Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration unique d'une application de fédération IAM directe avec ADFS
<a name="emergency-access-one-time-setup-direct-IAM-federation-application-in-adfs"></a>

Ce guide décrit le processus de configuration unique permettant de configurer la fédération IAM directe afin de ADFS permettre un accès d'urgence Comptes AWS lorsque IAM Identity Center n'est pas disponible.

## Conditions préalables
<a name="emergency-access-adfs-prerequisites"></a>

Si vous envisagez de configurer ADFS avec AWS Managed Microsoft AD, nous vous recommandons de [configurer d'abord la réplication multirégionale](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html) et de poursuivre les étapes suivantes dans la région supplémentaire et non dans la région principale pour des raisons de résilience.

## Planifiez votre convention de dénomination des groupes Active Directory
<a name="emergency-access-adfs-plan-naming"></a>

Créez des groupes AD à l'aide d'un modèle de dénomination spécifique qui permet une correspondance automatique entre les noms de groupes et les rôles AWS IAM.

**Format de dénomination des groupes** : `AWS-<AccountNumber>-<RoleName>`

Pour une illustration, voir le compte d'urgence dans le schéma ci-dessous[Comment concevoir un mappage des rôles, des comptes et des groupes en cas d'urgence](emergency-access-mapping-design.md). Lorsqu'un utilisateur est affecté à ce groupe, il a accès au `EmergencyAccess_Role1_RO` rôle dans le compte`123456789012`. Si un utilisateur est associé à plusieurs groupes, il voit la liste des rôles disponibles Compte AWS et peut choisir le rôle à assumer.

## AWS configuration
<a name="emergency-access-adfs-aws-configuration"></a>

La configuration complète inclut les configurations d'un compte d'accès d'urgence et des comptes de charge de travail. Pour une illustration de la configuration globale, voir[Comment concevoir un mappage des rôles, des comptes et des groupes en cas d'urgence](emergency-access-mapping-design.md).

1. [Création d'un fournisseur d'identité SAML](#emergency-access-adfs-create-saml-provider)

1. [Création de rôles d'accès d'urgence](#emergency-access-adfs-create-roles)

1. [Configurer les rôles des comptes de charge de travail](#emergency-access-adfs-configure-workload-accounts)

### Création d'un fournisseur d'identité SAML
<a name="emergency-access-adfs-create-saml-provider"></a>

Dans le compte d'accès d'urgence, créez un fournisseur d'identité SAML dans IAM en suivant les étapes décrites dans [Créer un fournisseur d'identité SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) dans IAM. Téléchargez les métadonnées requises depuis votre ADFS serveur :

`https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml`

### Création de rôles d'accès d'urgence
<a name="emergency-access-adfs-create-roles"></a>

[Créez des rôles d'accès d'urgence](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) dans le compte d'urgence en utilisant la fédération SAML 2.0 comme type d'entité de confiance. Sélectionnez le fournisseur SAML 2.0 que vous avez créé à l'étape précédente.

**Considérations :**
+ **Incluez toutes les régions dans lesquelles vous exercez vos activités** : sélectionnez toutes les régions dans lesquelles vous avez des charges de travail actives pour vous assurer que la fédération reste disponible en cas de perturbation régionale.
+ **Configurez au moins un point de terminaison régional supplémentaire, même si vous opérez dans une seule région**. Par exemple, si vous n'opérez que dans`us-east-1`, ajoutez-le en `us-west-2` tant que point de terminaison secondaire. Vous pouvez transférer votre IdP vers le point de terminaison de connexion `us-west-2` SAML tout en continuant à accéder à vos `us-east-1` ressources, même sans aucune charge de travail. `us-west-2`
+ **Activez à la fois le point de terminaison non régional et le point de terminaison** régional : bien que le point de terminaison non régional (`https://signin.aws.amazon.com/saml`) soit hautement disponible, il est hébergé dans un seul terminal Région AWS`us-east-1`, tandis que les points de terminaison régionaux (`https://<region>.signin.aws.amazon.com/saml`) améliorent la résilience en réduisant la dépendance à l'égard d'un seul point de terminaison mondial.

