Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Choisir un mode d'authentification pour Amazon EMR Studio
EMR Studio prend en charge deux modes d'authentification : le mode d'authentification IAM et le mode d'authentification IAM Identity Center. Le mode IAM utilise Gestion des identités et des accès AWS (IAM), tandis que le mode IAM Identity Center utilise. AWS IAM Identity Center Lorsque vous créez un EMR Studio, vous choisissez le mode d'authentification pour tous les utilisateurs de ce studio. Pour plus d'informations sur mes différents modes d'authentification, consultez [Authentification et connexion utilisateur](how-emr-studio-works.md#emr-studio-login).
Utilisez le tableau suivant pour choisir un mode d'authentification pour EMR Studio.
****
| Si... | Il est recommandé de... |
| --- | --- |
| Vous connaissez déjà ou avez déjà configuré l'authentification ou la fédération IAM | [Mode d'authentification IAM](#emr-studio-iam-authentication), qui offre les avantages suivants :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/emr-studio-authentication.html) |
| Nouvel utilisateur d'Amazon EMR AWS ou Amazon | [Mode d'authentification IAM Identity Center](#emr-studio-enable-sso), qui offre les fonctionnalités suivantes :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/emr-studio-authentication.html) |
## Configurer le mode d'authentification IAM pour Amazon EMR Studio
Avec le mode d'authentification IAM, vous pouvez utiliser l'authentification IAM ou la fédération IAM. L'*authentification* IAM vous permet de gérer les identités IAM telles que les utilisateurs, les groupes et les rôles dans IAM. Vous autorisez les utilisateurs à accéder à un studio avec des politiques d'autorisations IAM et un [contrôle d'accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html). *La fédération* IAM vous permet d'établir un lien de confiance entre un fournisseur d'identité (IdP) tiers AWS et de gérer les identités des utilisateurs par le biais de votre IdP.
**Note**
Si vous utilisez déjà IAM pour contrôler l'accès aux AWS ressources, ou si vous avez déjà configuré votre fournisseur d'identité (IdP) pour IAM, [Autorisations utilisateur pour le mode d'authentification IAM](how-emr-studio-works.md#emr-studio-iam-authorization) consultez la section pour définir les autorisations utilisateur lorsque vous utilisez le mode d'authentification IAM pour EMR Studio.
### Utiliser la fédération IAM pour Amazon EMR Studio
Pour utiliser la fédération IAM pour EMR Studio, vous devez créer une relation de confiance entre vous et Compte AWS votre fournisseur d'identité (IdP) et permettre aux utilisateurs fédérés d'accéder au. AWS Management Console Les étapes à suivre pour créer cette relation de confiance varient en fonction de la norme de fédération de votre IdP.
En général, vous devez effectuer les tâches suivantes pour configurer la fédération avec un IdP externe. Pour obtenir des instructions complètes, consultez les rubriques [Activation de l'accès des utilisateurs fédérés SAML 2.0 à la AWS Management Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) et [Activation de l'accès de broker d'identité personnalisé à la AWS Management Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html) dans le *Guide de l'utilisateur Gestion des identités et des accès AWS *.
1. Récoltez des informations sur votre IdP. Cela implique généralement de générer un document de métadonnées pour valider les requêtes d'authentification SAML de votre IdP.
1. Créez une entité IAM de fournisseur d'identité pour stocker les informations sur votre IdP. Pour obtenir des instructions, consultez la rubrique [Création de fournisseurs d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create.html).
1. Créez un ou plusieurs rôles IAM pour votre IdP. EMR Studio attribue un rôle à un utilisateur fédéré lorsque ce dernier se connecte. Le rôle permet à votre IdP de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Pour obtenir des instructions, consultez la rubrique [Création d'un rôle pour un fournisseur d'identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html). Les politiques d'autorisation que vous attribuez au rôle déterminent ce que les utilisateurs fédérés peuvent faire dans AWS et dans un studio EMR. Pour de plus amples informations, veuillez consulter [Autorisations utilisateur pour le mode d'authentification IAM](how-emr-studio-works.md#emr-studio-iam-authorization).
