Création d’un fournisseur d’identité SAML dans IAM - AWS Identity and Access Management
PrérequisCréation et gestion d’un fournisseur d’identité SAML IAM (console)Création et gestion d’un fournisseur d’identité SAML IAM (AWS CLI)Création et gestion d’un fournisseur d’identité SAML IAM (API AWS)Étapes suivantes

Création d’un fournisseur d’identité SAML dans IAM

Un fournisseur d'identité SAML 2.0 IAM est une entité dans IAM qui décrit un service de fournisseur d'identité (IdP) externe prenant en charge la norme SAML 2.0 (Security Assertion Markup Language 2.0). Vous utilisez un fournisseur d'identité IAM lorsque vous voulez établir une relation d'approbation entre un IdP compatible avec SAML, tel que Shibboleth ou les services Active Directory Federation Services et AWS, afin les utilisateurs de votre organisation puissent accéder aux ressources AWS. Les fournisseurs d'identité SAML IAM sont utilisés en tant que principaux dans une politique d'approbation IAM.

Pour plus d'informations sur ce scénario, consultez Fédération SAML 2.0.

Vous pouvez créer et gérer un fournisseur d'identité IAM dans la AWS Management Console ou à l'aide de la AWS CLI, des Tools for Windows PowerShell ou les appels d'API AWS.

Après avoir créé un fournisseur SAML, vous devez créer un ou plusieurs rôles IAM. Un rôle est une identité dans AWS qui ne dispose pas de ses propres informations d'identification (comme c'est le cas pour un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un utilisateur fédéré qui est authentifié par le fournisseur d'identité (IdP) de votre organisation. Le rôle permet à l'IdP de votre organisation de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les stratégies affectées au rôle déterminent les actions que les utilisateurs fédérés sont autorisés à exécuter dans AWS. Pour créer un rôle pour la fédération SAML, consultez Création d’un rôle pour un fournisseur d’identité tiers (fédération).

Enfin, après avoir créé le rôle, vous devez finaliser la relation d'approbation SAML en configurant votre IdP à l'aide d'informations sur AWS et sur les rôles que vous voulez affecter à vos utilisateurs fédérés. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre IdP et AWS. Pour configurer la relation d'approbation des parties utilisatrices, consultez Configuration de votre IdP SAML 2.0 à l’aide d’une relation d’approbation des parties utilisatrices et ajout de demandes.

Prérequis

Avant de créer un fournisseur d’identité SAML, vous devez obtenir les informations suivantes auprès de votre IdP.

  • Obtenez le document de métadonnées SAML auprès de votre IdP. Ce document inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Pour générer le document de métadonnées, utilisez le logiciel de gestion des identités fournit par votre IdP externe.

    Important

    Ce fichier de métadonnées inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Le fichier de métadonnées doit être codé au format UTF-8 sans marque d'ordre d'octet (BOM). Pour supprimer la marque d'ordre d'octet (BOM), vous pouvez coder le fichier au format UTF-8 à l'aide d'un outil d'édition de texte, tel que Notepad++.

    Le certificat x.509 inclus comme partie du document des métadonnées SAML doit utiliser une taille de clé au moins égale à 1 024 bits. De plus, le certificat x.509 doit également être exempt de toute extension répétée. Vous pouvez utiliser des extensions, mais elles ne peuvent apparaître qu'une seule fois dans le certificat. Si le certificat x.509 ne répond à aucune des conditions, la création de l'IdP échoue et renvoie une erreur « impossible d'analyser les métadonnées ».

    Comme défini par la version 1.0 du profil d'interopérabilité des métadonnées SAML V2.0, IAM n'évalue ni ne prend aucune mesure concernant l'expiration du certificat X.509 du document de métadonnées.

Pour obtenir des instructions sur la configuration de bon nombre des fournisseurs d'identité disponibles pour les utiliser avec AWS, notamment comment générer le document de métadonnées SAML requis, consultez Intégration de prestataires de solution SAML tiers avec AWS.

Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Création et gestion d’un fournisseur d’identité SAML IAM (console)

Vous pouvez utiliser la AWS Management Console pour créer, mettre à jour et supprimer des fournisseurs d’identité SAML IAM. Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité SAML IAM (console)

  1. Connectez-vous à l'outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.

  3. Pour Configurer le fournisseur, sélectionnez SAML.

  4. Saisissez un nom pour le fournisseur d'identité.

  5. Pour Document de métadonnées, sélectionnez Choisir un fichier, spécifiez le document de métadonnées SAML que vous avez téléchargé dans Prérequis.

  6. (Facultatif) Pour Add tags (Ajouter des balises), vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et organiser vos IdP. Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS. Pour en savoir plus sur le balisage des fournisseurs d'identité SAML, reportez-vous à la section Balisage de fournisseurs d’identité SAML IAM.

    Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.

  7. Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur.

  8. Attribuez un rôle IAM à votre fournisseur d’identité. Ce rôle donne aux identités d’utilisateurs externes gérées par votre fournisseur d’identité des autorisations d’accès aux ressources AWS de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Création d’un rôle pour un fournisseur d’identité tiers (fédération).

    Note

    Les IdP SAML utilisés dans une politique d'approbation de rôle doivent se trouver dans le même compte que le rôle.

Pour supprimer un fournisseur SAML (console)

  1. Connectez-vous à l'outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité.

  3. Activez la case d'option en regard du fournisseur d'identité que vous souhaitez supprimer.

  4. Sélectionnez Delete (Supprimer). Une nouvelle fenêtre s'ouvre.

  5. Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Création et gestion d’un fournisseur d’identité SAML IAM (AWS CLI)

Vous pouvez utiliser la AWS CLI pour créer, mettre à jour et supprimer des fournisseurs SAML. Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (AWS CLI)
Pour mettre à jour un fournisseur d’identité SAML IAM (AWS CLI)
Pour baliser un fournisseur d'identité IAM existant (AWS CLI)
Pour afficher la liste des balises d'un fournisseur d'identité IAM existant (AWS CLI)
Pour supprimer les balises d'un fournisseur d'identité IAM (AWS CLI) existant
Pour supprimer un fournisseur d'identité SAML IAM (AWS CLI)

  1. (Facultatif) Pour répertorier des informations pour tous les fournisseurs, comme l'ARN, la date de création et l'expiration, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que l’ARN, la date de création, la date d’expiration, les paramètres de chiffrement et les informations relatives à la clé privée, exécutez la commande :

  3. Pour supprimer un fournisseur d'identité IAM, exécutez la commande suivante :

Création et gestion d’un fournisseur d’identité SAML IAM (API AWS)

Vous pouvez utiliser l’API AWS pour créer, mettre à jour et supprimer des fournisseurs SAML. Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (API AWS)
Pour mettre à jour un fournisseur d’identité SAML IAM (API AWS)
Pour baliser un fournisseur d'identité IAM existant (API AWS)
Pour afficher la liste des balises d'un fournisseur d'identité IAM (API AWS) existant
Pour supprimer les balises d'un fournisseur d'identité IAM (API AWS) existant
Pour supprimer un fournisseur d'identité IAM (API AWS)

  1. (Facultatif) Pour répertorier des informations pour tous les IdP, comme l'ARN, la date de création et l'expiration, appelez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que l’ARN, la date de création, la date d’expiration, les paramètres de chiffrement et les informations relatives à la clé privée, appelez l’opération suivante :

  3. Pour supprimer un IdP, appelez l'opération suivante :

Étapes suivantes

Après avoir créé un fournisseur d’identité SAML, configurez l’approbation des parties utilisatrices avec votre IdP. Vous pouvez également utiliser les demandes de la réponse d’authentification de votre IdP dans les politiques pour contrôler l’accès à un rôle.