Création de fournisseurs d'identité SAML IAM - AWS Identity and Access Management
Création et gestion d'un fournisseur d'identité SAML IAM (console) Création et gestion d'un fournisseur d'identité SAML IAM (AWS CLI)Création et gestion d'un fournisseur d'identité SAML IAM (API AWS)

Création de fournisseurs d'identité SAML IAM

Un fournisseur d'identité SAML 2.0 IAM est une entité dans IAM qui décrit un service de fournisseur d'identité (IdP) externe prenant en charge la norme SAML 2.0 (Security Assertion Markup Language 2.0). Vous utilisez un fournisseur d'identité IAM lorsque vous voulez établir une relation d'approbation entre un IdP compatible avec SAML, tel que Shibboleth ou les services Active Directory Federation Services et AWS, afin les utilisateurs de votre organisation puissent accéder aux ressources AWS. Les fournisseurs d'identité SAML IAM sont utilisés en tant que principaux dans une politique d'approbation IAM.

Pour plus d'informations sur ce scénario, consultez À propos de la fédération SAML 2.0.

Vous pouvez créer et gérer un fournisseur d'identité IAM dans la AWS Management Console ou à l'aide de la AWS CLI, des Tools for Windows PowerShell ou les appels d'API AWS.

Après avoir créé un fournisseur SAML, vous devez créer un ou plusieurs rôles IAM. Un rôle est une identité dans AWS qui ne dispose pas de ses propres informations d'identification (comme c'est le cas pour un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un utilisateur fédéré qui est authentifié par le fournisseur d'identité (IdP) de votre organisation. Le rôle permet à l'IdP de votre organisation de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les stratégies affectées au rôle déterminent les actions que les utilisateurs fédérés sont autorisés à exécuter dans AWS. Pour créer un rôle pour la fédération SAML, consultez Création d'un rôle pour un fournisseur d'identité tiers (fédération).

Enfin, après avoir créé le rôle, vous devez finaliser la relation d'approbation SAML en configurant votre IdP à l'aide d'informations sur AWS et sur les rôles que vous voulez affecter à vos utilisateurs fédérés. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre IdP et AWS. Pour configurer la relation d'approbation des parties utilisatrices, consultez Configuration de votre IdP SAML 2.0 à l'aide d'une relation d'approbation des parties utilisatrices et ajout de demandes.

Rubriques

Création et gestion d'un fournisseur d'identité SAML IAM (console)

Vous pouvez utiliser la AWS Management Console pour créer et supprimer des fournisseurs d'identité SAML IAM.

Pour créer un fournisseur d'identité SAML IAM (console)

  1. Avant de créer un fournisseur d'identité SAML IAM, vous devez obtenir le document de métadonnées SAML que le fournisseur d'identité tiers vous a envoyé. Ce document inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Pour générer le document de métadonnées, utilisez le logiciel de gestion des identités qu'utilise votre organisation en guise d'IdP. Pour obtenir des instructions sur la configuration de bon nombre des fournisseurs d'identité disponibles pour les utiliser avec AWS, notamment comment générer le document de métadonnées SAML requis, consultez Intégration de prestataires de solution SAML tiers avec AWS.

    Important

    Ce fichier de métadonnées inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Le fichier de métadonnées doit être codé au format UTF-8 sans marque d'ordre d'octet (BOM). Pour supprimer la marque d'ordre d'octet (BOM), vous pouvez coder le fichier au format UTF-8 à l'aide d'un outil d'édition de texte, tel que Notepad++.

    Le certificat x.509 inclus comme partie du document des métadonnées SAML doit utiliser une taille de clé au moins égale à 1 024 bits. De plus, le certificat x.509 doit également être exempt de toute extension répétée. Vous pouvez utiliser des extensions, mais elles ne peuvent apparaître qu'une seule fois dans le certificat. Si le certificat x.509 ne répond à aucune des conditions, la création de l'IdP échoue et renvoie une erreur « impossible d'analyser les métadonnées ».

    Comme défini par la version 1.0 du profil d'interopérabilité des métadonnées SAML V2.0, IAM n'évalue ni ne prend aucune mesure concernant l'expiration du certificat X.509 du document de métadonnées.

  2. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  3. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.

  4. Pour Configurer le fournisseur, sélectionnez SAML.

  5. Saisissez un nom pour le fournisseur d'identité.

  6. Pour Document de métadonnées, sélectionnez Choisir un fichier, spécifiez le document de métadonnées SAML que vous avez téléchargé dans Étape 1.

  7. (Facultatif) Pour Add tags (Ajouter des balises), vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et organiser vos IdP. Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS. Pour en savoir plus sur le balisage des fournisseurs d'identité SAML, reportez-vous à la section Balisage de fournisseurs d'identité SAML IAM.

    Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.

  8. Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur.

  9. Attribuez un rôle IAM à votre fournisseur d'identité pour donner aux identités d'utilisateur externes gérées par votre fournisseur d'identité les autorisations d'accès aux ressources AWS de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Création d'un rôle pour un fournisseur d'identité tiers (fédération).

