez [Oktala documentation](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm).
**Note**
Si vous devez supprimer l'accès Okta d'un utilisateur à IAM Identity Center, vous devez d'abord le supprimer de son groupe Push, puis de son groupe d'affectation. Okta Cela garantit que l'utilisateur est retiré de son appartenance au groupe associé dans IAM Identity Center. Pour plus d'informations sur la résolution des problèmes liés à Group Push, consultez [Oktala documentation](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
**Résolution des problèmes liés à la suppression de groupes IAM Identity Center**
Pour résoudre ce problème avec les groupes IAM Identity Center supprimés, le groupe doit être supprimé d'Okta. Si nécessaire, ces groupes devront également être recréés dans Okta à l'aide de Group Push. Lorsque l'utilisateur est recréé dans Okta, il est également reprovisionné dans le IAM Identity Center via SCIM. Pour plus d'informations sur la suppression d'un groupe, consultez la [documentation Okta](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
### Erreur de provisionnement automatique dans Okta
Si le message d'erreur suivant s'affiche dans Okta :
Le provisionnement automatique de l'utilisateur Jane Doe vers l'application AWS IAM Identity Center a échoué : l'utilisateur correspondant est introuvable
Consultez [Oktala documentation](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US) pour plus d'informations.
### Ressources supplémentaires
+ Pour obtenir des conseils généraux de résolution des problèmes liés au SCIM, consultez[Résolution des problèmes liés à IAM Identity Center](troubleshooting.md).
Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique
# Configuration du provisionnement SCIM entre OneLogin et IAM Identity Center
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis OneLogin IAM Identity Center à l'aide du protocole SCIM (System for Cross-domain Identity Management) v2.0. Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
**Note**
OneLoginne prend actuellement pas en charge le service de consommation d'assertions multiples (ACS) SAML URLs dans l' AWS IAM Identity Center application. Cette fonctionnalité SAML est requise pour tirer pleinement parti de la prise en [charge multirégionale](multi-region-iam-identity-center.md) dans IAM Identity Center. Si vous envisagez de répliquer IAM Identity Center vers d'autres régions, sachez que l'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans ces régions supplémentaires. Votre région principale continuera de fonctionner normalement. Nous vous recommandons de travailler avec votre fournisseur d'IdP pour activer cette fonctionnalité. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Vous configurez cette connexion en OneLogin utilisant votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec OneLogin les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etOneLogin.
Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs et des groupes depuis IAM Identity Center OneLogin à l'aide du protocole SCIM.
**Note**
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations).
**Topics**
+ [Conditions préalables](#onelogin-prereqs)
+ [Étape 1 : activer le provisionnement dans IAM Identity Center](#onelogin-step1)
+ [Étape 2 : configurer le provisionnement dans OneLogin](#onelogin-step2)
+ [(Facultatif) Étape 3 : Configuration des attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center](#onelogin-step3)
+ [(Facultatif) Transmission d'attributs pour le contrôle d'accès](#onelogin-passing-abac)
+ [Résolution des problèmes](#onelogin-troubleshooting)
## Conditions préalables
Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ Un OneLogin compte. Si vous n'avez pas de compte existant, vous pourrez peut-être obtenir un essai gratuit ou un compte développeur sur le [OneLoginsite Web](https://www.onelogin.com/free-trial).
+ [Un compte compatible avec IAM Identity Center (gratuit).](https://aws.amazon.com/single-sign-on/) Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Une connexion SAML entre votre OneLogin compte et IAM Identity Center. Pour plus d'informations, consultez la section [Activation de l'authentification unique entre OneLogin et AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) sur le blog du réseau de AWS partenaires.
## Étape 1 : activer le provisionnement dans IAM Identity Center
Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Vous avez maintenant configuré le provisionnement dans la console IAM Identity Center. Vous devez maintenant effectuer les tâches restantes à l'aide de la console OneLogin d'administration, comme décrit dans la procédure suivante.
## Étape 2 : configurer le provisionnement dans OneLogin
Utilisez la procédure suivante dans la console OneLogin d'administration pour activer l'intégration entre IAM Identity Center et l'application IAM Identity Center. Cette procédure suppose que vous avez déjà configuré l'application AWS Single Sign-On OneLogin pour l'authentification SAML. Si vous n'avez pas encore créé cette connexion SAML, veuillez le faire avant de continuer, puis revenez ici pour terminer le processus de provisionnement SCIM. Pour plus d'informations sur la configuration de SAML avecOneLogin, consultez la section [Activation de l'authentification unique entre OneLogin et AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) sur le blog du réseau de AWS partenaires.
**Pour configurer le provisionnement dans OneLogin**
1. Connectez-vous àOneLogin, puis accédez à **Applications > Applications**.
1. Sur la page **Applications**, recherchez l'application que vous avez créée précédemment pour établir votre connexion SAML avec IAM Identity Center. Choisissez-le, puis sélectionnez **Configuration** dans le volet de navigation.
1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** dans IAM Identity Center. Collez cette valeur dans le champ **URL de base SCIM** dansOneLogin. Dans la procédure précédente, vous avez également copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **SCIM Bearer Token**. OneLogin
1. À côté de **Connexion API**, cliquez sur **Activer**, puis sur **Enregistrer** pour terminer la configuration.
1. Dans le panneau de navigation, choisissez **Provisioning** (Approvisionnement).
1. Cochez les cases **Activer le provisionnement**, **Créer un utilisateur**, **Supprimer un utilisateur** et **Mettre à jour un utilisateur**, puis choisissez **Enregistrer**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Cliquez sur **Autres actions** et choisissez **Synchroniser les connexions.** Vous devriez recevoir le message *Synchronisation des utilisateurs avec l'authentification AWS unique*.
