Fournisseurs de confiance en matière d'identité utilisateur pour Verified Access - AWS Accès vérifié
IAMCentre d'identitéOIDCfournisseur de confiance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fournisseurs de confiance en matière d'identité utilisateur pour Verified Access

Vous pouvez choisir d'utiliser l'un AWS IAM Identity Center ou l'autre fournisseur de confiance en matière d'identité utilisateur compatible avec OpenID Connect.

Utiliser IAM Identity Center en tant que fournisseur de confiance

Vous pouvez l'utiliser AWS IAM Identity Center comme fournisseur de confiance en matière d'identité utilisateur avec AWS Verified Access.

Prérequis et considérations

  • Votre instance IAM Identity Center doit être une AWS Organizations instance. Une instance IAM Identity Center de AWS compte autonome ne fonctionnera pas.

  • Votre instance IAM Identity Center doit être activée dans la même AWS région que celle dans laquelle vous souhaitez créer le fournisseur de confiance Verified Access.

  • L'accès vérifié peut fournir un accès aux utilisateurs IAM d'Identity Center affectés à un maximum de 1 000 groupes.

Voir Gérer les instances d'organisation et de compte d'IAMIdentity Center dans le guide de AWS IAM Identity Center l'utilisateur pour plus de détails sur les différents types d'instances.

Création d'un fournisseur de confiance IAM Identity Center

Une fois IAM Identity Center activé sur votre AWS compte, vous pouvez utiliser la procédure suivante pour configurer IAM Identity Center en tant que fournisseur de confiance pour l'accès vérifié.

Pour créer un fournisseur de confiance IAM Identity Center (AWS console)

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Verified Access trust providers, puis Create Verified Access trust provider.

  3. (Facultatif) Dans les champs Name tag et Description, entrez un nom et une description pour le fournisseur de confiance.

  4. Pour le nom de référence de la stratégie, entrez un identifiant à utiliser ultérieurement lors de l'utilisation des règles de stratégie.

  5. Sous Type de fournisseur de confiance, sélectionnez Fournisseur de confiance utilisateur.

  6. Sous Type de fournisseur de confiance utilisateur, sélectionnez IAMIdentity Center.

  7. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  8. Choisissez Create Verified Access trust provider.

Pour créer un fournisseur de confiance IAM Identity Center (AWS CLI)

Supprimer un fournisseur de confiance IAM Identity Center

Avant de pouvoir supprimer un fournisseur de confiance, vous devez supprimer toutes les configurations de point de terminaison et de groupe de l'instance à laquelle le fournisseur de confiance est attaché.

Pour supprimer un fournisseur de confiance IAM Identity Center (AWS console)

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Verified Access trust providers, puis sélectionnez le fournisseur de confiance que vous souhaitez supprimer sous Verified Access trust providers.

  3. Choisissez Actions, puis Supprimer le fournisseur de confiance Verified Access.

  4. Confirmez la suppression en entrant delete dans la zone de texte.

  5. Sélectionnez Delete (Supprimer).

Pour supprimer un fournisseur de confiance IAM Identity Center (AWS CLI)

Utiliser un fournisseur de confiance OpenID Connect

Accès vérifié par AWS prend en charge les fournisseurs d'identité qui utilisent les méthodes standard OpenID Connect (OIDC). Vous pouvez utiliser des fournisseurs OIDC compatibles en tant que fournisseurs de confiance en matière d'identité utilisateur avec Verified Access. Cependant, en raison du large éventail de OIDC fournisseurs potentiels, AWS il n'est pas en mesure de tester chaque OIDC intégration avec Verified Access.

Verified Access obtient les données de confiance qu'il évalue auprès du OIDC fournisseur. UserInfo Endpoint Le Scope paramètre est utilisé pour déterminer quels ensembles de données de confiance seront récupérés. Une fois les données de confiance reçues, la politique d'accès vérifié est évaluée par rapport à celles-ci.

