Configuration de la synchronisation des e-mails pour les utilisateurs fédérés dans Quick - Amazon Quick
Étape 1 : Mettre à jour la relation d’approbation du rôle IAMÉtape 2 : Ajouter un attribut SAML ou un jeton OIDCÉtape 3 : Activer la synchronisation des e-mails

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la synchronisation des e-mails pour les utilisateurs fédérés dans Quick

 S’applique à : édition Enterprise 
   Public cible : administrateurs système et administrateurs Amazon Quick 
Note

La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.

Dans l'édition Amazon Quick Enterprise, en tant qu'administrateur, vous pouvez empêcher les nouveaux utilisateurs d'utiliser des adresses e-mail personnelles lorsqu'ils fournissent des informations via leur fournisseur d'identité (IdP) directement à Quick. Quick utilise ensuite les adresses e-mail préconfigurées transmises via l'IdP lors de l'attribution de nouveaux utilisateurs à votre compte. Par exemple, vous pouvez faire en sorte que seules les adresses e-mail attribuées à l'entreprise soient utilisées lorsque les utilisateurs sont connectés à votre compte Amazon Quick via votre IdP.

Note

Assurez-vous que vos utilisateurs se fédèrent directement vers Amazon Quick par le biais de leur IdP. Le fait de se fédérer AWS Management Console via leur IdP puis de cliquer sur Amazon Quick entraîne une erreur et ils ne pourront pas accéder à Amazon Quick.

Lorsque vous configurez la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick, les utilisateurs qui se connectent à votre compte Amazon Quick pour la première fois disposent d'adresses e-mail préattribuées. Celles-ci sont utilisées pour enregistrer leurs comptes. Avec cette approche, les utilisateurs peuvent contourner manuellement en saisissant une adresse e-mail. En outre, les utilisateurs ne peuvent pas utiliser une adresse e-mail qui pourrait différer de l’adresse e-mail prescrite par vous, l’administrateur.

Amazon Quick prend en charge le provisionnement via un IdP qui prend en charge l'authentification SAML ou OpenID Connect (OIDC). Pour configurer les adresses e-mail des nouveaux utilisateurs lors du provisionnement via un IdP, vous devez mettre à jour la relation d’approbation du rôle IAM qu’ils utilisent avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Ensuite, ajoutez un attribut SAML ou un jeton OIDC dans leur IdP. Enfin, vous activez la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick.

Les procédures suivantes décrivent ces étapes en détail.

Étape 1 : Mettre à jour la relation d’approbation du rôle IAM avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity

Vous pouvez configurer les adresses e-mail que vos utilisateurs utiliseront lors du provisionnement via votre IdP auprès d'Amazon Quick. Pour ce faire, ajoutez l’action sts:TagSession à la relation d’approbation du rôle IAM que vous utilisez avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Ce faisant, vous pouvez transmettre des balises principal lorsque les utilisateurs assument le rôle.

L’exemple suivant illustre un rôle IAM mis à jour où l’IdP est Okta. Pour utiliser cet exemple, mettez à jour l’Amazon Resource Name (ARN) Federated avec l’ARN de votre fournisseur de services. Vous pouvez remplacer les éléments en rouge par vos informations AWS et celles spécifiques au service IdP.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Étape 2 : Ajouter un attribut SAML ou un jeton OIDC pour la balise principale IAM dans votre IdP

Après avoir mis à jour la relation d’approbation du rôle IAM comme décrit dans la section précédente, ajoutez un attribut SAML ou un jeton OIDC pour la balise Principal IAM dans votre IdP.

Les exemples suivants illustrent un attribut SAML et un jeton OIDC. Pour utiliser ces exemples, remplacez l’adresse e-mail par une variable dans votre IdP qui pointe vers l’adresse e-mail d’un utilisateur. Vous pouvez remplacer les éléments surlignés en rouge par vos informations.

  • Attribut SAML : l’exemple suivant illustre un attribut SAML. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    Note

    Si vous utilisez Okta comme IdP, assurez-vous d’activer un indicateur de fonctionnalité dans votre compte utilisateur Okta pour utiliser le protocole SAML. Pour plus d'informations, consultez Okta et AWS son partenariat pour simplifier l'accès via des balises de session sur le blog d'Okta.

  • Jeton OIDC : l’exemple suivant illustre un exemple de jeton OIDC. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Étape 3 : activer la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick

Comme décrit précédemment, mettez à jour la relation d’approbation du rôle IAM et ajoutez un attribut SAML ou un jeton OIDC pour la balise Principal IAM dans votre IdP. Activez ensuite la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick, comme décrit dans la procédure suivante.

Activation de la synchronisation des e-mails pour les utilisateurs fédérés

  1. Sur n'importe quelle page d'Amazon Quick, choisissez votre nom d'utilisateur en haut à droite, puis sélectionnez Gérer Amazon Quick.

  2. Choisissez Authentification unique (fédération IAM) dans le menu de gauche.

  3. Sur la page Fédération IAM initiée par le fournisseur de services, pour Synchronisation des e-mails pour les utilisateurs fédérés, choisissez Activé.

    Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est activée, Amazon Quick utilise les adresses e-mail que vous avez configurées aux étapes 1 et 2 lors de l'attribution de nouveaux utilisateurs à votre compte. Les utilisateurs ne peuvent pas saisir leur propre adresse e-mail.

    Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est désactivée, Amazon Quick demande aux utilisateurs de saisir leur adresse e-mail manuellement lors de l'attribution de nouveaux utilisateurs à votre compte. Ils peuvent utiliser toutes les adresses e-mail qu’ils souhaitent.