Tutoriel pour l'authentification unique utilisant uniquement des applications .NET - AWS SDK for .NET
PrérequisConfigurer AWSCréation d'exemples d'applicationsInstruire l'utilisateur SSONettoyage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel pour l'authentification unique utilisant uniquement des applications .NET

Ce didacticiel explique comment activer l'authentification unique pour une application de base et pour un utilisateur d'authentification unique de test. Il configure l'application pour générer un jeton SSO temporaire par programmation au lieu d'utiliser le. AWS CLI

Ce didacticiel présente une petite partie des fonctionnalités SSO duAWS SDK for .NET. Pour plus de détails sur l'utilisation d'IAM Identity Center avec leAWS SDK for .NET, consultez la rubrique contenant des informations générales. Dans cette rubrique, consultez en particulier la description détaillée de ce scénario dans la sous-section intituléeApplication .NET uniquement.

Note

Plusieurs étapes de ce didacticiel vous aident à configurer des services tels que AWS Organizations IAM Identity Center. Si vous avez déjà effectué cette configuration, ou si vous êtes uniquement intéressé par le code, vous pouvez passer à la section contenant l'exemple de code.

Prérequis

  • Configurez votre environnement de développement si ce n'est pas déjà fait. Ceci est décrit dans les sections telles que Installez et configurez votre chaîne d'outils etMise en route.

  • Identifiez ou créez-en au moins un Compte AWS que vous pouvez utiliser pour tester l'authentification unique. Dans le cadre de ce didacticiel, cela s'appelle le compte de test Compte AWS ou simplement le compte de test.

  • Identifiez un utilisateur SSO qui peut tester le SSO pour vous. Il s'agit d'une personne qui utilisera le SSO et les applications de base que vous créez. Pour ce didacticiel, cette personne peut être vous (le développeur) ou quelqu'un d'autre. Nous recommandons également une configuration dans laquelle l'utilisateur SSO travaille sur un ordinateur qui ne se trouve pas dans votre environnement de développement. Cependant, cela n'est pas strictement nécessaire.

  • L'ordinateur de l'utilisateur SSO doit disposer d'un framework .NET compatible avec celui que vous avez utilisé pour configurer votre environnement de développement.

Configurer AWS

Cette section explique comment configurer différents AWS services pour ce didacticiel.

Pour effectuer cette configuration, connectez-vous d'abord au test en Compte AWS tant qu'administrateur. Procédez ensuite comme suit :

Amazon S3

Accédez à la console Amazon S3 et ajoutez des compartiments inoffensifs. Plus loin dans ce didacticiel, l'utilisateur SSO récupérera une liste de ces buckets.

AWSIAM

Accédez à la console IAM et ajoutez quelques utilisateurs IAM. Si vous accordez des autorisations aux utilisateurs IAM, limitez les autorisations à quelques autorisations inoffensives en lecture seule. Plus loin dans ce didacticiel, l'utilisateur SSO récupérera une liste de ces utilisateurs IAM.

AWS Organizations

Accédez à la AWS Organizationsconsole et activez Organizations. Pour plus d'informations, consultez Création d'une organisation dans le AWS OrganizationsGuide de l'utilisateur.

Cette action ajoute le test Compte AWS à l'organisation en tant que compte de gestion. Si vous avez des comptes de test supplémentaires, vous pouvez les inviter à rejoindre l'organisation, mais cela n'est pas nécessaire pour ce didacticiel.

IAM Identity Center

Accédez à la console IAM Identity Center et activez l'authentification unique. Effectuez la vérification des e-mails si nécessaire. Pour plus d'informations, consultez la section Activer le centre d'identité IAM dans le guide de l'utilisateur d'IAM Identity Center.

Effectuez ensuite la configuration suivante.

  1. Accédez à la page des paramètres. Recherchez « l'URL du portail d'accès » et enregistrez la valeur pour une utilisation ultérieure dans le sso_start_url paramètre.

  2. Dans le bandeau duAWS Management Console, recherchez Région AWS celui qui a été défini lorsque vous avez activé l'authentification unique. Il s'agit du menu déroulant situé à gauche de l'Compte AWSidentifiant. Enregistrez le code de région pour une utilisation ultérieure dans le sso_region réglage. Ce code sera similaire àus-east-1.

  3. Créez un utilisateur SSO comme suit :

    1. Accédez à la page Utilisateurs.

    2. Choisissez Ajouter un utilisateur et entrez le nom d'utilisateur, l'adresse e-mail, le prénom et le nom de famille de l'utilisateur. Ensuite, choisissez Next (Suivant).

    3. Choisissez Suivant sur la page des groupes, puis passez en revue les informations et choisissez Ajouter un utilisateur.

  4. Créez un groupe comme suit :

    1. Accédez à la page Groupes.

    2. Choisissez Créer un groupe et entrez le nom et la description du groupe.

    3. Dans la section Ajouter des utilisateurs au groupe, sélectionnez l'utilisateur SSO de test que vous avez créé précédemment. Sélectionnez ensuite Créer un groupe.

