

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activer IAM Identity Center
<a name="enable-identity-center"></a>

Lorsque vous activez IAM Identity Center, vous choisissez le type d' AWS IAM Identity Center instance à activer. Une instance de service est le déploiement unique d'un service au sein de votre AWS environnement. Deux types d'instances sont disponibles pour IAM Identity Center : les instances d'organisation et les instances de compte. Les types d'instances que vous pouvez activer dépendent du type de compte auquel vous êtes connecté.

La liste suivante identifie le type d'instances IAM Identity Center que vous pouvez activer pour chaque type de Compte AWS :
+ **Votre compte AWS Organizations de gestion (recommandé)** : obligatoire pour créer une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center. Utilisez une instance d'organisation pour les autorisations multi-comptes et les attributions d'applications au sein de l'organisation. Vous pouvez répliquer ce type d'instance vers des régions supplémentaires pour améliorer la résilience de l'accès aux comptes et la flexibilité dans le choix des régions de déploiement des AWS applications.
+ **Votre compte de AWS Organizations membre** : à utiliser pour créer une [instance de compte](account-instances-identity-center.md) d'IAM Identity Center afin de permettre l'attribution d'applications au sein de ce compte membre. Un ou plusieurs comptes dotés d'une instance de niveau membre peuvent exister dans une organisation.
+ **Une instance autonome Compte AWS** : à utiliser pour créer une instance d'[organisation ou une instance](organization-instances-identity-center.md) de [compte](account-instances-identity-center.md) d'IAM Identity Center. Le système autonome Compte AWS n'est pas géré par AWS Organizations. Vous ne pouvez associer qu'une seule instance d'IAM Identity Center à une instance autonome Compte AWS et utiliser cette instance pour les attributions d'applications au sein de cette instance autonome. Compte AWS

**Important**  
Le compte de gestion de l'organisation peut contrôler si les [comptes des membres de l'organisation peuvent créer des instances de compte d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html) à l'aide d'une politique de contrôle des services.  
Si vous utilisez un compte gratuit, la création d'une AWS organisation fait automatiquement passer votre compte à un forfait payant avec pay-as-you-go tarification. Vos crédits de niveau gratuit expirent immédiatement. Pour plus d’informations, consultez la page sur l’[offre gratuite AWS FAQs](https://aws.amazon.com/free/free-tier-faqs/).

Pour une comparaison des différentes fonctionnalités fournies par les différents types d'instances, consultez[Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).

Avant d'activer IAM Identity Center, nous vous recommandons de consulter le[Conditions préalables et considérations relatives à l'IAM Identity Center](identity-center-prerequisites.md).

## Pour activer une instance d'IAM Identity Center
<a name="to-enable-identity-center-instance"></a>

Choisissez l'onglet correspondant au type d'instance IAM Identity Center que vous souhaitez activer, qu'il s'agisse d'une instance d'organisation ou de compte :

------
#### [ Organization (recommended) ]

1. Procédez de l'une des manières suivantes pour vous connecter au AWS Management Console.
   + **Nouvel utilisateur AWS (utilisateur root)** : connectez-vous en tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
   + **Utilisez-le déjà AWS avec un appareil autonome Compte AWS (informations d'identification IAM)** : connectez-vous à l'aide de vos informations d'identification IAM avec des autorisations administratives.
   + Vous **utilisez déjà AWS Organizations (informations d'identification IAM)** : connectez-vous à l'aide des informations d'identification de votre compte de gestion.

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. (Facultatif) Si vous souhaitez utiliser une clé KMS gérée par le client pour le chiffrement au repos plutôt que la clé AWS gérée par défaut, configurez la clé gérée par le client dans la section **Clé pour chiffrer les données IAM Identity Center au repos**. Pour plus d’informations, consultez [Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center](identity-center-customer-managed-keys.md).
**Important**  
Effectuez cette étape uniquement si vous avez configuré les autorisations nécessaires pour utiliser la clé gérée par le client KMS. Sans autorisations appropriées, cette étape peut échouer ou perturber l'administration d'IAM Identity Center et les applications AWS gérées.

