Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurer SAML et SCIM avec un IAM Google Workspace Identity Center
Si votre organisation l'utilise, Google Workspace vous pouvez intégrer vos utilisateurs depuis Google Workspace IAM Identity Center pour leur donner accès aux AWS ressources. Vous pouvez réaliser cette intégration en remplaçant la source d'identité par défaut de votre source d'identité IAM Identity Center par. Google Workspace
**Note**
Google Workspacene prend actuellement pas en charge le service de consommation d'assertions multiples (ACS) SAML URLs dans l' AWS IAM Identity Center application. Cette fonctionnalité SAML est requise pour tirer pleinement parti de la prise en [charge multirégionale](multi-region-iam-identity-center.md) dans IAM Identity Center. Si vous envisagez de répliquer IAM Identity Center vers d'autres régions, sachez que l'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans ces régions supplémentaires. Votre région principale continuera de fonctionner normalement. Nous vous recommandons de travailler avec votre fournisseur d'IdP pour activer cette fonctionnalité. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Les informations utilisateur provenant de Google Workspace sont synchronisées dans IAM Identity Center à l'aide du protocole [SCIM (System for Cross-Domain Identity Management) 2.0](scim-profile-saml.md#scim-profile). Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
Vous configurez cette connexion en Google Workspace utilisant votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec Google Workspace les attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center etGoogle Workspace. Pour ce faire, vous devez vous configurer en Google Workspace tant que fournisseur d'identité et vous connecter à votre IAM Identity Center.
**Objectif**
Les étapes de ce didacticiel vous aident à établir la connexion SAML entre Google Workspace et AWS. Plus tard, vous synchroniserez les utilisateurs à Google Workspace l'aide de SCIM. Pour vérifier que tout est correctement configuré, une fois les étapes de configuration terminées, vous vous connecterez en tant qu'Google Workspaceutilisateur et vérifierez l'accès aux AWS ressources. Notez que ce didacticiel est basé sur un environnement de test de petits Google Workspace répertoires. Les structures de répertoires telles que les groupes et les unités organisationnelles ne sont pas incluses dans ce didacticiel. Après avoir terminé ce didacticiel, vos utilisateurs pourront accéder au portail d' AWS accès avec vos Google Workspace informations d'identification.
**Note**
Pour vous inscrire à un essai gratuit ou Google Workspace rendez-vous [https://workspace.google.com/](https://workspace.google.com/)sur le Google's site Web.
Si vous n'avez pas encore activé IAM Identity Center, consultez[Activer IAM Identity Center](enable-identity-center.md).
## Considérations
+ Avant de configurer le provisionnement SCIM entre Google Workspace et IAM Identity Center, nous vous recommandons de procéder à un premier examen. [Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations)
+ La synchronisation automatique depuis SCIM Google Workspace est actuellement limitée au provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Les groupes peuvent être créés manuellement à AWS CLI l'aide de la commande Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) ou de l'API Gestion des identités et des accès AWS (IAM). [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Vous pouvez également utiliser [ssosync](https://github.com/awslabs/ssosync) pour synchroniser Google Workspace les utilisateurs et les groupes dans IAM Identity Center.
+ Chaque Google Workspace utilisateur doit avoir un **prénom, un nom de famille**, un **nom** **d'utilisateur** et une valeur de **nom d'affichage** spécifiés.
+ Chaque Google Workspace utilisateur ne dispose que d'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.
+ Les attributs sont toujours synchronisés si l'utilisateur est désactivé dans IAM Identity Center, mais toujours actif dans. Google Workspace
+ Si un utilisateur existe déjà dans le répertoire Identity Center avec le même nom d'utilisateur et le même e-mail, il sera remplacé et synchronisé à l'aide de SCIM from. Google Workspace
+ Des considérations supplémentaires doivent être prises en compte lors de la modification de votre source d'identité. Pour de plus amples informations, veuillez consulter [Passage d'IAM Identity Center à un IdP externe](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Étape 1 Google Workspace : Configuration de l'application SAML
1. Connectez-vous à votre **console d'Googleadministration** à l'aide d'un compte doté de privilèges de super administrateur.
1. Dans le panneau de navigation de gauche de votre **console Google d'administration**, sélectionnez **Applications**, puis **Applications Web et mobiles**.
1. Dans la liste déroulante **Ajouter une application**, sélectionnez **Rechercher des applications**.
1. Dans le champ de recherche, saisissez **Amazon Web Services**, puis sélectionnez l'application **Amazon Web Services (SAML)** dans la liste.
1. Sur la page **Informations sur le fournisseur d'Googleidentité - Amazon Web Services**, vous pouvez effectuer l'une des opérations suivantes :
1. Téléchargez les métadonnées de l'IdP.
1. Copiez l'URL SSO, l'URL de l'identifiant de l'entité et les informations du certificat.
Vous aurez besoin du fichier XML ou des informations d'URL à l'étape 2.