  5. Créez un ensemble d'autorisations comme suit :

    1. Accédez à la page Ensembles d'autorisations et choisissez Créer un ensemble d'autorisations.

    2. Sous Type d'ensemble d'autorisations, sélectionnez Ensemble d'autorisations personnalisé, puis cliquez sur Suivant.

    3. Ouvrez Inline policy et entrez la politique suivante :

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

    4. Pour ce didacticiel, entrez le SSOReadOnlyRole nom du jeu d'autorisations. Ajoutez une description si vous le souhaitez, puis choisissez Next.

    5. Passez en revue les informations, puis choisissez Créer.

    6. Enregistrez le nom de l'ensemble d'autorisations pour une utilisation ultérieure dans le sso_role_name paramètre.

  6. Accédez à la page AWSdes comptes et choisissez le AWS compte que vous avez ajouté à l'organisation plus tôt.

  7. Dans la section Aperçu de cette page, recherchez l'identifiant du compte et enregistrez-le pour une utilisation ultérieure dans le sso_account_id paramètre.

  8. Choisissez l'onglet Utilisateurs et groupes, puis choisissez Attribuer des utilisateurs ou des groupes.

  9. Sur la page Attribuer des utilisateurs et des groupes, choisissez l'onglet Groupes, sélectionnez le groupe que vous avez créé précédemment, puis cliquez sur Suivant.

  10. Sélectionnez l'ensemble d'autorisations que vous avez créé précédemment et choisissez Suivant, puis Soumettre. La configuration prend quelques instants.

Création d'exemples d'applications

Créez les applications suivantes. Ils seront exécutés sur l'ordinateur de l'utilisateur SSO.

Incluez AWSSDK.SSO les NuGet packages et AWSSDK.SSOOIDC en plus de AWSSDK.S3 etAWSSDK.SecurityToken.

using System;
using System.Threading.Tasks;
using System.Diagnostics;


// NuGet packages: AWSSDK.S3, AWSSDK.SecurityToken, AWSSDK.SSO, AWSSDK.SSOOIDC
using Amazon.Runtime;
using Amazon.Runtime.CredentialManagement;
using Amazon.S3;
using Amazon.S3.Model;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;

namespace SSOExample.S3.Programmatic_login
{
    class Program
    {
        // Requirements:
        // - An SSO profile in the SSO user's shared config file.

        // Class members.
        private static string profile = "my-sso-profile";

        static async Task Main(string[] args)
        {
            // Get SSO credentials from the information in the shared config file.
            var ssoCreds = LoadSsoCredentials(profile);

            // Display the caller's identity.
            var ssoProfileClient = new AmazonSecurityTokenServiceClient(ssoCreds);
            Console.WriteLine($"\nSSO Profile:\n {await ssoProfileClient.GetCallerIdentityArn()}");

            // Display a list of the account's S3 buckets.
            // The S3 client is created using the SSO credentials obtained earlier.
            var s3Client = new AmazonS3Client(ssoCreds);
            Console.WriteLine("\nGetting a list of your buckets...");
            var listResponse = await s3Client.ListBucketsAsync();
            Console.WriteLine($"Number of buckets: {listResponse.Buckets.Count}");
            foreach (S3Bucket b in listResponse.Buckets)
            {
                Console.WriteLine(b.BucketName);
            }
            Console.WriteLine();
        }

        // Method to get SSO credentials from the information in the shared config file.
        static AWSCredentials LoadSsoCredentials(string profile)
        {
            var chain = new CredentialProfileStoreChain();
            if (!chain.TryGetAWSCredentials(profile, out var credentials))
                throw new Exception($"Failed to find the {profile} profile");

            var ssoCredentials = credentials as SSOAWSCredentials;

            ssoCredentials.Options.ClientName = "Example-SSO-App";
            ssoCredentials.Options.SsoVerificationCallback = args =>
            {
                // Launch a browser window that prompts the SSO user to complete an SSO login.
                //  This method is only invoked if the session doesn't already have a valid SSO token.
                // NOTE: Process.Start might not support launching a browser on macOS or Linux. If not,
                //       use an appropriate mechanism on those systems instead.
                Process.Start(new ProcessStartInfo
                {
                    FileName = args.VerificationUriComplete,
                    UseShellExecute = true
                });
            };

            return ssoCredentials;
        }

    }

    // Class to read the caller's identity.
    public static class Extensions
    {
        public static async Task<string> GetCallerIdentityArn(this IAmazonSecurityTokenService stsClient)
        {
            var response = await stsClient.GetCallerIdentityAsync(new GetCallerIdentityRequest());
            return response.Arn;
        }
    }
}

Incluez AWSSDK.SSO les NuGet packages et AWSSDK.SSOOIDC en plus de AWSSDK.IdentityManagement etAWSSDK.SecurityToken.

using System;
using System.Threading.Tasks;
using System.Diagnostics;


// NuGet packages: AWSSDK.IdentityManagement, AWSSDK.SecurityToken, AWSSDK.SSO, AWSSDK.SSOOIDC
using Amazon.Runtime;
using Amazon.Runtime.CredentialManagement;
using Amazon.IdentityManagement;
using Amazon.IdentityManagement.Model;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;

namespace SSOExample.IAM.Programmatic_login
{
    class Program
    {
        // Requirements:
        // - An SSO profile in the SSO user's shared config file.