1. Cliquez à nouveau sur **Autres actions**, puis choisissez **Réappliquer les mappages d'autorisations.** Vous devriez recevoir le message Les *mappages sont réappliqués*.
1. À ce stade, le processus de provisionnement doit commencer. Pour le confirmer, accédez à **Activité > Événements** et surveillez la progression. Les événements de provisionnement réussis, ainsi que les erreurs, doivent apparaître dans le flux d'événements.
1. **Pour vérifier que vos utilisateurs et groupes ont tous été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Vos utilisateurs synchronisés OneLogin apparaissent sur la page **Utilisateurs**. Vous pouvez également consulter vos groupes synchronisés sur la page **Groupes**.
1. **Pour synchroniser automatiquement les modifications des utilisateurs avec IAM Identity Center, accédez à la page **Provisioning**, recherchez la section **Exiger l'approbation de l'administrateur avant que cette action ne soit effectuée**, désélectionnez **Créer un utilisateur, Supprimer un utilisateur****, and/or **Mettre à jour** un utilisateur**, puis cliquez sur Enregistrer.**
## (Facultatif) Étape 3 : Configuration des attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center
Il s'agit d'une procédure facultative OneLogin si vous choisissez de configurer les attributs que vous utiliserez dans IAM Identity Center pour gérer l'accès à vos AWS ressources. Les attributs que vous définissez OneLogin sont transmis dans une assertion SAML à IAM Identity Center. Vous allez ensuite créer un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisOneLogin.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
**Pour configurer les attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center**
1. Connectez-vous àOneLogin, puis accédez à **Applications > Applications**.
1. Sur la page **Applications**, recherchez l'application que vous avez créée précédemment pour établir votre connexion SAML avec IAM Identity Center. Choisissez-le, puis sélectionnez **Paramètres** dans le volet de navigation.
1. Dans la section **Paramètres requis**, procédez comme suit pour chaque attribut que vous souhaitez utiliser dans IAM Identity Center :
1. Choisissez **\$1**.
1. Dans **Nom du champ**`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, entrez et remplacez **AttributeName** par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. Sous **Drapeaux**, cochez la case à côté de **Inclure dans l'assertion SAML**, puis choisissez **Enregistrer**.
1. Dans le champ **Valeur**, utilisez la liste déroulante pour choisir les attributs OneLogin utilisateur. Par exemple, **Department**.
1. Choisissez **Enregistrer**.
## (Facultatif) Transmission d'attributs pour le contrôle d'accès
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Résolution des problèmes
Les informations suivantes peuvent vous aider à résoudre certains problèmes courants que vous pouvez rencontrer lors de la configuration du provisionnement automatique avec. OneLogin
**Les groupes ne sont pas fournis à IAM Identity Center**
Par défaut, les groupes ne peuvent pas être approvisionnés depuis OneLogin IAM Identity Center. Assurez-vous d'avoir activé le provisionnement de groupe pour votre application IAM Identity Center dans. OneLogin Pour ce faire, connectez-vous à la console OneLogin d'administration et assurez-vous que l'option **Inclure dans le provisionnement utilisateur** est sélectionnée dans les propriétés de l'application IAM Identity Center (application **IAM Identity Center > Paramètres > Groupes**). Pour plus de détails sur la création de groupes dansOneLogin, notamment sur la synchronisation des OneLogin rôles en tant que groupes dans SCIM, consultez le [OneLoginsite Web](https://onelogin.service-now.com/support).
**Rien n'est synchronisé depuis OneLogin IAM Identity Center, même si tous les paramètres sont corrects**
Outre la remarque ci-dessus concernant l'approbation de l'administrateur, vous devrez **réappliquer les mappages de droits** pour que de nombreuses modifications de configuration prennent effet. Vous pouvez le trouver dans **Applications > Applications > Application IAM Identity Center > Autres actions**. Vous pouvez consulter les détails et les journaux de la plupart des actionsOneLogin, y compris les événements de synchronisation, sous **Activité > Événements**.
**J'ai supprimé ou désactivé un groupe dansOneLogin, mais il apparaît toujours dans IAM Identity Center**
OneLoginne prend actuellement pas en charge l'opération SCIM DELETE pour les groupes, ce qui signifie que le groupe continue d'exister dans IAM Identity Center. Vous devez donc supprimer le groupe directement d'IAM Identity Center pour vous assurer que toutes les autorisations correspondantes dans IAM Identity Center pour ce groupe sont supprimées.
**J'ai supprimé un groupe dans IAM Identity Center sans le supprimer au préalable OneLogin et je rencontre maintenant des problèmes de user/group synchronisation**
Pour remédier à cette situation, assurez-vous d'abord que vous ne disposez pas de règles ou de configurations de provisionnement de groupe redondantes. OneLogin Par exemple, un groupe directement affecté à une application ainsi qu'une règle qui publie pour le même groupe. Supprimez ensuite tous les groupes indésirables dans IAM Identity Center. EnfinOneLogin, **actualisez** les droits (**application IAM Identity Center > Provisioning > Droits), puis réappliquez les mappages de droits** **(application IAM Identity Center >** Autres actions). Pour éviter ce problème à l'avenir, effectuez d'abord la modification pour arrêter le provisionnement du groupeOneLogin, puis supprimez le groupe d'IAM Identity Center.
# Utilisation de Ping Identity produits avec IAM Identity Center
Les Ping Identity produits suivants ont été testés avec IAM Identity Center.
**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)
# PingFederate
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis le PingFederate produit Ping Identity (ci-après « Ping ») dans IAM Identity Center. Ce provisionnement utilise le protocole SCIM (System for Cross-Domain Identity Management) v2.0. Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
Vous configurez cette connexion à PingFederate l'aide de votre point de terminaison SCIM et de votre jeton d'accès IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec PingFederate les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etPingFederate.
