Fonctionnalités de l'IAM Identity Center Renommer le centre d'identité IAM

Qu'est-ce que IAM Identity Center ?

AWS IAM Identity Center est recommandé Service AWS pour gérer l'accès des utilisateurs humains aux AWS ressources. Il s'agit d'un endroit unique où vous pouvez attribuer aux utilisateurs de votre personnel un accès cohérent à plusieurs applications Comptes AWS et applications. workforce identities L'IAM Identity Center est proposé sans frais supplémentaires.

Avec IAM Identity Center, vous pouvez créer ou connecter des utilisateurs du personnel et gérer de manière centralisée leur accès à toutes leurs Comptes AWS applications. Vous pouvez utiliser des autorisations multi-comptes pour attribuer aux utilisateurs de votre personnel l'accès à Comptes AWS. Vous pouvez utiliser les attributions d'applications pour attribuer à vos utilisateurs l'accès aux applications AWS gérées et aux applications gérées par le client.

Note

Bien que le nom AWS de service Single Sign-On ait été retiré, le terme « authentification unique » est toujours utilisé dans ce guide pour décrire le schéma d'authentification qui permet aux utilisateurs de se connecter une seule fois pour accéder à plusieurs applications et sites Web.

Fonctionnalités de l'IAM Identity Center

IAM Identity Center inclut les fonctionnalités et fonctionnalités de base suivantes :

Gérez les identités du personnel

Les utilisateurs humains qui créent ou exploitent des charges de travail AWS sont également appelés utilisateurs du personnel ou identités du personnel. Les utilisateurs du personnel sont des employés ou des sous-traitants auxquels vous autorisez l'accès Comptes AWS au sein de votre organisation et à vos applications métier internes. Ces personnes peuvent être des développeurs qui créent vos systèmes internes et destinés aux clients, ou des utilisateurs de systèmes de base de données et d'applications internes. Vous pouvez créer des utilisateurs et des groupes d'employés dans IAM Identity Center, ou vous connecter et synchroniser avec un ensemble existant d'utilisateurs et de groupes dans votre propre source d'identité pour une utilisation dans toutes vos applications Comptes AWS et applications. Pour plus d’informations, consultez Gérez votre source d'identité.

Gérer les instances d'IAM Identity Center

IAM Identity Center prend en charge deux types d'instances : les instances d'organisation et les instances de compte. Une instance d'organisation est la meilleure pratique. C'est la seule instance qui vous permet de gérer l'accès aux applications Comptes AWS et elle est recommandée pour toutes les utilisations en production des applications. Une instance d'organisation est déployée dans le compte AWS Organizations de gestion et vous fournit un point unique à partir duquel vous pouvez gérer l'accès des utilisateurs dans l' AWS environnement.

Les instances de compte sont liées à Compte AWS celles dans lesquelles elles sont activées. Utilisez les instances de compte d'IAM Identity Center uniquement pour prendre en charge les déploiements isolés de certaines applications AWS gérées. Pour plus d’informations, consultez Gérer les instances d'organisation et de compte d'IAM Identity Center.

Gérez l'accès à plusieurs Comptes AWS

Avec les autorisations multicomptes, vous pouvez planifier et mettre en œuvre de manière centralisée des autorisations pour plusieurs comptes Comptes AWS à la fois sans avoir à configurer manuellement chacun de vos comptes. Vous pouvez créer des autorisations basées sur des fonctions professionnelles courantes ou définir des autorisations personnalisées répondant à vos besoins en matière de sécurité. Vous pouvez ensuite attribuer ces autorisations aux utilisateurs du personnel afin de contrôler leur accès à des comptes spécifiques.

Cette fonctionnalité optionnelle n'est disponible que pour les instances d'organisation. Si vous utilisez la gestion des rôles IAM par compte dans votre environnement, les deux systèmes peuvent coexister. Si vous souhaitez essayer les autorisations multi-comptes, vous pouvez commencer par implémenter ce système de manière limitée et migrer une plus grande partie de votre environnement pour utiliser ce système au fil du temps.

Gérez l'accès aux applications

IAM Identity Center vous permet de simplifier la gestion de l'accès aux applications. Avec IAM Identity Center, vous pouvez accorder aux utilisateurs de votre personnel d'IAM Identity Center un accès par authentification unique aux applications.

