SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé - Pilier Sécurité
Directives d’implémentationRessources

SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé

Pour les identités du personnel (employés et sous-traitants), faites confiance à un fournisseur d’identité qui vous permet de gérer les identités de manière centralisée. Cela facilite la gestion de l’accès entre plusieurs applications et systèmes, car vous créez, attribuez, gérez, révoquez et auditez l’accès depuis un seul emplacement.

Résultat escompté : Vous disposez d’un fournisseur d’identité centralisé dans lequel vous gérez de manière centralisée les utilisateurs faisant partie du personnel, les politiques d’authentification (telles que l’exigence d’authentification multifactorielle (MFA)) et les autorisations accordées aux systèmes et aux applications (telles que l’attribution de l’accès en fonction de l’appartenance à un groupe ou des attributs d’un utilisateur). Les utilisateurs en interne se connectent au fournisseur d’identité central et se fédèrent (authentification unique) avec les applications internes et externes, ce qui leur évite d’avoir à mémoriser différentes informations d’identification. Votre fournisseur d’identité est intégré à vos systèmes de ressources humaines (RH) afin que les changements de personnel soient automatiquement synchronisés avec lui. Par exemple, si quelqu’un quitte votre organisation, vous pouvez automatiquement révoquer l’accès aux applications et systèmes fédérés (y compris AWS). Vous avez activé la journalisation détaillée des audits dans votre fournisseur d’identité et vous surveillez ces journaux pour détecter tout comportement inhabituel des utilisateurs.

Anti-modèles courants :

  • Vous n’utilisez pas la fédération ni l’authentification unique. Les utilisateurs en interne créent des comptes utilisateur et des informations d’identification distincts dans plusieurs applications et systèmes.

  • Vous n’avez pas automatisé le cycle de vie des identités pour les utilisateurs en interne, par exemple en intégrant votre fournisseur d’identité à vos systèmes RH. Lorsqu’un utilisateur quitte votre organisation ou change de rôle, vous suivez un processus manuel pour supprimer ou mettre à jour ses enregistrements dans plusieurs applications et systèmes.

Avantages liés au respect de cette bonne pratique : en utilisant un fournisseur d’identité centralisé, vous disposez d’un emplacement unique pour gérer les identités et les politiques des utilisateurs en interne, de la possibilité d’attribuer l’accès aux applications, aux utilisateurs et aux groupes, et de la capacité de surveiller l’activité de connexion des utilisateurs. Grâce à l’intégration du fournisseur d’identité dans vos systèmes de ressources humaines (RH), lorsqu’un utilisateur change de rôle, ces modifications sont synchronisées avec le fournisseur d’identité et mettent automatiquement à jour les applications et les autorisations qui lui ont été attribuées. Lorsqu’un utilisateur quitte votre organisation, son identité est automatiquement désactivée dans le fournisseur d’identité, révoquant ainsi son accès aux applications et systèmes fédérés.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Conseils pour les utilisateurs en interne accédant à AWS Les utilisateurs en interne, tels que les employés et les sous-traitants de votre organisation, peuvent avoir besoin d’accéder à AWS avec la AWS Management Console ou l’AWS Command Line Interface (AWS CLI) pour exécuter leurs tâches. Vous pouvez accorder l’accès AWS aux utilisateurs en interne en les fédérant avec AWS à deux niveaux à partir de votre fournisseur d’identité centralisé : fédération directe vers chaque Compte AWS ou fédération vers plusieurs comptes dans votre organisation AWS.

Pour fédérer les utilisateurs en interne directement avec chaque Compte AWS, vous pouvez utiliser un fournisseur d’identité centralisé afin de les fédérer à AWS Identity and Access Management dans ce compte. La flexibilité d’IAM vous permet d’activer un fournisseur d’identité SAML 2.0 ou Open ID Connect (OIDC) distinct pour chaque Compte AWS et d’utiliser des attributs d’utilisateur fédéré pour le contrôle d’accès. Les utilisateurs en interne utiliseront leur navigateur Web pour se connecter au fournisseur d’identité en indiquant leurs informations d’identification (telles que des mots de passe et des codes de jeton MFA). Le fournisseur d’identité enverra à son navigateur une assertion SAML soumise à l’URL de connexion de la AWS Management Console pour permettre à l’utilisateur de s’authentifier de manière unique auprès de la AWS Management Console en assumant un rôle IAM. Vos utilisateurs peuvent également obtenir des informations d’identification d’API AWS temporaires à utiliser dans le AWS CLI ou AWS les SDK à partir de AWS STS en assumant le rôle IAM à l’aide d’une assertion SAML du fournisseur d’identité.