Ce guide est basé sur la PingFederate version 10.2. Les étapes pour les autres versions peuvent varier. Contactez-nous Ping pour plus d'informations sur la configuration du provisionnement vers IAM Identity Center pour les autres versions de. PingFederate
Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs et des groupes depuis IAM Identity Center PingFederate à l'aide du protocole SCIM.
**Note**
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations). Passez ensuite en revue les autres considérations dans la section suivante.
**Topics**
+ [Conditions préalables](#pingfederate-prereqs)
+ [Considérations](#pingfederate-considerations)
+ [Étape 1 : activer le provisionnement dans IAM Identity Center](#pingfederate-step1)
+ [Étape 2 : configurer le provisionnement dans PingFederate](#pingfederate-step2)
+ [(Facultatif) Étape 3 : configurer les attributs utilisateur dans PingFed erate pour le contrôle d'accès dans IAM Identity Center](#pingfederate-step3)
+ [(Facultatif) Transmission d'attributs pour le contrôle d'accès](#pingfederate-passing-abac)
+ [Résolution des problèmes](#pingfederate-troubleshooting)
## Conditions préalables
Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ Un PingFederate serveur en état de marche. Si vous n'avez pas de PingFederate serveur existant, vous pourrez peut-être obtenir un essai gratuit ou un compte développeur sur le site Web de [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.). La version d'essai inclut le téléchargement de licences et de logiciels ainsi que la documentation associée.
+ Une copie du logiciel PingFederate IAM Identity Center Connector installé sur votre PingFederate serveur. Pour plus d'informations sur la façon d'obtenir ce logiciel, consultez la section [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/) sur le Ping Identity site Web.
+ [Un compte compatible avec IAM Identity Center (gratuit).](https://aws.amazon.com/single-sign-on/) Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Une connexion SAML entre votre PingFederate instance et IAM Identity Center. Pour obtenir des instructions sur la configuration de cette connexion, consultez la PingFederate documentation. En résumé, il est recommandé d'utiliser le connecteur IAM Identity Center pour configurer le « Browser SSO » dansPingFederate, en utilisant les fonctionnalités de « téléchargement » et d' « importation » de métadonnées situées aux deux extrémités pour échanger des métadonnées SAML entre IAM Identity Center PingFederate et IAM Identity Center.
+ Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et à Comptes AWS partir de ces régions. Pour en savoir plus, consultez [Étape 3 : Mettre à jour la configuration de l'IdP externe](replicate-to-additional-region.md#update-external-idp-setup). Consultez la PingFederate documentation pour plus de détails.
## Considérations
Voici des considérations importantes PingFederate qui peuvent affecter la manière dont vous implémentez le provisionnement avec IAM Identity Center.
+ Si un attribut (tel qu'un numéro de téléphone) est supprimé d'un utilisateur dans le magasin de données configuré dansPingFederate, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dans la mise en PingFederate’s œuvre du fournisseur. Si un attribut est remplacé par une valeur différente (non vide) pour un utilisateur, cette modification sera synchronisée avec IAM Identity Center.
## Étape 1 : activer le provisionnement dans IAM Identity Center
Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Après avoir rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide de la console d'PingFederateadministration. Les étapes sont décrites dans la procédure suivante.
## Étape 2 : configurer le provisionnement dans PingFederate
Utilisez la procédure suivante dans la console d'PingFederateadministration pour activer l'intégration entre IAM Identity Center et le connecteur IAM Identity Center. Cette procédure suppose que vous avez déjà installé le logiciel IAM Identity Center Connector. Si vous ne l'avez pas encore fait, reportez-vous à cette procédure[Conditions préalables](#pingfederate-prereqs), puis exécutez-la pour configurer le provisionnement SCIM.
**Important**
Si votre PingFederate serveur n'a pas encore été configuré pour le provisionnement SCIM sortant, vous devrez peut-être modifier le fichier de configuration pour activer le provisionnement. Pour plus d’informations, consultez la documentation Ping. En résumé, vous devez modifier le `pf.provisioner.mode` paramètre du **pingfederate-/pingfederate/bin/run.properties**fichier à une valeur autre que `OFF` (valeur par défaut) et redémarrer le serveur s'il est en cours d'exécution. Par exemple, vous pouvez choisir de l'utiliser `STANDALONE` si vous ne disposez pas actuellement d'une configuration haute disponibilité avecPingFederate.
**Pour configurer le provisionnement dans PingFederate**
1. Connectez-vous à la console PingFederate d'administration.
1. Sélectionnez **Applications** en haut de la page, puis cliquez sur **SP Connections**.
1. Localisez l'application que vous avez créée précédemment pour établir votre connexion SAML avec IAM Identity Center, puis cliquez sur le nom de la connexion.
1. Sélectionnez le **type de connexion** dans les en-têtes de navigation sombres situés en haut de la page. Vous devriez voir que l'**authentification unique du navigateur est** déjà sélectionnée dans votre configuration précédente de SAML. Si ce n'est pas le cas, vous devez d'abord suivre ces étapes avant de pouvoir continuer.
1. **Cochez la case **Outbound Provisioning**, choisissez le type **IAM Identity Center Cloud Connector**, puis cliquez sur Enregistrer.** Si le **connecteur IAM Identity Center Cloud** n'apparaît pas en option, assurez-vous que vous avez installé le connecteur IAM Identity Center et que vous avez redémarré votre serveur. PingFederate
1. Cliquez sur **Suivant** à plusieurs reprises jusqu'à ce que vous arriviez sur la page de **provisionnement sortant**, puis cliquez sur le bouton **Configurer le provisionnement**.
1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** dans IAM Identity Center. Collez cette valeur dans le champ **URL SCIM** de la PingFederate console. Dans la procédure précédente, vous avez également copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **Access Token** de la PingFederate console. Cliquez sur **Sauvegarder**
1. Sur la page **Configuration des canaux (Configurer les canaux)**, cliquez sur **Créer**.
1. Entrez un **nom de canal** pour ce nouveau canal de provisionnement (tel que**AWSIAMIdentityCenterchannel**), puis cliquez sur **Suivant**.