**Configuration de la politique de confiance**

Reportez-vous à un [Configuration unique d'une application de fédération IAM directe dans Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) exemple de politique de confiance avec plusieurs points de terminaison régionaux de connexion. Remplacez les points de terminaison régionaux et le fournisseur ARNs SAML de l'échantillon par les vôtres.

**Configuration des politiques d'autorisation**

Reportez-vous à un [Configuration unique d'une application de fédération IAM directe dans Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) exemple de politique d'autorisation que vous associez aux rôles d'accès d'urgence.

### Configurer les rôles des comptes de charge de travail
<a name="emergency-access-adfs-configure-workload-accounts"></a>

Pour les rôles du compte de charge de travail, configurez une politique de confiance personnalisée qui permet aux rôles d'accès d'urgence du compte d'accès d'urgence de les assumer. Reportez-vous à un [Configuration unique d'une application de fédération IAM directe dans Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) exemple de politique de confiance, où le compte `123456789012` est le compte d'accès d'urgence.

## Configuration d'Active Directory
<a name="emergency-access-adfs-ad-configuration"></a>

Les étapes suivantes décrivent comment configurer Active Directory et ADFS pour l'accès d'urgence.

1. [Création de groupes](#emergency-access-adfs-create-groups)

1. [Créez un groupe de confiance](#emergency-access-adfs-create-relying-party)

1. [Créez des règles de réclamation](#emergency-access-adfs-create-claim-rules)

### Création de groupes
<a name="emergency-access-adfs-create-groups"></a>

Créez des groupes d'urgence dans Active Directory conformément à la convention de dénomination décrite précédemment (par exemple,`AWS-123456789012-EmergencyAccess_Role1_RO`). Affectez des utilisateurs à ces groupes par le biais de vos mécanismes de provisionnement existants.

### Créez un groupe de confiance
<a name="emergency-access-adfs-create-relying-party"></a>

ADFSla fédération nécessite une configuration de parties dépendantes. La partie utilisatrice est AWS Security Token Service (AWS STS), qui sous-traite l'authentification en ADFS tant que fournisseur d'identité.

1. Dans la console ADFS de gestion, utilisez le menu Action et sélectionnez **Ajouter la confiance d'une partie fiable**. Sélectionnez **Claims aware** lorsque vous ajoutez une partie de confiance.

1. Pour les métadonnées de fédération, entrez l'URL des métadonnées figurant dans les informations de métadonnées du fournisseur d'identité sur la console IAM. Par exemple :

   `https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml`

1. Définissez le nom d'affichage de la partie utilisatrice (par exemple, **AWS Account Access**), puis choisissez **Next**.

1. Sélectionnez les personnes auxquelles vous souhaitez autoriser l'accès AWS. Vous pouvez sélectionner des groupes spécifiques et définir des exigences telles que le MFA.

1. Choisissez **Fermer** sur la page Terminer pour terminer l'assistant d'ajout de confiance à une partie fiable. AWS est désormais configuré en tant que partie utilisatrice.

### Créez des règles de réclamation
<a name="emergency-access-adfs-create-claim-rules"></a>

ADFSutilise le langage des règles relatives aux réclamations pour émettre et transformer les réclamations entre les fournisseurs de réclamations et les parties utilisatrices. Vous devez créer quatre règles de réclamation :NameId,RoleSessionName, Get AD Groups et Roles for AWS Access.

Cliquez avec le bouton droit sur la partie utilisatrice, puis choisissez **Modifier la politique d'émission** des demandes. Choisissez **Ajouter une règle** pour ajouter des règles.

**1NameId**. 

1. Sélectionnez **Transformer une réclamation entrante**, puis cliquez sur **Suivant**.

1. Utilisez les paramètres suivants :
   + Nom de la règle de réclamation : `NameId`
   + Type de réclamation entrante : `Windows Account Name`
   + Type de demande sortante : `Name ID`
   + Format du nom et de l'identifiant sortant : `Persistent Identifier`
   + Passez en revue toutes les valeurs des réclamations : coché

1. Choisissez **OK**.

**2. RoleSessionName**

1. Choisissez **Add Rule** (Ajouter une règle).

1. Dans la liste des modèles de règles de réclamation, sélectionnez **Envoyer les attributs LDAP sous forme de revendications**.