1. (Pour les fournisseurs SAML) Complétez la confiance SAML en configurant votre IdP avec des informations AWS et les rôles que vous souhaitez que les utilisateurs fédérés assument. Ce processus de configuration crée *un climat de confiance* entre votre IdP et. AWS Pour plus d’informations, consultez [Configuration de votre IdP SAML 2.0 à l’aide d’une relation d’approbation des parties utilisatrices et ajout de demandes](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html).
**Pour configurer un EMR Studio en tant qu'application SAML sur votre portail IdP**
Vous pouvez configurer un EMR Studio spécifique en tant qu'application SAML à l'aide d'un lien ciblé vers le Studio. Cela permet aux utilisateurs de se connecter à votre portail IdP et de lancer un Studio spécifique au lieu de naviguer via la console Amazon EMR.
+ Utilisez le format suivant pour configurer un lien ciblé vers votre EMR Studio en tant qu'URL de destination après vérification des assertions SAML.
```
https://console.aws.amazon.com/emr/home?region={{}}#studio/{{}}/start
```
## Configurer le mode d'authentification IAM Identity Center pour Amazon EMR Studio
AWS IAM Identity Center Pour préparer EMR Studio, vous devez configurer votre source d'identité et configurer les utilisateurs et les groupes. L'allocation est le processus qui consiste à mettre les informations des utilisateurs et des groupes à la disposition d'IAM Identity Center et des applications qui utilisent IAM Identity Center. Pour plus d'informations, consultez [Provisionnement d'utilisateurs et de groupes](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision).
EMR Studio prend en charge l'utilisation des fournisseurs d'identité suivants pour IAM Identity Center :
+ **AWS Managed Microsoft AD et Active Directory autogéré** : pour plus d'informations, voir [Se connecter à votre annuaire Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html).
+ **Fournisseurs basés sur le protocole SAML** : pour une liste complète, consultez [Fournisseurs d'identité pris en charge](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html).
+ **Le répertoire IAM Identity Center** : pour plus d'informations, consultez [Gérer les identités dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html).
**Pour configurer IAM Identity Center pour EMR Studio**
1. Pour configurer IAM Identity Center pour EMR Studio, vous avez besoin des éléments suivants :
+ Un compte de gestion dans votre AWS organisation si vous utilisez plusieurs comptes dans votre organisation.
**Note**
Vous ne devez utiliser votre compte de gestion que pour activer IAM Identity Center et *allouer* des utilisateurs et des groupes. Après avoir configuré IAM Identity Center, utilisez un compte membre pour créer un EMR Studio et *attribuer* des utilisateurs et des groupes. Pour en savoir plus sur AWS la terminologie, voir [AWS Organizations Terminologie et concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Si vous avez activé IAM Identity Center avant le 25 novembre 2019, vous devrez peut-être activer les applications qui utilisent IAM Identity Center pour les comptes de votre AWS organisation. Pour plus d'informations, voir [Activer les applications intégrées à IAM Identity Center dans](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement) les comptes. AWS
+ Assurez-vous de remplir les prérequis sur la page des [prérequis pour IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).
1. Suivez les instructions de la section [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html) pour activer le centre d'identité IAM à l' Région AWS endroit où vous souhaitez créer le studio EMR.
1. Connectez IAM Identity Center à votre fournisseur d'identité et configurez les utilisateurs et les groupes que vous souhaitez attribuer au Studio.
****
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/emr-studio-authentication.html)
Vous pouvez désormais attribuer des utilisateurs et des groupes de votre Identity Store à un EMR Studio. Pour obtenir des instructions, veuillez consulter [Attribuer un utilisateur ou un groupe à un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).