1. Sur la page **Source**, choisissez le **magasin de données actif** que vous souhaitez utiliser pour votre connexion à IAM Identity Center, puis cliquez sur **Suivant**.
**Note**
Si vous n'avez pas encore configuré de source de données, vous devez le faire maintenant. Consultez la documentation Ping du produit pour savoir comment choisir et configurer une source de données dansPingFederate.
1. Sur la page **Paramètres source**, vérifiez que toutes les valeurs sont correctes pour votre installation, puis cliquez sur **Suivant**.
1. Sur la page **Emplacement de la source**, entrez les paramètres appropriés à votre source de données, puis cliquez sur **Suivant**. Par exemple, si vous utilisez Active Directory comme annuaire LDAP :
1. Entrez le **DN de base** de votre forêt AD (tel que**DC=myforest,DC=mydomain,DC=com**).
1. Dans **Utilisateurs > Nom distinctif du groupe**, spécifiez un groupe unique contenant tous les utilisateurs que vous souhaitez attribuer à IAM Identity Center. Si aucun groupe unique de ce type n'existe, créez-le dans AD, revenez à ce paramètre, puis entrez le DN correspondant.
1. **Spécifiez si vous souhaitez rechercher des sous-groupes (**recherche imbriquée**) et indiquez tout filtre LDAP requis.**
1. Dans **Groupes > Nom du groupe**, spécifiez un groupe unique contenant tous les groupes que vous souhaitez attribuer à IAM Identity Center. Dans de nombreux cas, il peut s'agir du même DN que celui que vous avez spécifié dans la section **Utilisateurs**. Entrez les valeurs de **recherche et de **filtre** imbriquées** selon les besoins.
1. Sur la page **Mappage des attributs**, vérifiez les points suivants, puis cliquez sur **Suivant** :
1. Le champ **UserName** doit être mappé à un **attribut** au format e-mail (user@domain.com). Elle doit également correspondre à la valeur que l'utilisateur utilisera pour se connecter à Ping. Cette valeur est à son tour renseignée dans la `nameId` réclamation SAML lors de l'authentification fédérée et utilisée pour établir une correspondance avec l'utilisateur dans IAM Identity Center. Par exemple, lorsque vous utilisez Active Directory, vous pouvez choisir de le spécifier `UserPrincipalName` comme **UserName**.
1. Les autres champs marqués d'un **\$1** doivent être mappés à des attributs non nuls pour vos utilisateurs.
1. Sur la page **Activation et résumé**, définissez le **statut du canal** sur **Actif** pour que la synchronisation démarre immédiatement après l'enregistrement de la configuration.
1. Vérifiez que toutes les valeurs de configuration de la page sont correctes, puis cliquez sur **Terminé**.
1. Sur la page **Gérer les chaînes**, cliquez sur **Enregistrer**.
1. À ce stade, le provisionnement commence. Pour confirmer l'activité, vous pouvez consulter le fichier **provisioner.log**, situé par défaut dans le **pingfederate-/pingfederate/log**répertoire de votre PingFederate serveur.
1. **Pour vérifier que les utilisateurs et les groupes ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Les utilisateurs synchronisés PingFederate apparaissent sur la page **Utilisateurs**. Vous pouvez également consulter les groupes synchronisés sur la page **Groupes**.
## (Facultatif) Étape 3 : configurer les attributs utilisateur dans PingFed erate pour le contrôle d'accès dans IAM Identity Center
Il s'agit d'une procédure facultative PingFederate si vous choisissez de configurer les attributs que vous utiliserez dans IAM Identity Center pour gérer l'accès à vos AWS ressources. Les attributs que vous définissez PingFederate sont transmis dans une assertion SAML à IAM Identity Center. Vous allez ensuite créer un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisPingFederate.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
**Pour configurer les attributs utilisateur PingFederate pour le contrôle d'accès dans IAM Identity Center**
1. Connectez-vous à la console PingFederate d'administration.
1. Choisissez **Applications** en haut de la page, puis cliquez sur **SP Connections**.
1. Localisez l'application que vous avez créée précédemment pour établir votre connexion SAML avec IAM Identity Center, puis cliquez sur le nom de la connexion.
1. Choisissez **Browser SSO** dans les en-têtes de navigation sombres situés en haut de la page. Cliquez ensuite sur **Configurer le SSO du navigateur**.
1. Sur la page **Configurer l'authentification unique du navigateur**, choisissez **Création d'assertions**, puis cliquez sur **Configurer la création d'assertions**.
1. Sur la page **Configurer la création d'assertions**, sélectionnez **Attribute Contract**.
1. Sur la page **Contrat d'attribut**, sous **la section Étendre le contrat**, ajoutez un nouvel attribut en effectuant les étapes suivantes :
1. Dans la zone de texte, entrez`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, remplacez **AttributeName** par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. Pour **Format du nom d'attribut**, sélectionnez **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. Choisissez **Ajouter**, puis **Next**.
1. Sur la page **Mappage des sources d'authentification**, choisissez l'instance d'adaptateur configurée avec votre application.
1. Sur la page **Exécution du contrat d'attribut**, choisissez la **source** (*magasin de données*) et **la valeur** (*attribut du magasin de données*) pour le **contrat d'attribut**`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
**Note**
Si vous n'avez pas encore configuré de source de données, vous devez le faire maintenant. Consultez la documentation Ping du produit pour savoir comment choisir et configurer une source de données dansPingFederate.
1. Cliquez sur **Suivant** à plusieurs reprises jusqu'à ce que vous arriviez sur la page **Activation et résumé**, puis cliquez sur **Enregistrer**.