    Note

    Les IdP SAML utilisés dans une politique d'approbation de rôle doivent se trouver dans le même compte que le rôle.

Pour supprimer un fournisseur SAML (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité.

  3. Activez la case d'option en regard du fournisseur d'identité que vous souhaitez supprimer.

  4. Choisissez Supprimer. Une nouvelle fenêtre s'ouvre.

  5. Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Création et gestion d'un fournisseur d'identité SAML IAM (AWS CLI)

Vous pouvez utiliser l’interface AWS CLI pour créer et gérer des fournisseurs SAML.

Avant de créer un fournisseur d'identité IAM, vous devez obtenir le document de métadonnées SAML que le fournisseur d'identité tiers vous a envoyé. Ce document inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Pour générer le document de métadonnées, utilisez le logiciel de gestion des identités qu'utilise votre organisation en guise d'IdP. Pour obtenir des instructions sur la configuration de bon nombre des fournisseurs d'identité disponibles pour les utiliser avec AWS, notamment comment générer le document de métadonnées SAML requis, consultez Intégration de prestataires de solution SAML tiers avec AWS.

Important

Ce fichier de métadonnées inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Le fichier de métadonnées doit être codé au format UTF-8 sans marque d'ordre d'octet (BOM). Pour supprimer la marque d'ordre d'octet (BOM), vous pouvez coder le fichier au format UTF-8 à l'aide d'un outil d'édition de texte, tel que Notepad++.

Le certificat x.509 inclus comme partie du document des métadonnées SAML doit utiliser une taille de clé au moins égale à 1 024 bits. De plus, le certificat x.509 doit également être exempt de toute extension répétée. Vous pouvez utiliser des extensions, mais elles ne peuvent apparaître qu'une seule fois dans le certificat. Si le certificat x.509 ne répond à aucune des conditions, la création de l'IdP échoue et renvoie une erreur « impossible d'analyser les métadonnées ».

Comme défini par la version 1.0 du profil d'interopérabilité des métadonnées SAML V2.0, IAM n'évalue ni ne prend aucune mesure concernant l'expiration du certificat X.509 du document de métadonnées.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (AWS CLI)
Pour télécharger un nouveau document de métadonnées pour un fournisseur d'identité IAM (AWS CLI)
Pour baliser un fournisseur d'identité IAM existant (AWS CLI)
Pour afficher la liste des balises d'un fournisseur d'identité IAM existant (AWS CLI)
Pour supprimer les balises d'un fournisseur d'identité IAM (AWS CLI) existant
Pour supprimer un fournisseur d'identité SAML IAM (AWS CLI)

  1. (Facultatif) Pour répertorier des informations pour tous les fournisseurs, comme l'ARN, la date de création et l'expiration, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, comme l'ARN, la date de création et l'expiration, exécutez la commande suivante :

  3. Pour supprimer un fournisseur d'identité IAM, exécutez la commande suivante :

Création et gestion d'un fournisseur d'identité SAML IAM (API AWS)

Vous pouvez utiliser l'API AWS pour créer et gérer des fournisseurs SAML.

Avant de créer un fournisseur d'identité IAM, vous devez obtenir le document de métadonnées SAML que le fournisseur d'identité tiers vous a envoyé. Ce document inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Pour générer le document de métadonnées, utilisez le logiciel de gestion des identités qu'utilise votre organisation en guise d'IdP. Pour obtenir des instructions sur la configuration de bon nombre des fournisseurs d'identité disponibles pour les utiliser avec AWS, notamment comment générer le document de métadonnées SAML requis, consultez Intégration de prestataires de solution SAML tiers avec AWS.

Important

Le fichier de métadonnées doit être codé au format UTF-8 sans marque d'ordre d'octet (BOM). De plus, le certificat X.509 qui est inclus comme partie du document des métadonnées SAML doit utiliser une taille de clé au moins égale à 1 024 bits. Si la taille est plus petite, la création d'IdP échoue avec une erreur « Impossible d'analyser les métadonnées ». Pour supprimer la marque d'ordre d'octet (BOM), vous pouvez coder le fichier au format UTF-8 à l'aide d'un outil d'édition de texte, tel que Notepad++.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (API AWS)
Pour télécharger un nouveau document de métadonnées pour un fournisseur d'identité IAM (API AWS)
Pour baliser un fournisseur d'identité IAM existant (API AWS)
Pour afficher la liste des balises d'un fournisseur d'identité IAM (API AWS) existant
Pour supprimer les balises d'un fournisseur d'identité IAM (API AWS) existant
Pour supprimer un fournisseur d'identité IAM (API AWS)

  1. (Facultatif) Pour répertorier des informations pour tous les IdP, comme l'ARN, la date de création et l'expiration, appelez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, comme l'ARN, la date de création et l'expiration, appelez l'opération suivante :

  3. Pour supprimer un IdP, appelez l'opération suivante :