Pour fédérer vos utilisateurs en interne avec plusieurs comptes dans votre organisation AWS, vous pouvez utiliser AWS IAM Identity Center pour gérer de manière centralisée l’accès des utilisateurs en interne aux Comptes AWS et aux applications. Vous activez Identity Center pour votre organisation et configurez votre source d’identité. IAM Identity Center fournit un répertoire de sources d’identité par défaut que vous pouvez utiliser pour gérer vos utilisateurs et vos groupes. Vous pouvez également choisir une source d’identité externe en vous connectant à votre fournisseur d’identité externe à l’aide de SAML 2.0 et en provisionnant automatiquement les utilisateurs et les groupes à l’aide de SCIM, ou en vous connectant à votre annuaire Microsoft AD à l’aide de AWS Directory Service. Une fois qu’une source d’identité est configurée, vous pouvez attribuer aux utilisateurs et aux groupes l’accès aux Comptes AWS en définissant des politiques de moindre privilège dans vos ensembles d’autorisation. Les utilisateurs de votre personnel peuvent s’authentifier par l’intermédiaire de votre fournisseur d’identité central pour se connecter au portail d’accès AWS et ouvrir une session unique dans le Comptes AWS et les applications cloud qui leur sont attribuées. Vos utilisateurs peuvent configurer la AWS CLI v2 pour s’authentifier auprès d’Identity Center et obtenir des informations d’identification pour exécuter des commandes AWS CLI. Identity Center permet également l’accès par authentification unique à AWS des applications telles que les portails Amazon SageMaker Studio et AWS IoT Sitewise Monitor.

Une fois que vous aurez suivi les instructions précédentes, vos utilisateurs en interne n’auront plus besoin d’utiliser des utilisateur IAM et des groupes pour les opérations normales lors de la gestion des charges de travail sur AWS. Au lieu de cela, vos utilisateurs et vos groupes sont gérés en dehors de AWS et les utilisateurs peuvent accéder aux ressources AWS sous la forme d’une identité fédérée. Les identités fédérées utilisent les groupes définis par votre fournisseur d’identité centralisé. Vous devez identifier et supprimer les groupes IAM, les utilisateur IAM et les informations d’identification utilisateur de longue durée (mots de passe et clés d’accès) dont vous n’avez plus besoin dans vos Comptes AWS. Vous pouvez trouver les informations d’identification non utilisées à l’aide de rapports d’informations d’identification IAM, supprimer les utilisateurs IAM correspondants et supprimer les groupes IAM. Vous pouvez appliquer une Politique de contrôle des services (SCP) à votre organisation afin d’empêcher la création de nouveaux utilisateurs IAM et groupes, en renforçant cet accès à AWS via des identités fédérées.

Note

Vous êtes responsable de la gestion de la rotation des jetons d’accès SCIM, comme décrit dans la documentation relative au provisionnement automatique. En outre, vous êtes responsable de la rotation des certificats prenant en charge votre fédération d’identité.

Conseils pour les utilisateurs de vos applications Vous pouvez gérer les identités des utilisateurs de vos applications, telles qu’une application mobile, en utilisant Amazon Cognito comme fournisseur d’identité centralisé. Amazon Cognito assure l’authentification, l’autorisation et la gestion des utilisateurs pour vos applications Web et mobiles. Amazon Cognito fournit une banque d’identités adaptée à des millions d’utilisateurs, prend en charge la fédération d’identité sociale de l’entreprise et propose des fonctionnalités de sécurité avancées pour protéger vos utilisateurs et votre entreprise. Vous pouvez intégrer votre application Web ou mobile personnalisée avec Amazon Cognito pour ajouter l’authentification des utilisateurs et le contrôle d’accès à vos applications en quelques minutes. Fondé sur des normes d’identité ouvertes telles que SAML et OpenID Connect (OIDC), Amazon Cognito prend en charge diverses réglementations de conformité et s’intègre aux ressources de développement front-end et dorsal.

Étapes d’implémentation

Étapes à suivre pour permettre aux utilisateurs en interne d’accéder à AWS

  • Fédérez les utilisateurs en interne à AWS à l’aide d’un fournisseur d’identité centralisé en utilisant l’une des approches suivantes :

    • Utilisez IAM Identity Center pour activer l’authentification unique à plusieurs Comptes AWS dans votre organisation AWS en vous fédérant avec votre fournisseur d’identité.

    • Utilisez IAM pour connecter votre fournisseur d’identité directement à chaque Compte AWS, afin de permettre un accès fédéré précis.

  • Identifiez et supprimez les utilisateurs IAM et les groupes qui seront remplacés par des identités fédérées.

Étapes à suivre pour les utilisateurs de vos applications

  • Utilisez Amazon Cognito comme fournisseur d’identité centralisé pour vos applications.

  • Intégrez vos applications personnalisées à Amazon Cognito à l’aide d’OpenID Connect et d’OAuth. Vous pouvez développer vos applications personnalisées à l’aide des bibliothèques Amplify qui fournissent des interfaces simples à intégrer à divers services AWS, tels que Amazon Cognito pour l’authentification.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Exemples connexes :

Outils associés :