## (Facultatif) Transmission d'attributs pour le contrôle d'accès
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAMLPingFederate, consultez les sections suivantes :
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ Pour plus d'informationsPingFederate, consultez [PingFederatela documentation](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html).
Les ressources suivantes peuvent vous aider à résoudre les problèmes lorsque vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique
# PingOne
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations utilisateur depuis le PingOne produit Ping Identity (ci-après « Ping ») vers IAM Identity Center. Ce provisionnement utilise le protocole SCIM (System for Cross-Domain Identity Management) v2.0. Vous configurez cette connexion à PingOne l'aide de votre point de terminaison SCIM et de votre jeton d'accès IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec PingOne les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etPingOne.
Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs depuis IAM Identity Center PingOne à l'aide du protocole SCIM.
**Note**
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations). Passez ensuite en revue les autres considérations dans la section suivante.
**Topics**
+ [Conditions préalables](#pingone-prereqs)
+ [Considérations](#pingone-considerations)
+ [Étape 1 : activer le provisionnement dans IAM Identity Center](#pingone-step1)
+ [Étape 2 : configurer le provisionnement dans PingOne](#pingone-step2)
+ [(Facultatif) Étape 3 : Configuration des attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center](#pingone-step3)
+ [(Facultatif) Transmission d'attributs pour le contrôle d'accès](#pingone-passing-abac)
+ [Résolution des problèmes](#pingone-troubleshooting)
## Conditions préalables
Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ Un PingOne abonnement ou un essai gratuit, avec des fonctionnalités d'authentification fédérée et de provisionnement. Pour plus d'informations sur la façon d'obtenir un essai gratuit, consultez le [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)site Web.
+ [Un compte compatible avec IAM Identity Center (gratuit).](https://aws.amazon.com/single-sign-on/) Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ L'application PingOne IAM Identity Center a été ajoutée à votre portail PingOne d'administration. Vous pouvez obtenir l'application PingOne IAM Identity Center à partir du catalogue PingOne d'applications. Pour des informations générales, voir [Ajouter une application depuis le catalogue d'applications](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) sur le Ping Identity site Web.
+ Une connexion SAML entre votre PingOne instance et IAM Identity Center. Une fois que l'application PingOne IAM Identity Center a été ajoutée à votre portail PingOne d'administration, vous devez l'utiliser pour configurer une connexion SAML entre votre PingOne instance et IAM Identity Center. Utilisez les fonctionnalités de « téléchargement » et d' « importation » des métadonnées situées aux deux extrémités pour échanger des métadonnées SAML entre IAM Identity PingOne Center et IAM. Pour obtenir des instructions sur la configuration de cette connexion, consultez la PingOne documentation.
+ Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et à Comptes AWS partir de ces régions. Pour en savoir plus, consultez [Étape 3 : Mettre à jour la configuration de l'IdP externe](replicate-to-additional-region.md#update-external-idp-setup). Consultez la PingOne documentation pour plus de détails.
## Considérations
Voici des considérations importantes PingOne qui peuvent affecter la manière dont vous implémentez le provisionnement avec IAM Identity Center.
+ PingOnene prend pas en charge le provisionnement de groupes via SCIM. Contactez-nous Ping pour obtenir les dernières informations sur le soutien aux groupes dans SCIM forPingOne.
+ Les utilisateurs peuvent continuer à être approvisionnés PingOne après avoir désactivé le provisionnement dans le PingOne portail d'administration. Si vous devez mettre fin au provisionnement immédiatement, supprimez le jeton porteur SCIM approprié, and/or désactivez-le [Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md) dans IAM Identity Center.
+ Si un attribut d'un utilisateur est supprimé du magasin de données configuré dansPingOne, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dans la mise en PingOne’s œuvre du fournisseur. Si un attribut est modifié, le changement sera synchronisé avec IAM Identity Center.
+ Voici quelques remarques importantes concernant votre configuration SAML dans PingOne :
+ IAM Identity Center ne prend en charge `emailaddress` que le `NameId` format. Cela signifie que vous devez choisir un attribut utilisateur unique dans votre répertoire dansPingOne, non nul et formaté sous la forme d'un email/UPN (par exemple, user@domain.com) pour votre mappage **SAML\$1SUBJECT** dans. PingOne **Email (Work)** est une valeur raisonnable à utiliser pour tester les configurations avec le répertoire PingOne intégré.
+ Les utilisateurs qui se connectent PingOne avec une adresse e-mail contenant un caractère **\$1** peuvent ne pas être en mesure de se connecter à IAM Identity Center en raison d'erreurs telles que `'SAML_215'` ou`'Invalid input'`. **Pour résoudre ce problèmePingOne, choisissez l'option **Advanced** pour le mappage **SAML\$1SUBJECT dans les mappages** d'attributs.** Définissez ensuite le **format Name ID à envoyer à SP :** to **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**dans le menu déroulant.
## Étape 1 : activer le provisionnement dans IAM Identity Center
Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Après avoir rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide de l'application PingOne IAM Identity Center. Ces étapes sont décrites dans la procédure suivante.
## Étape 2 : configurer le provisionnement dans PingOne
Utilisez la procédure suivante dans l'application PingOne IAM Identity Center pour activer le provisionnement avec IAM Identity Center. Cette procédure suppose que vous avez déjà ajouté l'application PingOne IAM Identity Center à votre portail PingOne d'administration. Si vous ne l'avez pas encore fait, reportez-vous à cette procédure[Conditions préalables](#pingone-prereqs), puis exécutez-la pour configurer le provisionnement SCIM.
**Pour configurer le provisionnement dans PingOne**
1. Ouvrez l'application PingOne IAM Identity Center que vous avez installée dans le cadre de la configuration de SAML pour PingOne (**Applications** > **Mes applications**). Consultez [Conditions préalables](#pingone-prereqs).