Note

Verified Access n'utilise pas les données de confiance ID token envoyées par le OIDC fournisseur lors de l'évaluation de la politique d'accès vérifié. Seules les données de confiance provenant de UserInfo Endpoint sont évaluées par rapport à la politique.

Conditions préalables à la création d'un fournisseur de OIDC confiance

Vous devrez recueillir les informations suivantes directement auprès du service de votre fournisseur de confiance :

  • Emetteur

  • Point final d'autorisation

  • Point de terminaison de jeton

  • UserInfo point final

  • ID de client

  • Secret client

  • Portée

Créez un fournisseur de OIDC confiance

Utilisez la procédure suivante pour créer un OIDC en tant que fournisseur de confiance.

Pour créer un fournisseur de OIDC confiance (AWS console)

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Verified Access trust providers, puis Create Verified Access trust provider.

  3. (Facultatif) Dans les champs Name tag et Description, entrez un nom et une description pour le fournisseur de confiance.

  4. Pour le nom de référence de la stratégie, entrez un identifiant à utiliser ultérieurement lors de l'utilisation des règles de stratégie.

  5. Sous Type de fournisseur de confiance, sélectionnez Fournisseur de confiance utilisateur.

  6. Sous Type de fournisseur de confiance utilisateur, sélectionnez OIDC(OpenID Connect).

  7. Dans Émetteur, entrez l'identifiant de l'OIDCémetteur.

  8. Pour Point de terminaison d'autorisation, entrez la valeur complète URL du point de terminaison d'autorisation.

  9. Pour le point de terminaison du jeton, entrez la valeur complète URL du point de terminaison du jeton.

  10. Pour Point de terminaison utilisateur, entrez la valeur complète URL du point de terminaison utilisateur.

  11. Entrez l'identifiant du client OAuth 2.0 pour l'ID client.

  12. Entrez le secret du client OAuth 2.0 pour le secret du client.

  13. Entrez une liste délimitée par des espaces de champs définis avec votre fournisseur d'identité. Au minimum, la portée « openid » est requise pour Scope.

  14. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  15. Choisissez Create Verified Access trust provider.

Note

Vous devrez ajouter une redirection URI vers la liste d'autorisation de votre OIDC fournisseur. Vous souhaiterez utiliser le point ApplicationDomain de terminaison Verified Access à cette fin. Vous pouvez le trouver dans l' AWS Management Console onglet Détails de votre point de terminaison d'accès vérifié ou en utilisant le AWS CLI pour décrire le point de terminaison. Ajoutez ce qui suit à la liste des autorisations de votre OIDC fournisseur : https ://ApplicationDomain/oauth2/idpresponse

Pour créer un fournisseur de OIDC confiance (AWS CLI)

Modifier un fournisseur de OIDC confiance

Après avoir créé un fournisseur de confiance, vous pouvez mettre à jour sa configuration.

Pour modifier un fournisseur de OIDC confiance (AWS console)

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Fournisseurs de confiance Verified Access, puis sélectionnez le fournisseur de confiance que vous souhaitez modifier sous Fournisseurs de confiance Verified Access.

  3. Choisissez Actions, puis Modifier le fournisseur de confiance Verified Access.

  4. Modifiez les options que vous souhaitez modifier.

  5. Choisissez Modifier le fournisseur de confiance Verified Access.

Pour modifier un fournisseur de OIDC confiance (AWS CLI)

Supprimer un fournisseur de OIDC confiance

Avant de supprimer un fournisseur de confiance utilisateur, vous devez d'abord supprimer toutes les configurations de point de terminaison et de groupe de l'instance à laquelle le fournisseur de confiance est attaché.

Pour supprimer un fournisseur de OIDC confiance (AWS console)

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Verified Access trust providers, puis sélectionnez le fournisseur de confiance que vous souhaitez supprimer sous Verified Access trust providers.

  3. Choisissez Actions, puis Supprimer le fournisseur de confiance Verified Access.

  4. Confirmez la suppression en entrant delete dans la zone de texte.

  5. Sélectionnez Delete (Supprimer).

Pour supprimer un fournisseur de OIDC confiance (AWS CLI)