Considérations relatives à la modification de votre source d'identité - AWS IAM Identity Center
Passage d'IAM Identity Center à Active DirectoryPassage d'IAM Identity Center à un IdP externePassage d'un IdP externe à IAM Identity CenterPassage d'un IdP externe à un autre IdP externePassage d'Active Directory à un IdP externe

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à la modification de votre source d'identité

Bien que vous puissiez modifier votre source d'identité à tout moment, nous vous recommandons de réfléchir à l'impact de cette modification sur votre déploiement actuel.

Si vous gérez déjà des utilisateurs et des groupes dans une source d'identité, le passage à une autre source d'identité peut supprimer toutes les attributions d'utilisateurs et de groupes que vous avez configurées dans IAM Identity Center. Dans ce cas, tous les utilisateurs, y compris l'utilisateur administratif d'IAM Identity Center, perdront l'accès par authentification unique à leurs applications Comptes AWS et à leurs applications.

Avant de modifier la source d'identité pour IAM Identity Center, prenez en compte les points suivants avant de poursuivre. Si vous souhaitez continuer à modifier votre source d'identité, reportez-vous à la section Changez votre source d'identité pour plus d'informations.

Passage d'IAM Identity Center à Active Directory

Si vous gérez déjà des utilisateurs et des groupes dans Active Directory, nous vous recommandons d'envisager de connecter votre annuaire lorsque vous activez IAM Identity Center et que vous choisissez votre source d'identité. Faites-le avant de créer des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center et de procéder à des affectations.

Si vous gérez déjà des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center, tenez compte des points suivants :

  • Attributions supprimées et utilisateurs et groupes supprimés : le fait de remplacer votre source d'identité par Active Directory supprime vos utilisateurs et vos groupes de l'annuaire Identity Center. Cette modification supprime également vos assignations. Dans ce cas, une fois que vous êtes passé à Active Directory, vous devez synchroniser vos utilisateurs et vos groupes depuis Active Directory vers le répertoire Identity Center, puis réappliquer leurs attributions.

    Si vous choisissez de ne pas utiliser Active Directory, vous devez créer vos utilisateurs et groupes dans le répertoire Identity Center, puis effectuer des assignations.

  • Les attributions ne sont pas supprimées lorsque les identités sont supprimées : lorsque les identités sont supprimées dans le répertoire Identity Center, les attributions correspondantes sont également supprimées dans IAM Identity Center. Toutefois, dans Active Directory, lorsque des identités sont supprimées (que ce soit dans Active Directory ou dans les identités synchronisées), les attributions correspondantes ne sont pas supprimées.

  • Aucune synchronisation sortante pour les API : si vous utilisez Active Directory comme source d'identité, nous vous recommandons d'utiliser les API de création, de mise à jour et de suppression avec prudence. IAM Identity Center ne prend pas en charge la synchronisation sortante. Par conséquent, votre source d'identité n'est pas automatiquement mise à jour avec les modifications que vous apportez aux utilisateurs ou aux groupes à l'aide de ces API.

  • L'URL du portail d'accès va changer — La modification de votre source d'identité entre IAM Identity Center et Active Directory modifie également l'URL du portail AWS d'accès.

  • L'expiration de la session utilisateur existante peut prendre jusqu'à deux heures. Une fois les utilisateurs et les groupes supprimés de l'annuaire Identity Center, les utilisateurs ayant des sessions actives peuvent continuer à accéder au portail d' AWS accès et aux AWS applications intégrées pendant deux heures au maximum. Pour plus d'informations sur la durée de la session d'authentification et le comportement des utilisateurs, consultezAuthentification.

Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultezSe connecter à un Microsoft AD annuaire.

Passage d'IAM Identity Center à un IdP externe

Si vous remplacez votre source d'identité d'IAM Identity Center par un fournisseur d'identité externe (IdP), tenez compte des points suivants :

  • Les attributions et les adhésions fonctionnent avec des assertions correctes : vos assignations d'utilisateur, vos attributions de groupe et vos appartenances à des groupes continuent de fonctionner tant que le nouvel IdP envoie les assertions correctes (par exemple, les NameID SAML). Ces assertions doivent correspondre aux noms d'utilisateur et aux groupes d'IAM Identity Center.

  • Aucune synchronisation sortante : IAM Identity Center ne prend pas en charge la synchronisation sortante. Votre IdP externe ne sera donc pas automatiquement mis à jour en fonction des modifications apportées aux utilisateurs et aux groupes dans IAM Identity Center.

  • Provisionnement SCIM : si vous utilisez le provisionnement SCIM, les modifications apportées aux utilisateurs et aux groupes de votre fournisseur d'identité ne sont reflétées dans IAM Identity Center qu'une fois que ce dernier a envoyé ces modifications à IAM Identity Center. veuillez consulter Considérations relatives à l'utilisation du provisionnement automatique.

  • Annulation : vous pouvez à tout moment rétablir votre source d'identité pour qu'elle utilise à nouveau IAM Identity Center. veuillez consulter Passage d'un IdP externe à IAM Identity Center.

  • Les sessions utilisateur existantes sont révoquées à l'expiration de la durée de session : une fois que vous avez remplacé votre source d'identité par un fournisseur d'identité externe, les sessions utilisateur actives sont conservées pendant le reste de la durée maximale de session configurée dans la console. Par exemple, si la durée de session du portail d' AWS accès est définie sur huit heures et que vous avez modifié la source d'identité au cours de la quatrième heure, les sessions utilisateur actives persistent pendant quatre heures supplémentaires. Pour révoquer des sessions utilisateur, consultezSupprimer des sessions pour le portail AWS d'accès et les applications AWS intégrées.

    Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center, à l'aide des API Identity Store ou du provisionnement SCIM, les utilisateurs ayant des sessions actives peuvent continuer à accéder au portail d' AWS accès et aux AWS applications intégrées pendant deux heures au maximum.

    Note

    Vous ne pourrez pas révoquer les sessions utilisateur depuis la console IAM Identity Center après avoir supprimé l'utilisateur.

Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultezGérer un fournisseur d'identité externe.

Passage d'un IdP externe à IAM Identity Center

Si vous remplacez votre source d'identité par un fournisseur d'identité externe (IdP) par IAM Identity Center, tenez compte des points suivants :

  • IAM Identity Center préserve toutes vos assignations.

  • Forcer la réinitialisation du mot de passe — Les utilisateurs qui possédaient des mots de passe dans IAM Identity Center peuvent continuer à se connecter avec leurs anciens mots de passe. Pour les utilisateurs qui se trouvaient dans l'IdP externe et non dans IAM Identity Center, un administrateur doit forcer la réinitialisation du mot de passe.

  • Les sessions utilisateur existantes sont révoquées à l'expiration de la durée de session : une fois que vous avez changé votre source d'identité en IAM Identity Center, les sessions utilisateur actives sont conservées pendant la durée restante de la durée maximale de session configurée dans la console. Par exemple, si la durée de la session du portail d' AWS accès est de huit heures et que vous avez modifié la source d'identité à la quatrième heure, les sessions utilisateur actives continuent de s'exécuter pendant quatre heures supplémentaires. Pour révoquer des sessions utilisateur, consultezSupprimer des sessions pour le portail AWS d'accès et les applications AWS intégrées.

    Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center, à l'aide des API Identity Store ou du provisionnement SCIM, les utilisateurs ayant des sessions actives peuvent continuer à accéder au portail d' AWS accès et aux AWS applications intégrées pendant deux heures au maximum.

    Note

    Vous ne pourrez pas révoquer les sessions utilisateur depuis la console IAM Identity Center après avoir supprimé l'utilisateur.

Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultezGestion des identités dans IAM Identity Center.

Passage d'un IdP externe à un autre IdP externe

Si vous utilisez déjà un IdP externe comme source d'identité pour IAM Identity Center et que vous passez à un autre IdP externe, tenez compte des points suivants :

  • Les assignations et les adhésions fonctionnent avec des assertions correctes. IAM Identity Center conserve toutes vos assignations. Les attributions d'utilisateurs, les attributions de groupes et les appartenances à des groupes continuent de fonctionner tant que le nouvel IdP envoie les assertions correctes (par exemple, les NameID SAML).

    Ces assertions doivent correspondre aux noms d'utilisateur dans IAM Identity Center lorsque vos utilisateurs s'authentifient via le nouvel IdP externe.

  • Provisionnement du SCIM : si vous utilisez le SCIM pour le provisionnement dans IAM Identity Center, nous vous recommandons de consulter les informations spécifiques à l'IdP contenues dans ce guide et la documentation fournie par l'IdP afin de vous assurer que le nouveau fournisseur fait correspondre correctement les utilisateurs et les groupes lorsque le SCIM est activé.

  • Les sessions utilisateur existantes sont révoquées à l'expiration de la durée de session : une fois que vous avez remplacé votre source d'identité par un autre fournisseur d'identité externe, les sessions utilisateur actives sont conservées pendant la durée restante de la durée maximale de session configurée dans la console. Par exemple, si la durée de la session du portail d' AWS accès est de huit heures et que vous avez modifié la source d'identité à la quatrième heure, les sessions utilisateur actives persistent pendant quatre heures supplémentaires. Pour révoquer des sessions utilisateur, consultezSupprimer des sessions pour le portail AWS d'accès et les applications AWS intégrées.

    Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center, à l'aide des API Identity Store ou du provisionnement SCIM, les utilisateurs ayant des sessions actives peuvent continuer à accéder au portail d' AWS accès et aux AWS applications intégrées pendant deux heures au maximum.

    Note

    Vous ne pourrez pas révoquer les sessions utilisateur depuis la console IAM Identity Center après avoir supprimé l'utilisateur.

Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultezGérer un fournisseur d'identité externe.

Passage d'Active Directory à un IdP externe

Si vous remplacez votre source d'identité par un IdP externe par Active Directory, ou d'Active Directory par un IdP externe, tenez compte des points suivants :

  • Les utilisateurs, les groupes et les attributions sont supprimés : tous les utilisateurs, groupes et attributions sont supprimés d'IAM Identity Center. Aucune information d'utilisateur ou de groupe n'est affectée ni dans l'IdP externe ni dans Active Directory.

  • Approvisionnement des utilisateurs : si vous passez à un IdP externe, vous devez configurer IAM Identity Center pour approvisionner vos utilisateurs. Vous devez également configurer manuellement les utilisateurs et les groupes pour l'IdP externe avant de pouvoir configurer les attributions.

  • Création d'attributions et de groupes : si vous passez à Active Directory, vous devez créer des attributions avec les utilisateurs et les groupes figurant dans votre annuaire dans Active Directory.

  • L'expiration des sessions utilisateur existantes peut prendre jusqu'à deux heures. Une fois les utilisateurs et les groupes supprimés de l'annuaire Identity Center, les utilisateurs ayant des sessions actives peuvent continuer à accéder au portail d' AWS accès et aux AWS applications intégrées pendant deux heures au maximum. Pour plus d'informations sur la durée de la session d'authentification et le comportement des utilisateurs, consultezAuthentification.

Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultezSe connecter à un Microsoft AD annuaire.