1. Faites défiler la page vers le bas. Sous Configuration **utilisateur, choisissez** le lien **complet** pour accéder à la configuration de configuration de configuration utilisateur de votre connexion.
1. Sur la page **Instructions de provisionnement**, choisissez **Passer à l'étape suivante**.
1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** dans IAM Identity Center. Collez cette valeur dans le champ **URL SCIM** de l'application PingOne IAM Identity Center. Dans la procédure précédente, vous avez également copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **ACCESS\$1TOKEN** de l'application PingOne IAM Identity Center.
1. Pour **REMOVE\$1ACTION**, choisissez **Désactivé** ou **Supprimé** (voir le texte de description sur la page pour plus de détails).
1. Sur la page **Mappage des attributs**, choisissez une valeur à utiliser pour l'assertion **SAML\$1SUBJECT** (`NameId`), en suivant les instructions données [Considérations](#pingone-considerations) plus haut sur cette page. Choisissez ensuite **Passer à l'étape suivante**.
1. Sur la page **Personnalisation des PingOne applications - IAM Identity Center**, apportez les modifications de personnalisation souhaitées (facultatif), puis cliquez sur **Passer à l'étape suivante**.
1. Sur la page **Accès aux groupes**, choisissez les groupes contenant les utilisateurs que vous souhaitez activer pour le provisionnement et l'authentification unique à IAM Identity Center. Choisissez **Passer à l'étape suivante**.
1. Faites défiler la page vers le bas et choisissez **Terminer** pour commencer le provisionnement.
1. **Pour vérifier que les utilisateurs ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Les utilisateurs synchronisés depuis PingOne apparaîtront sur la page **Utilisateurs**. Ces utilisateurs peuvent désormais être affectés à des comptes et à des applications au sein d'IAM Identity Center.
N'oubliez pas que PingOne cela ne prend pas en charge le provisionnement de groupes ou d'adhésions à des groupes via SCIM. Contactez-nous Ping pour plus d'informations.
## (Facultatif) Étape 3 : Configuration des attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center
Il s'agit d'une procédure facultative PingOne si vous choisissez de configurer des attributs pour IAM Identity Center afin de gérer l'accès à vos AWS ressources. Les attributs que vous définissez PingOne sont transmis dans une assertion SAML à IAM Identity Center. Vous créez ensuite un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisPingOne.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
**Pour configurer les attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center**
1. Ouvrez l'application PingOne IAM Identity Center que vous avez installée dans le cadre de la configuration de SAML pour PingOne (**Applications > Mes applications**).
1. Choisissez **Modifier**, puis **passez à l'étape suivante jusqu'à** ce que vous arriviez à la page **Mappages d'attributs**.
1. Sur la page **Mappages d'attributs**, choisissez **Ajouter un nouvel attribut**, puis procédez comme suit. Vous devez effectuer ces étapes pour chaque attribut que vous ajouterez pour être utilisé dans IAM Identity Center à des fins de contrôle d'accès.
1. Dans le champ **Attribut de l'application**, entrez`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`. *AttributeName*Remplacez-le par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`.
1. Dans le champ **Attribut ou valeur littérale d'Identity Bridge**, sélectionnez les attributs utilisateur PingOne dans votre annuaire. Par exemple, **Email (Work)**.
1. Cliquez sur **Suivant** à quelques reprises, puis sur **Terminer**.
## (Facultatif) Transmission d'attributs pour le contrôle d'accès
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAMLPingOne, consultez les sections suivantes :
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ Pour plus d'informationsPingOne, consultez [PingOnela documentation](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html).
Les ressources suivantes peuvent vous aider à résoudre les problèmes lorsque vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique
# Configuration de l'accès utilisateur avec le répertoire IAM Identity Center par défaut
Lorsque vous activez IAM Identity Center pour la première fois, il est automatiquement configuré avec un répertoire Identity Center comme source d'identité par défaut. Vous n'avez donc pas besoin de choisir une source d'identité. Si votre organisation utilise un autre fournisseur d'identité tel que Microsoft Active DirectoryMicrosoft Entra ID, ou Okta envisagez d'intégrer cette source d'identité à IAM Identity Center au lieu d'utiliser la configuration par défaut.
**Objectif**
Dans ce didacticiel, vous allez utiliser le répertoire par défaut comme source d'identité et une instance d'organisation IAM Identity Center pour configurer et tester un utilisateur administratif. Cet utilisateur administratif crée et gère des utilisateurs et des groupes et accorde AWS l'accès avec des ensembles d'autorisations. Au cours des prochaines étapes, vous allez créer les éléments suivants :
+ Un utilisateur administratif nommé *Nikki Wolf*
+ Un groupe nommé *Admin team*
+ Un ensemble d'autorisations nommé *AdminAccess*
Pour vérifier que tout a été créé correctement, vous allez vous connecter et définir le mot de passe de l'utilisateur administratif. Une fois ce didacticiel terminé, vous pouvez utiliser l'utilisateur administratif pour ajouter d'autres utilisateurs dans IAM Identity Center, créer des ensembles d'autorisations supplémentaires et configurer l'accès organisationnel aux applications. Si vous souhaitez autoriser les utilisateurs à accéder à l'application, vous pouvez également suivre l'[étape 1](#gs-qs-step1) de cette procédure et [configurer l'accès à l'application](manage-your-applications.md).
## Conditions préalables
Les prérequis suivants sont nécessaires pour suivre ce didacticiel :
+ [Activer IAM Identity Center](enable-identity-center.md)et disposez d'une [instance organisationnelle d'IAM Identity Center](organization-instances-identity-center.md).
+ Si vous possédez une [instance de compte](account-instances-identity-center.md) d'IAM Identity Center, vous pouvez créer des utilisateurs et des groupes, ainsi que leur accorder l'accès aux applications. Pour plus d'informations, consultez la section [Accès aux applications](manage-your-applications.md).