1. Sous **Activer IAM Identity Center**, sélectionnez **Activer**.

1. Sur la AWS Organizations page **Activer le centre d'identité IAM avec**, passez en revue les informations, puis sélectionnez **Activer** pour terminer le processus. 
**Note**  
AWS Organizations IAM Identity Center ne peut être activé que dans une seule AWS région. Après avoir activé IAM Identity Center, si vous devez modifier la région dans laquelle IAM Identity Center est activé, vous devez [supprimer](delete-config.md) l'instance actuelle et créer une instance dans l'autre région. 

Après avoir activé l'instance de votre organisation, nous vous recommandons de suivre les étapes suivantes pour terminer la configuration de votre environnement :
+ Vérifiez que vous utilisez la source d'identité de votre choix. Si une source d'identité vous est déjà attribuée, vous pouvez continuer à l'utiliser. Pour de plus amples informations, veuillez consulter [Confirmation de vos sources d’identité dans IAM Identity Center](confirm-identity-source.md).
+ Enregistrez un compte membre en tant qu'administrateur délégué. Pour de plus amples informations, veuillez consulter [Administration déléguée](delegated-admin.md).
+ IAM Identity Center vous fournit un portail d'accès aux AWS ressources. Si vous filtrez l'accès à des AWS domaines ou à des points de terminaison d'URL spécifiques à l'aide d'une solution de filtrage de contenu Web telle que des pare-feux de nouvelle génération (NGFW) ou des passerelles Web sécurisées (SWG), consultez. [Mettez à jour les pare-feux et les passerelles pour autoriser l'accès au Portail d'accès AWS](enable-identity-center-portal-access.md)

------
#### [ Account ]

1. Procédez de l'une des manières suivantes pour vous connecter au AWS Management Console.
   + **Nouvel utilisateur AWS (utilisateur root)** : connectez-vous en tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
   + Vous **utilisez déjà AWS (informations d'identification IAM)** : connectez-vous à l'aide de vos informations d'identification IAM avec des autorisations administratives.
   + Vous **utilisez déjà AWS Organizations (informations d'identification IAM)** : connectez-vous à l'aide des informations d'identification administratives de votre compte membre.

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. **Si vous utilisez un centre autonome pour la AWS première fois ou si vous en possédez un Compte AWS, sous **Activer le centre d'identité IAM**, sélectionnez Activer.**

   La AWS Organizations page **Activer le centre d'identité IAM avec** s'affiche. Nous recommandons cette option, mais elle n'est pas obligatoire.

   Sélectionnez le lien **activer une instance de compte d'IAM Identity Center**.

1. Si vous êtes administrateur d'un compte AWS Organizations membre, sous **Activer une instance de compte d'IAM Identity Center**, sélectionnez **Activer une instance de compte**.

1. Sur la page **Activer une instance de compte d'IAM Identity Center**, passez en revue les informations et ajoutez *éventuellement* les balises que vous souhaitez associer à cette instance de compte. Sélectionnez ensuite **Activer** pour terminer le processus.
**Note**  
Si votre AWS compte est membre d'une organisation, votre capacité à activer une instance de compte d'IAM Identity Center peut être limitée.  
Si votre organisation a activé IAM Identity Center avant le 15 novembre 2023, la possibilité pour les comptes membres de créer des instances de compte est désactivée par défaut et doit être activée par le compte de gestion de l'organisation.
Si votre organisation a activé IAM Identity Center après le 15 novembre 2023, la possibilité pour le compte membre de créer des instances de compte est activée par défaut. Toutefois, les politiques de contrôle des services peuvent être utilisées pour empêcher la création d'instances de compte d'IAM Identity Center au sein d'une organisation. 
Pour plus d'informations, consultez [Autoriser la création d'instances de compte dans les comptes des membres](enable-account-instance-console.md) et [Utiliser les politiques de contrôle des services pour contrôler la création d'instances de compte](control-account-instance.md).

------

# Confirmation de vos sources d’identité dans IAM Identity Center
<a name="confirm-identity-source"></a>

Votre source d'identité dans IAM Identity Center définit l'endroit où vos utilisateurs et vos groupes sont gérés. Après avoir activé IAM Identity Center, vérifiez que vous utilisez la source d'identité de votre choix. Si une source d'identité vous est déjà attribuée, vous pouvez continuer à l'utiliser. 

Si vous gérez déjà des utilisateurs et des groupes au sein d'un IdP externe Active Directory ou au sein d'un IdP externe, nous vous recommandons d'envisager de connecter cette source d'identité lorsque vous activez IAM Identity Center et que vous choisissez votre source d'identité. Cela doit être fait avant de créer des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center et d'effectuer des assignations.

 Si vous gérez déjà des utilisateurs et des groupes dans une source d'identité dans IAM Identity Center, le passage à une autre source d'identité risque de supprimer toutes les attributions d'utilisateurs et de groupes que vous avez configurées dans IAM Identity Center. Dans ce cas, tous les utilisateurs, y compris l'utilisateur administratif d'IAM Identity Center, perdront l'accès par authentification unique à leurs applications Comptes AWS et à leurs applications. Pour de plus amples informations, veuillez consulter [Considérations relatives à la modification de votre source d'identité](manage-your-identity-source-considerations.md).

**Pour confirmer votre source d'identité**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sur la page du **tableau de bord**, sous la section **Étapes de configuration recommandées**, choisissez **Confirmer votre source d'identité**. Vous pouvez également accéder à cette page en choisissant **Paramètres** et en choisissant l'onglet **Source d'identité**.

1. Aucune action n'est nécessaire si vous souhaitez conserver la source d'identité qui vous a été attribuée. Si vous préférez le modifier, choisissez **Actions**, puis **Change identity source**.

Vous pouvez choisir l'une des sources d'identité suivantes : 

**Répertoire d'Identity Center**  
Lorsque vous activez IAM Identity Center pour la première fois, il est automatiquement configuré avec un répertoire Identity Center comme source d'identité par défaut. Si vous n'utilisez pas encore un autre fournisseur d'identité externe, vous pouvez commencer à créer vos utilisateurs et groupes, et attribuer leur niveau d'accès à vos applications Comptes AWS et à vos applications. Pour un didacticiel sur l'utilisation de cette source d'identité, consultez[Configuration de l'accès utilisateur avec le répertoire IAM Identity Center par défaut](quick-start-default-idc.md).

**Active Directory**  
Si vous gérez déjà des utilisateurs et des groupes dans votre AWS Managed Microsoft AD annuaire en utilisant Directory Service ou dans votre annuaire autogéréActive Directory (AD), nous vous recommandons de connecter cet annuaire lorsque vous activez IAM Identity Center. Ne créez aucun utilisateur ni groupe dans le répertoire par défaut d'Identity Center. IAM Identity Center utilise la connexion fournie par le AWS Directory Service pour synchroniser les informations relatives aux utilisateurs, aux groupes et aux membres entre votre répertoire source dans Active Directory et le magasin d'identités IAM Identity Center. Pour de plus amples informations, veuillez consulter [Microsoft ADannuaire](manage-your-identity-source-ad.md).  
IAM Identity Center ne prend pas en charge SAMBA4 Simple AD en tant que source d'identité.

**Fournisseur d'identité externe**  
Pour les fournisseurs d'identité externes (IdPs) tels que Okta ouMicrosoft Entra ID, vous pouvez utiliser IAM Identity Center pour authentifier les identités IdPs via la norme SAML (Security Assertion Markup Language) 2.0. Le protocole SAML ne permet pas d'interroger l'IdP pour en savoir plus sur les utilisateurs et les groupes. Vous informez IAM Identity Center de l'existence de ces utilisateurs et groupes en les configurant dans IAM Identity Center. Vous pouvez effectuer le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis votre IdP vers IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) v2.0 si votre IdP prend en charge le SCIM. Sinon, vous pouvez configurer manuellement vos utilisateurs et vos groupes en saisissant manuellement les noms d'utilisateur, les adresses e-mail et les groupes dans IAM Identity Center.  
Pour obtenir des instructions détaillées sur la configuration de votre source d'identité, consultez[Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md).  
Si vous envisagez d'utiliser un fournisseur d'identité externe, notez que c'est l'IdP externe, et non le IAM Identity Center, qui gère les paramètres d'authentification multifactorielle (MFA). L'authentification MFA dans IAM Identity Center n'est pas prise en charge par les fournisseurs d'identité externes. Pour de plus amples informations, veuillez consulter [Inviter les utilisateurs à utiliser le MFA](mfa-getting-started.md).

**Note**  
Si vous prévoyez de répliquer IAM Identity Center dans d'autres régions, vous devez configurer un fournisseur d'identité externe. Pour plus de détails, notamment sur les prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).

# Mettez à jour les pare-feux et les passerelles pour autoriser l'accès au Portail d'accès AWS
<a name="enable-identity-center-portal-access"></a>

Le portail AWS d'accès fournit aux utilisateurs un accès par authentification unique à toutes vos applications cloud Comptes AWS et aux applications cloud les plus couramment utilisées, telles qu'Office 365, Concur, Salesforce et bien d'autres encore. Vous pouvez lancer rapidement plusieurs applications en cliquant simplement sur l'icône Compte AWS ou de l'application dans le portail. 

**Note**  
AWS les applications gérées s'intègrent à IAM Identity Center et l'utilisent pour l'authentification et les services d'annuaire, mais peuvent ne pas utiliser le portail AWS d'accès pour accéder aux applications.

Si vous filtrez l'accès à des AWS domaines ou points de terminaison d'URL spécifiques à l'aide d'une solution de filtrage de contenu Web telle que des pare-feux de nouvelle génération (NGFW) ou des passerelles Web sécurisées (SWG), vous devez autoriser la liste des domaines et des points de terminaison d'URL associés au portail d'accès. AWS 

La liste suivante fournit les domaines à double pile IPv4 et les points de terminaison d'URL à ajouter aux listes d'autorisation de votre solution de filtrage de contenu Web.

**IPv4 liste d'autorisations**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**Liste d'autorisations à double pile**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**Liste d'autorisation combinée (IPv4 \$1 double pile avec rétrocompatibilité)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## Considérations relatives à l'autorisation de répertorier des domaines et des points de terminaison d'URL
<a name="allowlist-considerations"></a>

Outre les exigences relatives à la liste d'autorisation pour le portail AWS d'accès, les autres services et applications que vous utilisez peuvent nécessiter une liste d'autorisation de domaines. 
+ Pour accéder à Comptes AWS AWS Management Console, et à la console IAM Identity Center depuis votre portail d' AWS accès, vous devez autoriser des domaines supplémentaires sur la liste. Reportez-vous à la section [Résolution](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html) des problèmes du *Guide de démarrage pour AWS Management Console obtenir* la liste des AWS Management Console domaines.
+ Pour accéder aux applications AWS gérées depuis votre portail AWS d'accès, vous devez autoriser leurs domaines respectifs sur la liste d'autorisation. Reportez-vous à la documentation de service correspondante pour obtenir des conseils. 
+ Si vous utilisez un logiciel externe, tel qu'un logiciel externe IdPs (par exemple, Okta etMicrosoft Entra ID), vous devez inclure leurs domaines dans vos listes d'autorisation.