1. Avant de passer à l'étape suivante dans la console Google d'administration, laissez cette page ouverte et passez à la console IAM Identity Center.
## Étape 2 : IAM Identity Center et Google Workspace : Modification de la source d'identité IAM Identity Center et configuration en Google Workspace tant que fournisseur d'identité SAML
1. Connectez-vous à la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) à l'aide d'un rôle doté d'autorisations administratives.
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez **Actions**, puis **Modifier la source d'identité**.
+ Si vous n'avez pas activé IAM Identity Center, consultez [Activer IAM Identity Center](enable-identity-center.md) pour plus d'informations. Après avoir activé et accédé à IAM Identity Center pour la première fois, vous arriverez au **tableau de bord** où vous pourrez sélectionner **Choisissez votre source d'identité**.
1. Sur la page **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. La page **Configurer le fournisseur d'identité externe** s'ouvre. Pour compléter cette page et celle de l'Google Workspaceétape 1, vous devez effectuer les opérations suivantes :
1. Dans la section **des métadonnées du fournisseur** d'**identité de la console IAM Identity Center**, vous devez effectuer l'une des opérations suivantes :
1. Téléchargez les métadonnées **GoogleSAML en tant que métadonnées** **IDP SAML** dans la console IAM Identity Center.
1. ****Copiez et collez l'URL **GoogleSSO dans le champ URL** de **connexion de l'IdP Google****, l'URL de l'émetteur dans le champ URL** de l'**émetteur de l'IdP et téléchargez le certificat** en tant que certificat IdP. Google****
1. Après avoir fourni les Google métadonnées dans la section des **métadonnées du fournisseur d'identité** de la console **IAM Identity Center**, copiez l'URL du **IAM Identity Assertion Consumer Service (ACS) et l'URL** de l'émetteur du **IAM Identity Center**. Vous devrez les fournir URLs dans la console Google d'administration à l'étape suivante.
1. Laissez la page ouverte avec la console IAM Identity Center et revenez à la console Google d'administration. Vous devriez être sur la page de **détails d'Amazon Web Services - Service Provider**. Sélectionnez **Continuer**.
1. Sur la page de **détails du fournisseur** de services, entrez les valeurs de l'**URL ACS** et de **l'ID d'entité**. Vous avez copié ces valeurs à l'étape précédente et elles se trouvent dans la console IAM Identity Center.
+ Collez l'**URL du IAM Identity Center Assertion Consumer Service (ACS)** dans le champ **URL ACS**
+ Collez l'**URL de l'émetteur du IAM Identity Center** dans le champ **Entity ID**.
1. Sur la page de **détails du fournisseur** de services, complétez les champs sous le **nom ID** comme suit :
+ Pour le **format du nom et de l'identifiant**, sélectionnez **EMAIL**
+ Pour **Name ID**, sélectionnez **Informations de base > E-mail principal**
1. Sélectionnez **Continuer**.
1. Sur la page **Mappage** d'**attributs, sous Attributs**, choisissez **AJOUTER UN MAPPAGE**, puis configurez les champs suivants sous **Attribut de Google répertoire** :
+ Pour l'**attribut de l'`https://aws.amazon.com/SAML/Attributes/RoleSessionName`application**, sélectionnez le champ **Informations de base, e-mail principal** dans les **Google Directoryattributs**.
+ Pour l'**attribut de `https://aws.amazon.com/SAML/Attributes/Role` l'application**, sélectionnez n'importe quel **Google Directoryattribut**. Un attribut de Google répertoire peut être **Department**.
1. Choisissez **Finish**
1. Revenez à la console **IAM Identity Center** et choisissez **Next**. Sur la page **Vérifier et confirmer**, passez en revue les informations, puis saisissez **ACCEPT** dans l'espace prévu à cet effet. Choisissez **Modifier la source d'identité.**
Vous êtes maintenant prêt à activer l'application Amazon Web Services Google Workspace afin que vos utilisateurs puissent être connectés à IAM Identity Center.
## Étape 3 Google Workspace : Activez les applications
1. Retournez à la **console Google d'administration** et à votre AWS IAM Identity Center application, qui se trouvent sous **Applications** et **applications Web et mobiles**.
1. Dans le panneau **Accès utilisateur situé** à côté de **Accès utilisateur**, cliquez sur la flèche vers le bas pour étendre **l'accès utilisateur** afin d'afficher le panneau d'**état du service**.