+ Connectez-vous à la console IAM Identity Center AWS Management Console et accédez-y en tant que :
+ **Nouvel utilisateur AWS (utilisateur root)** : connectez-vous en tant que propriétaire du compte en choisissant **l'utilisateur Compte AWS root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
+ Vous **utilisez déjà AWS (informations d'identification IAM)** : connectez-vous à l'aide de vos informations d'identification IAM avec des autorisations administratives.
+ Pour obtenir de l'aide supplémentaire pour vous connecter au AWS Management Console, consultez le [Connexion à AWS Guide.](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ Vous pouvez configurer l'authentification multifactorielle pour les utilisateurs de votre IAM Identity Center. Pour de plus amples informations, veuillez consulter [Configuration de la MFA dans IAM Identity Center](mfa-configure.md).
## Étape 1 : ajouter un utilisateur
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Dans le volet de navigation d'IAM Identity Center, choisissez **Utilisateurs**, puis sélectionnez **Ajouter un utilisateur**.
1. Sur la page **Spécifier les détails de l'utilisateur**, complétez les informations suivantes :
+ **Nom d'utilisateur** : pour ce didacticiel, entrez*nikkiw*.
Lorsque vous créez des utilisateurs, choisissez des noms d'utilisateur faciles à mémoriser. Vos utilisateurs doivent mémoriser leur nom d'utilisateur pour se connecter au portail AWS d'accès et vous ne pourrez pas le modifier ultérieurement.
+ **Mot de passe** - Choisissez **Envoyer un e-mail à cet utilisateur avec les instructions de configuration du mot de passe (recommandé)**.
Cette option envoie à l'utilisateur une adresse e-mail provenant d'Amazon Web Services, avec pour objet **Invitation à rejoindre IAM Identity Center**. L'e-mail provient de l'un `no-reply@signin.aws` ou de`no-reply@login.awsapps.com`. Ajoutez ces adresses e-mail à votre liste d'expéditeurs approuvés.
+ **Adresse e-mail** - Entrez l'adresse e-mail de l'utilisateur à laquelle vous pouvez recevoir l'e-mail. Ensuite, saisissez-le à nouveau pour le confirmer. Chaque utilisateur doit avoir une adresse e-mail unique.
+ **Prénom** - Entrez le prénom de l'utilisateur. Dans le cadre de ce didacticiel, entrez *Nikki*.
+ **Nom de famille** - Entrez le nom de famille de l'utilisateur. Dans le cadre de ce didacticiel, entrez *Wolf*.
+ **Nom d'affichage** : la valeur par défaut est le prénom et le nom de famille de l'utilisateur. Si vous souhaitez modifier le nom d'affichage, vous pouvez saisir un autre nom. Le nom d'affichage est visible dans le portail de connexion et dans la liste des utilisateurs.
+ Complétez les informations facultatives si vous le souhaitez. Il n'est pas utilisé pendant ce didacticiel et vous pourrez le modifier ultérieurement.
1. Choisissez **Suivant**. La page **Ajouter un utilisateur aux groupes** apparaît. Nous allons créer un groupe auquel attribuer des autorisations administratives au lieu de les donner directement*Nikki*.
Choisissez **Créer un groupe**
Un nouvel onglet de navigateur s'ouvre pour afficher la page **Créer un groupe**.
1. Sous **Détails du groupe**, dans **Nom du groupe**, entrez le nom du groupe. Nous recommandons un nom de groupe qui identifie le rôle du groupe. Dans le cadre de ce didacticiel, entrez *Admin team*.
1. Choisissez **Créer un groupe**
1. Fermez l'onglet du navigateur de **groupes** pour revenir à l'onglet du navigateur **Ajouter un utilisateur**
1. Dans la zone **Groupes**, sélectionnez le bouton **Actualiser**. Le *Admin team* groupe apparaît dans la liste.
Cochez la case à côté de*Admin team*, puis choisissez **Next**.
1. Sur la page **Vérifier et ajouter un utilisateur**, confirmez les points suivants :
+ Les informations principales apparaissent comme vous le souhaitiez
+ Groupes affiche l'utilisateur ajouté au groupe que vous avez créé
Si vous souhaitez apporter des modifications, choisissez **Modifier**. Lorsque tous les détails sont corrects, choisissez **Ajouter un utilisateur**.
Un message de notification vous informe que l'utilisateur a été ajouté.
Vous allez ensuite ajouter des autorisations administratives pour le *Admin team* groupe afin qu'il *Nikki* ait accès aux ressources.
## Étape 2 : ajouter des autorisations administratives
**Important**
Suivez ces étapes uniquement si vous avez activé une [instance d'organisation d'IAM Identity Center](identity-center-instances.md).
1. Dans le volet de navigation d'IAM Identity Center, sous **Autorisations multi-comptes**, sélectionnez. **Comptes AWS**
1. Sur la **Comptes AWS**page, la **structure organisationnelle** affiche votre organisation avec vos comptes situés en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez **Attribuer des utilisateurs ou des groupes**.
1. Le flux de travail **Attribuer des utilisateurs et des groupes** s'affiche. Il se compose de trois étapes :
1. Pour **l'étape 1 : Sélectionnez les utilisateurs et les groupes**, choisissez le *Admin team* groupe que vous avez créé. Ensuite, sélectionnez **Suivant**.
1. Pour **l'étape 2 : Sélectionnez des ensembles d'autorisations**, choisissez **Créer un ensemble d'autorisations** pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.
1. Pour **l'étape 1 : Sélectionnez le type d'ensemble d'autorisations**, procédez comme suit :
+ Dans **Type d'ensemble d'autorisations**, choisissez **Ensemble d'autorisations prédéfini**.
+ Dans **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez **AdministratorAccess**.