1. Utilisez les paramètres suivants :
   + Nom de la règle de réclamation : `RoleSessionName`
   + Boutique d'attributs : `Active Directory`
   + Attribut LDAP : `E-Mail-Addresses`
   + Type de réclamation sortante : `https://aws.amazon.com/SAML/Attributes/RoleSessionName`

1. Choisissez **OK**.

**3. Obtenir des groupes AD**

1. Choisissez **Add Rule** (Ajouter une règle).

1. Dans la liste des modèles de règles de réclamation, sélectionnez **Envoyer les réclamations à l'aide d'une règle personnalisée**, puis cliquez sur **Suivant**.

1. Dans Nom de la règle de réclamation`Get AD Groups`, entrez, puis dans Règle personnalisée, entrez ce qui suit :

   ```
   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
   => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
   ```

   Cette règle personnalisée utilise un script dans le langage des règles de réclamation qui récupère tous les groupes dont l'utilisateur authentifié est membre et les place dans une réclamation temporaire nommée. `http://temp/variable`
**Note**  
Assurez-vous qu'il n'y a pas d'espace blanc à la fin pour éviter des résultats inattendus.

**4. Attributs du rôle**

1. Choisissez **Add Rule** (Ajouter une règle).

1. Dans la liste des modèles de règles de réclamation, sélectionnez **Envoyer les réclamations à l'aide d'une règle personnalisée**, puis cliquez sur **Suivant**.

1. Dans Nom de la règle de réclamation`Roles`, entrez, puis dans Règle personnalisée, entrez ce qui suit :

   ```
   c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));
   ```

   Cette règle personnalisée utilise des expressions régulières pour transformer chacune des appartenances de groupe du formulaire `AWS-<Account Number>-<Role Name>` en ARN du rôle IAM et en formulaire ARN du fournisseur de fédération IAM attendu. AWS 
**Note**  
Dans l'exemple de langage de règles ci-dessus, `ADFS` représente le nom logique donné au fournisseur d'identité SAML dans la configuration du fournisseur AWS d'identité. Modifiez-le en fonction du nom logique que vous avez choisi dans la console IAM pour votre fournisseur d'identité.

## Tester la configuration
<a name="emergency-access-adfs-test-configuration"></a>

Vérifiez que la solution fonctionne en vous authentifiant auprès `https://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx` de. Sélectionnez le nom de la partie utilisatrice que vous avez créée dans la liste déroulante des sites.

## Mettre à jour le point de terminaison d'assertion SAML par défaut dans ADFS
<a name="emergency-access-adfs-update-saml-endpoint"></a>

**Important**  
Lors de la configuration de la confiance des parties ADFS dépendantes, le point de terminaison d'assertion SAML utilise par défaut celui `https://signin.aws.amazon.com/` qui n'est pas un point de terminaison global et se trouve dans. `us-east-1` Nous vous recommandons de remplacer le point de terminaison par défaut par un point de terminaison régional différent de celui où votre centre d'identité IAM est configuré pour la résilience. Par exemple, si votre centre d'identité IAM est déployé `us-east-1` et que vous y opérez également`us-west-2`, remplacez le point de terminaison client par défaut de l'assertion SAML par. `https://us-west-2.signin.aws.amazon.com/saml`

1. Choisissez **Propriétés** en fonction de la confiance de la partie fiable et accédez à l'onglet **Surveillance**. Décochez la case **Mettre automatiquement à jour la partie utilisatrice**.

1. **Accédez à l'onglet **Points de terminaison**, sélectionnez votre point de terminaison de connexion préféré, puis choisissez Modifier.**

1. Cochez la case **Définir l'URL sécurisée par défaut**. Cliquez **sur OK** et **sur Appliquer** pour que le réglage prenne effet.

**Note**  
La plupart vous IdPs permettent de désactiver l'intégration d'une application jusqu'à ce que vous en ayez besoin. Nous vous recommandons de laisser l'application de fédération IAM directe désactivée dans votre IdP jusqu'à ce qu'elle soit requise pour un accès d'urgence.