AWS applications gérées: AWS fournit des applications telles qu' Amazon Redshift Amazon Managed Grafana et Amazon Monitron, qui s'intègrent à IAM Identity Center. Ces applications peuvent utiliser IAM Identity Center pour l'authentification, les services d'annuaire et la propagation d'identités fiables. Vos utilisateurs bénéficient d'une expérience d'authentification unique cohérente, et comme les applications partagent une vision commune des utilisateurs, des groupes et de l'appartenance aux groupes, les utilisateurs bénéficient également d'une expérience cohérente lorsqu'ils partagent les ressources de l'application avec d'autres utilisateurs. Vous pouvez configurer des applications AWS gérées pour qu'elles fonctionnent avec IAM Identity Center directement depuis les consoles d'applications pertinentes ou via les API.
Applications gérées par le client: Dans IAM Identity Center, vous pouvez accorder aux utilisateurs de votre personnel un accès par authentification unique aux applications qui prennent en charge la fédération des identités avec SAML 2.0. De nombreuses applications SAML 2.0 couramment utilisées, telles que Salesforce et Microsoft 365, fonctionnent avec IAM Identity Center et sont disponibles dans le catalogue d'applications de la console IAM Identity Center. Il s'agit d'une fonctionnalité facultative qui peut être utile si vous utilisez de telles applications et si vous créez vos utilisateurs et groupes dans IAM Identity Center, ou si vous utilisez le service de domaine Microsoft Active Directory comme source d'identité.
Propagation d’identité approuvée entre applications: La propagation fiable des identités fournit une expérience d'authentification unique rationalisée aux utilisateurs d'outils de requête et d'applications de business intelligence (BI) qui ont besoin d'accéder aux données des AWS services. La gestion de l'accès aux données est basée sur l'identité de l'utilisateur, de sorte que les administrateurs peuvent accorder l'accès en fonction de l'appartenance des utilisateurs et des groupes aux utilisateurs existants. L'accès des utilisateurs aux AWS services et aux autres événements est enregistré dans des journaux et des CloudTrail événements spécifiques aux services, afin que les auditeurs sachent quelles actions les utilisateurs ont entreprises et à quelles ressources ils ont accédé.

AWS accès au portail pour vos utilisateurs

Le portail AWS d'accès est un portail Web simple qui fournit à vos utilisateurs un accès fluide à toutes les applications qui leur sont Comptes AWS assignées.

Renommer le centre d'identité IAM

Le 26 juillet 2022, AWS Single Sign-On a été renommé en AWS IAM Identity Center. Pour les clients existants, le tableau suivant est destiné à décrire certains des changements de termes les plus courants qui ont été mis à jour dans ce guide à la suite du changement de nom.

Terme d'héritage	Mandat en cours
AWS Utilisateur SSO ou utilisateur SSO	utilisateur du personnel ou utilisateur
AWS Portail utilisateur SSO ou portail utilisateur	AWS portail d'accès
AWS Applications intégrées au SSO	AWS applications gérées
AWS Annuaire SSO	Répertoire d'Identity Center
AWS Boutique SSO ou boutique d' AWS identité SSO	magasin d'identité utilisé par IAM Identity Center

Le tableau suivant décrit les modifications de nom applicables aux utilisateurs, aux développeurs et au guide de référence des API qui ont également eu lieu à la suite de ce changement de nom.

Guide de l'héritage	Guide actuel
AWS Guide de l'utilisateur avec authentification unique	Guide de l'utilisateur d'IAM Identity Center
AWS Guide du développeur de mise en œuvre de l'authentification unique SCIM	Guide du développeur de mise en œuvre d'IAM Identity Center SCIM
AWS Guide de référence de l'API d'authentification unique	Référence de l'API IAM Identity Center
AWS Guide de référence de l'API Single Sign-On Identity Store	Référence de l'API Identity Store
AWS Guide de référence de l'API OIDC à connexion unique	Référence de l'API OIDC d'IAM Identity Center
AWS Guide de référence de l'API du portail d'authentification unique	Référence de l'API du portail IAM Identity Center

Les anciens espaces de noms restent les mêmes

Les espaces de noms sso et identitystore API ainsi que les espaces de noms associés suivants restent inchangés à des fins de rétrocompatibilité.

Commandes CLI
Politiques gérées contenant AWSSSO des AWSIdentitySync préfixes
Points de terminaison de service contenant sso et identitystore
AWS CloudFormationressources contenant des AWS::SSO préfixes
Rôle lié à un service contenant AWSServiceRoleForSSO
URL de console contenant sso et singlesignon
URL de documentation contenant singlesignon

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Activation du centre d'identité IAM