Choisissez **Suivant**.
1. Pour **l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations**, conservez les paramètres par défaut et choisissez **Next**.
Les paramètres par défaut créent un ensemble d'autorisations nommé *AdministratorAccess* avec une durée de session fixée à une heure. Vous pouvez modifier le nom de l'ensemble d'autorisations en saisissant un nouveau nom dans le champ **Nom de l'ensemble d'autorisations**.
1. Pour **l'étape 3 : révision et création**, vérifiez que le **type d'ensemble d'autorisations** utilise la politique AWS gérée **AdministratorAccess**. Choisissez **Créer**. Sur la page **Ensembles d'autorisations**, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.
Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, vous êtes toujours à l'**étape 2 : sélectionnez les ensembles d'autorisations** à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.
Dans la zone **Ensembles d'autorisations**, cliquez sur le bouton **Actualiser**. L'ensemble *AdministratorAccess* d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez **Next**.
1. Sur la page **Étape 3 : Révision et envoi des tâches**, vérifiez que le *Admin team* groupe est sélectionné et que l'ensemble d'*AdministratorAccess*autorisations est sélectionné, puis choisissez **Soumettre**.
La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.
Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué.
**Félicitations \$1**
Vous avez correctement configuré votre premier utilisateur, votre premier groupe et votre premier ensemble d'autorisations.
Dans la partie suivante de ce didacticiel, vous allez tester *Nikki's* l'accès en vous connectant au portail d' AWS accès avec leurs informations d'identification administratives et en définissant leur mot de passe. Déconnectez-vous de la console maintenant.
## Étape 3 : Tester l'accès utilisateur
Maintenant qu'il *Nikki Wolf* s'agit d'un utilisateur de votre organisation, il peut se connecter et accéder aux ressources pour lesquelles il est autorisé en fonction de son ensemble d'autorisations. Pour vérifier que l'utilisateur est correctement configuré, à l'étape suivante, vous utiliserez les *Nikki's* informations d'identification pour vous connecter et configurer son mot de passe. Lorsque vous avez ajouté l'utilisateur *Nikki Wolf* à l'étape 1, vous avez choisi de *Nikki* recevoir un e-mail contenant les instructions de configuration du mot de passe. Il est temps d'ouvrir cet e-mail et de procéder comme suit :
1. Dans l'e-mail, sélectionnez le lien **Accepter l'invitation** pour accepter l'invitation.
**Note**
L'e-mail inclut également le nom *Nikki's* d'utilisateur et l'URL du portail d' AWS accès qu'ils utiliseront pour se connecter à l'organisation. Enregistrez ces informations pour une utilisation future.
Vous êtes redirigé vers la page **d'inscription d'un nouvel utilisateur** où vous pouvez définir un *Nikki's* mot de passe et [enregistrer son appareil MFA](enable-mfa.md).
1. Après avoir défini le *Nikki's* mot de passe, vous êtes dirigé vers la page **de connexion**. Entrez *nikkiw* et choisissez **Suivant**, puis entrez le *Nikki's* mot de passe et choisissez **Se connecter**.
1. Le portail AWS d'accès s'ouvre et affiche l'organisation et les applications auxquelles vous pouvez accéder.
Sélectionnez l'organisation pour la développer dans une liste Comptes AWS , puis sélectionnez le compte pour afficher les rôles que vous pouvez utiliser pour accéder aux ressources du compte.
Chaque ensemble d'autorisations comporte deux méthodes de gestion que vous pouvez utiliser, soit les clés de **rôle**, soit **les clés d'accès**.
+ **Rôle**, par exemple *AdministratorAccess* - Ouvre le AWS Console Home.
+ **Clés d'accès** : fournit des informations d'identification que vous pouvez utiliser avec le AWS CLI ou le AWS SDK. Inclut les informations relatives à l'utilisation d'informations d'identification à court terme actualisées automatiquement ou de clés d'accès à court terme. Pour de plus amples informations, veuillez consulter [Obtenir les informations d'identification utilisateur d'IAM Identity Center pour le ou AWS CLI AWS SDKs](howtogetcredentials.md).
1. Cliquez sur le lien **Rôle** pour vous connecter au AWS Console Home.
Vous êtes connecté et vous avez accédé à la AWS Console Home page. Explorez la console et confirmez que vous disposez de l'accès attendu.
## Étapes suivantes
Maintenant que vous avez créé un utilisateur administratif dans IAM Identity Center, vous pouvez :
+ [Attribuer des applications](manage-your-applications.md)
+ [Ajouter d'autres utilisateurs](addusers.md)
+ [Attribuer des utilisateurs à des comptes](assignusers.md)
+ [Configurer des ensembles d'autorisations supplémentaires](howtocreatepermissionset.md)
**Note**
Vous pouvez attribuer plusieurs ensembles d'autorisations au même utilisateur. Pour suivre la meilleure pratique consistant à appliquer des autorisations de moindre privilège, après avoir créé votre utilisateur administratif, créez un ensemble d'autorisations plus restrictif et attribuez-le au même utilisateur. Ainsi, vous pouvez accéder à votre compte uniquement Compte AWS avec les autorisations dont vous avez besoin, plutôt qu'avec des autorisations administratives.
Une fois que vos utilisateurs ont [accepté leur invitation](howtoactivateaccount.md) à activer leur compte et qu'ils se sont connectés au portail d' AWS accès, les seuls éléments qui apparaissent dans le Comptes AWS portail concernent les rôles et les applications auxquels ils sont affectés.
## Didacticiels vidéo
Comme ressource supplémentaire, vous pouvez utiliser ces didacticiels vidéo pour en savoir plus sur la configuration de fournisseurs d'identité externes :
+ [Migration entre fournisseurs d'identité externes dans AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [Fédérer votre AWS IAM Identity Center instance existante avec Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)