1. Dans le panneau **d'état du service**, sélectionnez **Activé pour tout le monde**, puis sélectionnez **ENREGISTRER**.
**Note**
Pour respecter le principe du moindre privilège, nous vous recommandons de changer le **statut du service** **sur OFF pour tous** après avoir terminé ce didacticiel. Le service AWS doit être activé uniquement pour les utilisateurs ayant besoin d'un accès. Vous pouvez utiliser Google Workspace des groupes ou des unités organisationnelles pour donner aux utilisateurs l'accès à un sous-ensemble particulier de vos utilisateurs.
## Étape 4 : IAM Identity Center : configurer le provisionnement automatique d'IAM Identity Center
1. Retournez à la console IAM Identity Center.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. **Dans la boîte de dialogue de provisionnement automatique entrant**, copiez chacune des valeurs des options suivantes. À l'étape 5 de ce didacticiel, vous allez entrer ces valeurs pour configurer le provisionnement automatique dansGoogle Workspace.
1. Point de **terminaison SCIM** - Par exemple,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Double pile `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer.
1. Choisissez **Fermer**.
Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, à l'étape suivante, vous allez configurer le provisionnement automatique dans. Google Workspace
## Étape 5 Google Workspace : Configuration du provisionnement automatique
1. Retournez à la console Google d'administration et à votre AWS IAM Identity Center application, qui se trouvent sous **Applications** et **applications Web et mobiles**. Dans la section **Approvisionnement automatique**, choisissez **Configurer le provisionnement automatique**.
1. Dans la procédure précédente, vous avez copié la valeur du **jeton d'accès** dans la console IAM Identity Center. Collez cette valeur dans le champ du **jeton d'accès** et choisissez **Continuer**. Dans la procédure précédente, vous avez également copié la valeur du point de **terminaison SCIM** dans la console IAM Identity Center. Collez cette valeur dans le champ **URL du point de terminaison** et choisissez **Continuer**.
1. Vérifiez que tous les attributs obligatoires du centre d'identité IAM (ceux marqués d'un \$1) sont mappés aux Google Cloud Directory attributs. Si ce n'est pas le cas, cliquez sur la flèche vers le bas et mappez vers l'attribut approprié. Sélectionnez **Continuer**.
1. Dans la section **Provisioning Scope**, vous pouvez choisir un groupe avec votre Google Workspace annuaire pour fournir un accès à l'application Amazon Web Services. Ignorez cette étape et sélectionnez **Continuer**.
1. Dans la section **Déprovisionnement**, vous pouvez choisir comment répondre aux différents événements qui suppriment l'accès à un utilisateur. Pour chaque situation, vous pouvez spécifier le délai avant le début du déprovisionnement afin de :
+ dans les 24 heures
+ après une journée
+ après sept jours
+ après 30 jours
Chaque situation est assortie d'un délai pour suspendre l'accès à un compte et quand supprimer le compte.
**Astuce**
Prévoyez toujours plus de temps avant de supprimer le compte d'un utilisateur que pour le suspendre.
1. Choisissez **Finish** (Terminer). Vous êtes redirigé vers la page de l'application Amazon Web Services.
1. **Dans la section **Provisionnement automatique**, activez le commutateur pour le faire passer d'**Inactif** à Actif.**
**Note**
Le curseur d'activation est désactivé si IAM Identity Center n'est pas activé pour les utilisateurs. Choisissez **Accès utilisateur** et activez l'application pour activer le curseur.
1. Dans la boîte de dialogue de confirmation, choisissez **Activer**.
1. **Pour vérifier que les utilisateurs sont correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** La page **Utilisateurs** répertorie les utilisateurs de votre Google Workspace répertoire qui ont été créés par SCIM. Si les utilisateurs ne figurent pas encore dans la liste, il se peut que le provisionnement soit toujours en cours. Le provisionnement peut prendre jusqu'à 24 heures, mais dans la plupart des cas, il ne prend que quelques minutes. Assurez-vous d'actualiser la fenêtre du navigateur toutes les quelques minutes.
Sélectionnez un utilisateur et consultez ses informations. Les informations doivent correspondre à celles du Google Workspace répertoire.
**Félicitations \$1**
Vous avez correctement configuré une connexion SAML entre Google Workspace et AWS et vous avez vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans **IAM Identity Center**. Dans le cadre de ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur du centre d'identité IAM en lui accordant des autorisations administratives sur le compte de gestion.
## Transmission d'attributs pour le contrôle d'accès - *Facultatif*
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Attribuez l'accès à Comptes AWS
Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.
**Note**
Pour effectuer cette étape, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
### Étape 1 : IAM Identity Center : accordez aux Google Workspace utilisateurs l'accès aux comptes
1. Retournez à la console **IAM Identity Center**. Dans le volet de navigation d'IAM Identity Center, sous **Autorisations multi-comptes**, sélectionnez. **Comptes AWS**
1. Sur la **Comptes AWS**page, la **structure organisationnelle affiche la** racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez **Attribuer des utilisateurs ou des groupes**.