        // Class members.
        private static string profile = "my-sso-profile";

        static async Task Main(string[] args)
        {
            // Get SSO credentials from the information in the shared config file.
            var ssoCreds = LoadSsoCredentials(profile);

            // Display the caller's identity.
            var ssoProfileClient = new AmazonSecurityTokenServiceClient(ssoCreds);
            Console.WriteLine($"\nSSO Profile:\n {await ssoProfileClient.GetCallerIdentityArn()}");

            // Display a list of the account's IAM users.
            // The IAM client is created using the SSO credentials obtained earlier.
            var iamClient = new AmazonIdentityManagementServiceClient(ssoCreds);
            Console.WriteLine("\nGetting a list of IAM users...");
            var listResponse = await iamClient.ListUsersAsync();
            Console.WriteLine($"Number of IAM users: {listResponse.Users.Count}");
            foreach (User u in listResponse.Users)
            {
                Console.WriteLine(u.UserName);
            }
            Console.WriteLine();
        }

        // Method to get SSO credentials from the information in the shared config file.
        static AWSCredentials LoadSsoCredentials(string profile)
        {
            var chain = new CredentialProfileStoreChain();
            if (!chain.TryGetAWSCredentials(profile, out var credentials))
                throw new Exception($"Failed to find the {profile} profile");

            var ssoCredentials = credentials as SSOAWSCredentials;

            ssoCredentials.Options.ClientName = "Example-SSO-App";
            ssoCredentials.Options.SsoVerificationCallback = args =>
            {
                // Launch a browser window that prompts the SSO user to complete an SSO login.
                //  This method is only invoked if the session doesn't already have a valid SSO token.
                // NOTE: Process.Start might not support launching a browser on macOS or Linux. If not,
                //       use an appropriate mechanism on those systems instead.
                Process.Start(new ProcessStartInfo
                {
                    FileName = args.VerificationUriComplete,
                    UseShellExecute = true
                });
            };

            return ssoCredentials;
        }

    }

    // Class to read the caller's identity.
    public static class Extensions
    {
        public static async Task<string> GetCallerIdentityArn(this IAmazonSecurityTokenService stsClient)
        {
            var response = await stsClient.GetCallerIdentityAsync(new GetCallerIdentityRequest());
            return response.Arn;
        }
    }
}

En plus d'afficher des listes de buckets Amazon S3 et d'utilisateurs IAM, ces applications affichent l'ARN d'identité utilisateur pour le profil compatible SSO, décrit dans ce didacticiel. my-sso-profile

Ces applications exécutent des tâches de connexion SSO en fournissant une méthode de rappel dans la propriété Options d'un objet SSO. AWSCredentials

Instruire l'utilisateur SSO

Demandez à l'utilisateur SSO de vérifier ses e-mails et d'accepter l'invitation SSO. Ils sont invités à définir un mot de passe. Le message peut prendre quelques minutes pour arriver dans la boîte de réception de l'utilisateur SSO.

Fournissez à l'utilisateur SSO les applications que vous avez créées précédemment.

Demandez ensuite à l'utilisateur SSO d'effectuer les opérations suivantes :

  1. Si le dossier contenant le AWS config fichier partagé n'existe pas, créez-le. Si le dossier existe et qu'un sous-dossier est appelé.sso, supprimez-le.

    L'emplacement de ce dossier est généralement %USERPROFILE%\.aws sous Windows, Linux et macOS. ~/.aws

  2. Créez un AWS config fichier partagé dans ce dossier, si nécessaire, et ajoutez-y un profil comme suit :

    [default]
region = <default Region>

[profile my-sso-profile]
sso_start_url = <user portal URL recorded earlier>
sso_region = <Region code recorded earlier>
sso_account_id = <account ID recorded earlier>
sso_role_name = SSOReadOnlyRole

  3. Exécutez l'application Amazon S3.

  4. Sur la page de connexion Web qui s'affiche, connectez-vous. Utilisez le nom d'utilisateur indiqué dans le message d'invitation et le mot de passe créé en réponse au message.

  5. Lorsque la connexion est terminée, l'application affiche la liste des compartiments S3.

  6. Exécutez l'application IAM. L'application affiche la liste des utilisateurs IAM. Cela est vrai même si aucune deuxième connexion n'a été effectuée. L'application IAM utilise le jeton temporaire créé précédemment.

Nettoyage

Si vous ne souhaitez pas conserver les ressources que vous avez créées au cours de ce didacticiel, nettoyez-les. Il peut s'agir de AWS ressources ou de ressources de votre environnement de développement, telles que des fichiers et des dossiers.