1. Le flux de travail **Attribuer des utilisateurs et des groupes** s'affiche. Il se compose de trois étapes :
1. Pour **l'étape 1 : Sélectionnez les utilisateurs et les groupes**, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez **Suivant**.
1. Pour **l'étape 2 : Sélectionnez des ensembles d'autorisations**, choisissez **Créer un ensemble d'autorisations** pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.
1. Pour **l'étape 1 : Sélectionnez le type d'ensemble d'autorisations**, procédez comme suit :
+ Dans **Type d'ensemble d'autorisations**, choisissez **Ensemble d'autorisations prédéfini**.
+ Dans **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez **AdministratorAccess**.
Choisissez **Suivant**.
1. Pour **l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations**, conservez les paramètres par défaut et choisissez **Next**.
Les paramètres par défaut créent un ensemble d'autorisations nommé *AdministratorAccess* avec une durée de session fixée à une heure.
1. Pour **l'étape 3 : révision et création**, vérifiez que le **type d'ensemble d'autorisations** utilise la politique AWS gérée **AdministratorAccess**. Choisissez **Créer**. Sur la page **Ensembles d'autorisations**, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.
1. Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, vous êtes toujours à l'**étape 2 : sélectionnez les ensembles d'autorisations** à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.
1. Dans la zone **Ensembles d'autorisations**, cliquez sur le bouton **Actualiser**. L'ensemble *AdministratorAccess* d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez **Next**.
1. Pour **l'étape 3 : vérifier et envoyer**, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez **Soumettre**.
La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.
Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le *AdministratorAccess* rôle.
**Note**
La synchronisation automatique SCIM depuis Google Workspace ne prend en charge que le provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Vous ne pouvez pas créer de groupes pour vos Google Workspace utilisateurs à l'aide du AWS Management Console. Après avoir configuré les utilisateurs, vous pouvez créer des groupes à l'aide de la commande AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) ou de l'API IAM. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Étape 2 Google Workspace : Confirmer l'accès Google Workspace des utilisateurs aux AWS ressources
1. Connectez-vous à Google l'aide d'un compte utilisateur de test. Pour savoir comment ajouter des utilisateursGoogle Workspace, consultez [Google Workspacela documentation](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Sélectionnez l'icône du Google apps lanceur (gaufre).
1. Faites défiler la liste des applications vers le bas où se trouvent vos Google Workspace applications personnalisées. L'application **Amazon Web Services** s'affiche.
1. Sélectionnez l'application **Amazon Web Services**. Vous êtes connecté au portail AWS d'accès et vous pouvez voir l' Compte AWS icône. Développez cette icône pour voir la liste des Comptes AWS objets auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.
1. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble **AdministratorAccess**d'autorisations.
1. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez indiqué que la console de gestion et l'accès par programmation devaient être activés. Ces deux options sont donc présentes. Sélectionnez **Console de gestion** pour ouvrir le AWS Management Console.
1. L'utilisateur est connecté à la console.
## Étapes suivantes
Maintenant que vous avez configuré Google Workspace en tant que fournisseur d'identité et que vous avez configuré les utilisateurs dans IAM Identity Center, vous pouvez :
+ Utilisez la commande AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) ou l'API IAM [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)pour créer des groupes pour vos utilisateurs.
Les groupes sont utiles lors de l'attribution de l'accès aux applications Comptes AWS et de leur attribution. Plutôt que d'affecter chaque utilisateur individuellement, vous accordez des autorisations à un groupe. Plus tard, lorsque vous ajoutez ou supprimez des utilisateurs d'un groupe, l'utilisateur obtient ou perd l'accès dynamique aux comptes et aux applications que vous avez affectés au groupe.
+ Configurez les autorisations en fonction des fonctions du travail, voir [Création d'un ensemble d'autorisations](howtocreatepermissionset.md).
Les ensembles d'autorisations définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et peuvent être fournis à une ou plusieurs personnes. Comptes AWS Vous pouvez attribuer plus d'un jeu d'autorisations à un utilisateur.
**Note**
En tant qu'administrateur du centre d'identité IAM, vous devrez parfois remplacer les anciens certificats IdP par des certificats plus récents. Par exemple, il se peut que vous deviez remplacer un certificat IdP lorsque la date d'expiration du certificat approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé rotation des certificats. Assurez-vous de vérifier comment [gérer les certificats SAML](managesamlcerts.md) pourGoogle Workspace.
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAMLGoogle Workspace, consultez les sections suivantes :
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ Pour le Google Workspace dépannage, consultez [Google Workspacela documentation](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA).
Les ressources suivantes peuvent vous aider à résoudre les problèmes lorsque vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique