Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurer SAML et SCIM avec un IAM Microsoft Entra ID Identity Center
AWS IAM Identity Center prend en charge l'intégration avec le [langage SAML (Security Assertion Markup Language) 2.0](scim-profile-saml.md) ainsi que le [provisionnement automatique](provision-automatically.md) (synchronisation) des informations sur les utilisateurs et les groupes Microsoft Entra ID (anciennement connu sous le nom de Azure Active Directory ouAzure AD) dans IAM Identity Center à l'aide du protocole [System for Cross-domain Identity Management (](scim-profile-saml.md#scim-profile)SCIM) 2.0. Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
**Objectif**
Dans ce didacticiel, vous allez configurer un laboratoire de test et configurer une connexion SAML et un provisionnement SCIM entre IAM Identity Center Microsoft Entra ID et IAM. Au cours des étapes de préparation initiales, vous allez créer un utilisateur de test (Nikki Wolf) à la fois Microsoft Entra ID dans IAM Identity Center, que vous utiliserez pour tester la connexion SAML dans les deux sens. Plus tard, dans le cadre des étapes SCIM, vous créerez un autre utilisateur de test (Richard Roe) pour vérifier que les nouveaux attributs Microsoft Entra ID sont synchronisés avec IAM Identity Center comme prévu.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez d'abord configurer les éléments suivants :
+ Un Microsoft Entra ID locataire. Pour plus d'informations, voir [Démarrage rapide : configurer un locataire](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) dans Microsoft la documentation.
+ Un compte AWS IAM Identity Center activé. Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) dans le *guide de l'AWS IAM Identity Center utilisateur*.
## Considérations
Voici quelques considérations importantes Microsoft Entra ID qui peuvent affecter la manière dont vous prévoyez de mettre en œuvre le [provisionnement automatique](provision-automatically.md) avec IAM Identity Center dans votre environnement de production à l'aide du protocole SCIM v2.
**Provisionnement automatique**
Avant de commencer à déployer le SCIM, nous vous recommandons de procéder à un premier examen[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations).
**Attributs pour le contrôle d'accès**
Les attributs de contrôle d'accès sont utilisés dans les politiques d'autorisation qui déterminent qui, dans votre source d'identité, peut accéder à vos AWS ressources. Si un attribut est supprimé d'un utilisateur dansMicrosoft Entra ID, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dansMicrosoft Entra ID. Si un attribut est remplacé par une valeur différente (non vide) pour un utilisateur, cette modification sera synchronisée avec IAM Identity Center.
**Groupes imbriqués**
Le service de provisionnement des Microsoft Entra ID utilisateurs ne peut ni lire ni approvisionner les utilisateurs dans des groupes imbriqués. Seuls les utilisateurs qui sont membres immédiats d'un groupe explicitement assigné peuvent être lus et approvisionnés. Microsoft Entra IDne décompresse pas de manière récursive les appartenances aux groupes ou utilisateurs assignés indirectement (utilisateurs ou groupes membres d'un groupe directement attribué). Pour plus d'informations, consultez la section [Délimitation basée sur les assignations dans la documentation](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping). Microsoft Vous pouvez également utiliser la [synchronisation AD configurable d'IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) pour intégrer Active Directory des groupes à IAM Identity Center.
**Groupes dynamiques**
Le service de provisionnement des Microsoft Entra ID utilisateurs peut lire et provisionner les utilisateurs dans des [groupes dynamiques](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Vous trouverez ci-dessous un exemple illustrant la structure des utilisateurs et des groupes lors de l'utilisation de groupes dynamiques et la manière dont ils sont affichés dans IAM Identity Center. Ces utilisateurs et groupes ont été approvisionnés depuis Microsoft Entra ID IAM Identity Center via SCIM.
Par exemple, si Microsoft Entra ID la structure des groupes dynamiques est la suivante :
1. Groupe A avec les membres ua1, ua2
1. Groupe B avec membres ub1
1. Groupe C avec membres uc1
1. Groupe K avec une règle pour inclure les membres des groupes A, B, C
1. Groupe L avec une règle pour inclure les membres des groupes B et C
Une fois que les informations sur les utilisateurs et les groupes ont été Microsoft Entra ID fournies depuis IAM Identity Center via SCIM, la structure sera la suivante :
1. Groupe A avec les membres ua1, ua2
1. Groupe B avec membres ub1
1. Groupe C avec membres uc1
1. Groupe K avec les membres ua1, ua2, ub1, uc1
1. Groupe L avec membres ub1, uc1
Lorsque vous configurez le provisionnement automatique à l'aide de groupes dynamiques, tenez compte des considérations suivantes.
+ Un groupe dynamique peut inclure un groupe imbriqué. Cependant, le service de Microsoft Entra ID provisionnement n'aplatit pas le groupe imbriqué. Par exemple, si vous avez la Microsoft Entra ID structure suivante pour les groupes dynamiques :
+ Le groupe A est le parent du groupe B.
+ Le groupe A compte ua1 comme membre.
+ Le groupe B a ub1 comme membre.
Le groupe dynamique qui inclut le groupe A inclura uniquement les membres directs du groupe A (c'est-à-dire ua1). Il n'inclura pas de manière récursive les membres du groupe B.
+ Les groupes dynamiques ne peuvent pas contenir d'autres groupes dynamiques. Pour plus d'informations, consultez la section [Limitations relatives à la prévisualisation](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) dans la Microsoft documentation.
## Étape 1 : préparer votre client Microsoft
Au cours de cette étape, vous allez découvrir comment installer et configurer votre application AWS IAM Identity Center d'entreprise et comment attribuer l'accès à un nouvel utilisateur de Microsoft Entra ID test.
------
#### [ Step 1.1 > ]
**Étape 1.1 : Configuration de l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID**
Dans cette procédure, vous allez installer l'application AWS IAM Identity Center d'entreprise dansMicrosoft Entra ID. Vous aurez besoin de cette application ultérieurement pour configurer votre connexion SAML avec AWS.
1. Connectez-vous au [centre d'administration Microsoft Entra](https://entra.microsoft.com/) en tant qu'administrateur d'applications cloud au moins.
1. Accédez à **Identité > Applications > Applications d'entreprise**, puis sélectionnez **Nouvelle application**.
1. Sur la page **Parcourir la galerie Microsoft Entra**, entrez ****AWS IAM Identity Center****dans le champ de recherche.
1. Sélectionnez **AWS IAM Identity Center**l'un des résultats.
1. Choisissez **Créer**.
------
#### [ Step 1.2 > ]
**Étape 1.2 : créer un utilisateur de test dans Microsoft Entra ID**
Nikki Wolf est le nom de l'utilisateur de Microsoft Entra ID test que vous allez créer dans cette procédure.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Utilisateurs > Tous les utilisateurs**.
1. Sélectionnez **Nouvel utilisateur**, puis choisissez **Créer un nouvel utilisateur** en haut de l'écran.
1. Dans **Nom d'utilisateur principal**, entrez ****NikkiWolf****, puis sélectionnez le domaine et l'extension de votre choix. Par exemple, *NikkiWolf*@*example.org*.
1. Dans **Nom d'affichage**, entrez ****NikkiWolf****.
1. Dans **Mot de passe**, entrez un mot de passe fort ou sélectionnez l'icône en forme d'œil pour afficher le mot de passe généré automatiquement, puis copiez ou notez la valeur affichée.
1. Choisissez **Propriétés**, dans **Prénom**, entrez ****Nikki****. Dans **Nom de famille**, entrez ****Wolf****.
1. Choisissez **Réviser \$1 créer**, puis sélectionnez **Créer**.
------
#### [ Step 1.3 ]
**Étape 1.3 : Testez l'expérience de Nikki avant d'attribuer ses autorisations à AWS IAM Identity Center**
Au cours de cette procédure, vous allez vérifier ce que Nikki peut connecter avec succès à son [portail Microsoft My Account](https://myaccount.microsoft.com/).
1. Dans le même navigateur, ouvrez un nouvel onglet, accédez à la page de connexion au [portail Mon compte](https://myaccount.microsoft.com/) et saisissez l'adresse e-mail complète de Nikki. Par exemple, *NikkiWolf*@*example.org*.
1. Lorsque vous y êtes invité, entrez le mot de passe de Nikki, puis choisissez **Se connecter**. S'il s'agit d'un mot de passe généré automatiquement, vous serez invité à le modifier.
1. Sur la page **Action requise**, choisissez **Demander plus tard** pour ignorer l'invite à utiliser des méthodes de sécurité supplémentaires.
1. Sur la page **Mon compte**, dans le volet de navigation de gauche, sélectionnez **Mes applications**. Notez qu'à part **les compléments**, aucune application n'est affichée pour le moment. Vous allez ajouter une **AWS IAM Identity Center**application qui apparaîtra ici lors d'une étape ultérieure.
------
#### [ Step 1.4 ]
**Étape 1.4 : Attribuer des autorisations à Nikki dans Microsoft Entra ID**
Maintenant que vous avez vérifié que Nikki peut accéder correctement au **portail Mon compte**, suivez cette procédure pour attribuer son utilisateur à l'**AWS IAM Identity Center**application.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis **AWS IAM Identity Center**choisissez dans la liste.
1. Sur la gauche, sélectionnez **Utilisateurs et groupes**.
1. Choisissez **Add user/group** (Ajouter un utilisateur/groupe). Vous pouvez ignorer le message indiquant que les groupes ne sont pas disponibles pour l'attribution. Ce didacticiel n'utilise pas de groupes pour les devoirs.
1. Sur la page **Ajouter une attribution**, sous **Utilisateurs**, sélectionnez **Aucune sélection**.
1. Sélectionnez **NikkiWolf**, puis sélectionnez **Sélectionner**.
1. Sur la page **Ajouter une affectation**, choisissez **Attribuer**. NikkiWolf apparaît désormais dans la liste des utilisateurs assignés à l'**AWS IAM Identity Center**application.
------
## Étape 2 : Préparez votre AWS compte
Au cours de cette étape, vous découvrirez comment configurer les autorisations **IAM Identity Center**d'accès (via un ensemble d'autorisations), créer manuellement un utilisateur Nikki Wolf correspondant et lui attribuer les autorisations nécessaires pour administrer les ressources dans AWS.
------
#### [ Step 2.1 > ]
**Étape 2.1 : Création d'un ensemble d' RegionalAdmin autorisations dans IAM Identity Center**
Cet ensemble d'autorisations sera utilisé pour accorder à Nikki les autorisations de AWS compte nécessaires pour gérer les régions depuis la page **Compte** du AWS Management Console. Toutes les autres autorisations permettant de consulter ou de gérer d'autres informations relatives au compte de Nikki sont refusées par défaut.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sous Autorisations **multi-comptes, choisissez **Ensembles d'**autorisations**.
1. Choisissez **Create permission set (Créer un jeu d'autorisations)**.
1. Sur la page **Sélectionner le type d'ensemble d'autorisations**, sélectionnez **Ensemble d'autorisations personnalisé**, puis cliquez sur **Suivant**.
1. Sélectionnez **Stratégie intégrée** pour l'étendre, puis créez une politique pour l'ensemble d'autorisations en suivant les étapes suivantes :
1. Choisissez **Ajouter une nouvelle déclaration** pour créer une déclaration de politique.
1. Sous **Modifier le relevé**, sélectionnez **Compte** dans la liste, puis cochez les cases suivantes.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. À côté de **Ajouter une ressource**, choisissez **Ajouter**.
1. Sur la page **Ajouter une ressource**, sous **Type de ressource**, sélectionnez **Toutes les ressources**, puis choisissez **Ajouter une ressource**. Vérifiez que votre politique ressemble à ce qui suit :
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Choisissez **Suivant**.
1. Sur la page **Spécifier les détails de l'ensemble** d'**autorisations, sous Nom du jeu** d'autorisations ****RegionalAdmin****, entrez, puis choisissez **Suivant**.
1. Sur la page **Review and create** (Vérifier et créer), choisissez **Create** (Créer). Vous devriez **RegionalAdmin**apparaître dans la liste des ensembles d'autorisations.
------
#### [ Step 2.2 > ]
**Étape 2.2 : créer un NikkiWolf utilisateur correspondant dans IAM Identity Center**
Étant donné que le protocole SAML ne fournit aucun mécanisme permettant d'interroger l'IdP Microsoft Entra ID () et de créer automatiquement des utilisateurs ici dans IAM Identity Center, utilisez la procédure suivante pour créer manuellement un utilisateur dans IAM Identity Center qui reflète les principaux attributs de l'utilisateur Nikki Wolfs dans. Microsoft Entra ID
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Utilisateurs**, choisissez **Ajouter un utilisateur**, puis fournissez les informations suivantes :
1. Pour le **nom d'utilisateur** et l'**adresse e-mail** : entrez le même ****NikkiWolf**@ *yourcompanydomain.extension*** que celui que vous avez utilisé lors de la création de votre Microsoft Entra ID utilisateur. Par exemple, *NikkiWolf*@*example.org*.
1. **Confirmer l'adresse e-mail** — Entrez à nouveau l'adresse e-mail de l'étape précédente
1. **Prénom** — Entrez ****Nikki****
1. **Nom de famille** — Entrez ****Wolf****
1. **Nom d'affichage** — Entrez ****Nikki Wolf****
1. Choisissez **Suivant** deux fois, puis sélectionnez **Ajouter un utilisateur**.
1. Sélectionnez **Fermer**.
------
#### [ Step 2.3 ]
**Étape 2.3 : Attribuer Nikki aux RegionalAdmin autorisations définies dans IAM Identity Center**
Vous trouvez ici les régions Compte AWS dans lesquelles Nikki administrera les régions, puis vous lui attribuez les autorisations nécessaires pour qu'elle puisse accéder correctement au portail AWS d'accès.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**.
1. Cochez la case à côté du nom du compte (par exemple,*Sandbox*) auquel vous souhaitez accorder à Nikki l'accès pour gérer les régions, puis choisissez **Attribuer des utilisateurs et** des groupes.
1. Sur la page **Attribuer des utilisateurs et des groupes**, choisissez l'onglet **Utilisateurs**, recherchez et cochez la case à côté de Nikki, puis choisissez **Suivant**.
1.
**Example**
1. Sur la page **Révision et envoi**, passez en revue vos sélections, puis choisissez **Soumettre**.
------
## Étape 3 : configurer et tester votre connexion SAML
Au cours de cette étape, vous configurez votre connexion SAML à l'aide de l'application AWS IAM Identity Center d'entreprise Microsoft Entra ID ainsi que des paramètres IdP externes dans IAM Identity Center.
------
#### [ Step 3.1 > ]
**Étape 3.1 : Collecter les métadonnées des fournisseurs de services requises auprès d'IAM Identity Center**
Au cours de cette étape, vous lancerez l'assistant de **modification de la source** d'identité depuis la console IAM Identity Center et récupérerez le fichier de métadonnées et l'URL de connexion AWS spécifique que vous devrez saisir lors de la configuration de la connexion Microsoft Entra ID à l'étape suivante.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Modifier la source d'identité**.
1. Sur la page **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. Sur la page **Configurer le fournisseur d'identité externe**, sous **Métadonnées du fournisseur de services**, choisissez **Default IPv4** ou **Dual-Stack**. Vous pouvez télécharger le fichier de métadonnées du fournisseur de services après avoir effectué le changement de source d'identité.
1. Dans la même section, recherchez la valeur de l'**URL de connexion AWS au portail d'accès** et copiez-la. Vous devrez saisir cette valeur lorsque vous y serez invité à l'étape suivante.
1. Laissez cette page ouverte et passez à l'étape suivante (**`Step 3.2`**) pour configurer l'application AWS IAM Identity Center d'entreprise dansMicrosoft Entra ID. Plus tard, vous reviendrez sur cette page pour terminer le processus.
------
#### [ Step 3.2 > ]
**Étape 3.2 : Configuration de l'application AWS IAM Identity Center d'entreprise dans Microsoft Entra ID**
Cette procédure établit la moitié de la connexion SAML côté Microsoft en utilisant les valeurs du fichier de métadonnées et de l'URL de connexion que vous avez obtenues à l'étape précédente.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Sur la gauche, choisissez **2. Configurez l'authentification unique**.
1. **Sur la page **Configurer l'authentification unique avec SAML**, choisissez SAML.** Choisissez ensuite **Télécharger le fichier de métadonnées**, choisissez l'icône du dossier, sélectionnez le fichier de métadonnées du fournisseur de services que vous avez téléchargé à l'étape précédente, puis choisissez **Ajouter**.
1. Sur la page de **configuration SAML de base**, vérifiez que les valeurs de l'**identifiant** et de l'URL de **réponse (URL du service client d'assertion)** pointent désormais vers des points de terminaison. AWS
+ **Identifiant** : il s'agit de l'**URL de l'émetteur** provenant d'IAM Identity Center. La même valeur s'applique, que vous utilisiez des points de IPv4 terminaison à double pile ou uniquement.
+ URL de **réponse (URL d'Assertion Consumer Service)** : les valeurs indiquées ici incluent à la fois les points de terminaison à double IPv4 pile et les points de terminaison à double pile provenant de toutes les régions activées de votre centre d'identité IAM. Vous pouvez utiliser l'URL ACS de la région principale comme URL par défaut afin que les utilisateurs soient redirigés vers la région principale lorsqu'ils lancent l'application Amazon Web ServicesMicrosoft Entra ID. Pour plus d'informations sur ACS URLs, voir[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
+ (Facultatif) Si vous avez répliqué IAM Identity Center dans d'autres régions, vous pouvez également créer une application de favoris Microsoft Entra ID pour le portail AWS d'accès de chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deMicrosoft Entra ID. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansMicrosoft Entra ID. Consultez [Microsoft Entra IDla documentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) pour plus de détails. Si vous prévoyez de répliquer IAM Identity Center dans d'autres régions ultérieurement, consultez la page [Microsoft Entra IDconfiguration pour l'accès à des régions supplémentaires](#gs-microsoft-entra-multi-region) pour savoir comment activer l'accès aux régions supplémentaires après cette configuration initiale.
1. **Sous URL de connexion (facultatif)**, collez la valeur de l'**URL de connexion AWS au portail d'accès** que vous avez copiée à l'étape précédente (**`Step 3.1`**), choisissez **Enregistrer**, puis **X** pour fermer la fenêtre.
1. Si vous êtes invité à tester l'authentification unique avec AWS IAM Identity Center, choisissez **Non, je testerai plus tard**. Vous effectuerez cette vérification dans une étape ultérieure.
1. Sur la page **Configurer l'authentification unique avec SAML**, dans la section **Certificats SAML**, à côté de **Federation Metadata XML**, choisissez **Télécharger** pour enregistrer le fichier de métadonnées sur votre système. Vous devrez télécharger ce fichier lorsque vous y serez invité à l'étape suivante.
------
#### [ Step 3.3 > ]
**Étape 3.3 : Configuration de l'IdP Microsoft Entra ID externe dans AWS IAM Identity Center**
Ici, vous allez revenir à l'assistant de **modification de la source d'identité** de la console IAM Identity Center pour terminer la seconde moitié de la connexion SAML. AWS
1. Revenez à la session de navigateur que vous avez laissée ouverte **`Step 3.1`**dans la console IAM Identity Center.
1. **Sur la page **Configurer le fournisseur d'identité externe**, dans la section **Métadonnées du fournisseur d'identité**, sous **Métadonnées IDP SAML**, cliquez sur le bouton **Choisir un fichier**, sélectionnez le fichier de métadonnées du fournisseur d'identité à partir duquel vous avez téléchargé Microsoft Entra ID à l'étape précédente, puis choisissez Ouvrir.**
1. Choisissez **Suivant**.
1. Après avoir lu la clause de non-responsabilité et être prêt à continuer, entrez ****ACCEPT****.
1. Choisissez **Modifier la source d'identité** pour appliquer vos modifications.
------
#### [ Step 3.4 > ]
**Étape 3.4 : Vérifiez que Nikki est redirigée vers le portail AWS d'accès**
Dans cette procédure, vous allez tester la connexion SAML en vous connectant au **portail My Account** de Microsoft avec les informations d'identification de Nikki. Une fois authentifié, vous allez sélectionner l' AWS IAM Identity Center application qui redirigera Nikki vers le portail d' AWS accès.
1. Accédez à la page de connexion au [portail Mon compte](https://myaccount.microsoft.com/) et saisissez l'adresse e-mail complète de Nikki. Par exemple, ***NikkiWolf**@**example.org*.
1. Lorsque vous y êtes invité, entrez le mot de passe de Nikki, puis choisissez **Se connecter**.
1. Sur la page **Mon compte**, dans le volet de navigation de gauche, sélectionnez **Mes applications**.
1. Sur la page **Mes applications**, sélectionnez l'application nommée **AWS IAM Identity Center**. Cela devrait vous demander une authentification supplémentaire.
1. Sur la page de connexion de Microsoft, choisissez vos NikkiWolf informations d'identification. Si vous êtes invité une deuxième fois à vous authentifier, sélectionnez à nouveau vos NikkiWolf informations d'identification. Cela devrait vous rediriger automatiquement vers le portail AWS d'accès.
**Astuce**
Si vous n'êtes pas redirigé correctement, assurez-vous que la valeur de l'**URL de connexion AWS au portail d'accès** que vous avez saisie **`Step 3.2`**correspond à la valeur à partir **`Step 3.1`**de laquelle vous l'avez copiée.
1. Vérifiez que votre Comptes AWS écran.
**Astuce**
Si la page est vide et ne s' Comptes AWS affiche pas, vérifiez que Nikki a bien été affectée à l'ensemble **RegionalAdmin**d'autorisations (voir **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Étape 3.5 : Testez le niveau d'accès de Nikki pour la gérer Compte AWS**
Au cours de cette étape, vous allez vérifier le niveau d'accès de Nikki pour gérer les paramètres régionaux pour elle Compte AWS. Nikki ne doit disposer de privilèges d'administrateur suffisants que pour gérer les régions depuis la page **des comptes**.
1. Dans le portail AWS d'accès, cliquez sur l'onglet **Comptes** pour afficher la liste des comptes. Les noms de compte IDs, les comptes et les adresses e-mail associés à tous les comptes pour lesquels vous avez défini des ensembles d'autorisations apparaissent.
1. Choisissez le nom du compte (par exemple*Sandbox*) sur lequel vous avez appliqué l'ensemble d'autorisations (voir **`Step 2.3`**). Cela élargira la liste des ensembles d'autorisations parmi lesquels Nikki pourra choisir pour gérer son compte.
1. Ensuite, **RegionalAdmin**choisissez **la console de gestion** pour assumer le rôle que vous avez défini dans le jeu **RegionalAdmin**d'autorisations. Cela vous redirigera vers la page d' AWS Management Console accueil.
1. **Dans le coin supérieur droit de la console, choisissez le nom de votre compte, puis sélectionnez Compte.** Vous serez redirigé vers la page du **compte**. Notez que toutes les autres sections de cette page affichent un message indiquant que vous ne disposez pas des autorisations nécessaires pour afficher ou modifier ces paramètres.
1. Sur la page **Compte**, faites défiler la page jusqu'à la section **AWS Régions**. Cochez une case pour n'importe quelle région disponible dans le tableau. Notez que Nikki dispose des autorisations nécessaires pour **activer** ou **désactiver** la liste des régions pour son compte, comme prévu.
**Bien fait \$1**
Les étapes 1 à 3 vous ont aidé à implémenter et à tester avec succès votre connexion SAML. Maintenant, pour terminer le didacticiel, nous vous encourageons à passer à l'étape 4 pour implémenter le provisionnement automatique.
------
## Étape 4 : configurer et tester votre synchronisation SCIM
Au cours de cette étape, vous allez configurer le [provisionnement automatique](provision-automatically.md) (synchronisation) des informations utilisateur depuis Microsoft Entra ID IAM Identity Center à l'aide du protocole SCIM v2.0. Vous configurez cette connexion en Microsoft Entra ID utilisant votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center.
Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec Microsoft Entra ID les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etMicrosoft Entra ID.
Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs résidant principalement dans IAM Identity Center Microsoft Entra ID à l'aide de l'application IAM Identity Center dans. Microsoft Entra ID
------
#### [ Step 4.1 > ]
**Étape 4.1 : créer un deuxième utilisateur de test dans Microsoft Entra ID**
À des fins de test, vous allez créer un nouvel utilisateur (Richard Roe) dansMicrosoft Entra ID. Plus tard, après avoir configuré la synchronisation SCIM, vous testerez que cet utilisateur et tous les attributs pertinents ont été correctement synchronisés avec IAM Identity Center.
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Utilisateurs > Tous les utilisateurs**.
1. Sélectionnez **Nouvel utilisateur**, puis choisissez **Créer un nouvel utilisateur** en haut de l'écran.
1. Dans **Nom d'utilisateur principal**, entrez ****RichRoe****, puis sélectionnez le domaine et l'extension de votre choix. Par exemple, *RichRoe*@*example.org*.
1. Dans **Nom d'affichage**, entrez ****RichRoe****.
1. Dans **Mot de passe**, entrez un mot de passe fort ou sélectionnez l'icône en forme d'œil pour afficher le mot de passe généré automatiquement, puis copiez ou notez la valeur affichée.
1. Choisissez **Propriétés**, puis indiquez les valeurs suivantes :
+ **Prénom** - Entrez ****Richard****
+ **Nom de famille** - Enter ****Roe****
+ **Intitulé du poste** - Entrez ****Marketing Lead****
+ **Département** - Entrez ****Sales****
+ **ID d'employé** - Entrez ****12345****
1. Choisissez **Réviser \$1 créer**, puis sélectionnez **Créer**.
------
#### [ Step 4.2 > ]
**Étape 4.2 : activer le provisionnement automatique dans IAM Identity Center**
Dans cette procédure, vous allez utiliser la console IAM Identity Center pour activer le provisionnement automatique des utilisateurs et des groupes provenant d'IAM Microsoft Entra ID Identity Center.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), puis sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, sous l'onglet **Source d'identité**, notez que la **méthode de provisionnement** est définie sur **Manuel**.
1. Localisez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. **Dans la boîte de dialogue de provisionnement automatique entrant**, copiez chacune des valeurs des options suivantes. Vous devrez les coller à l'étape suivante lorsque vous configurerez le provisionnement dansMicrosoft Entra ID.
1. Point de **terminaison SCIM** - Par exemple,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Double pile : `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer.
1. Choisissez **Fermer**.
1. Dans l'onglet **Source d'identité**, notez que la **méthode de provisionnement** est désormais définie sur **SCIM**.
------
#### [ Step 4.3 > ]
**Étape 4.3 : Configuration du provisionnement automatique dans Microsoft Entra ID**
Maintenant que votre utilisateur de RichRoe test est en place et que vous avez activé le SCIM dans IAM Identity Center, vous pouvez procéder à la configuration des paramètres de synchronisation SCIM dans. Microsoft Entra ID
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Choisissez **Provisioning**, sous **Manage**, choisissez à nouveau **Provisioning**.
1. En **mode de provisionnement**, sélectionnez **Automatique**.
1. Sous **Informations d'identification de l'administrateur**, dans **URL du locataire**, collez la valeur de l'URL du point de **terminaison SCIM** que vous avez copiée **`Step 4.2`**précédemment. Dans **Secret Token**, collez la valeur du **jeton d'accès**.
1. Choisissez **Test Connection (Connexion test)**. Vous devriez voir un message indiquant que les informations d'identification testées ont été correctement autorisées pour activer le provisionnement.
1. Choisissez **Enregistrer**.
1. Sous **Gérer**, sélectionnez **Utilisateurs et groupes**, puis choisissez **Ajouter un utilisateur/un** groupe.
1. Sur la page **Ajouter une attribution**, sous **Utilisateurs**, sélectionnez **Aucune sélection**.
1. Sélectionnez **RichRoe**, puis sélectionnez **Sélectionner**.
1. Sur la page **Add Assignment** (Ajouter une affectation), sélectionnez **Assign** (Affecter).
1. Choisissez **Vue d'ensemble**, puis sélectionnez **Démarrer le provisionnement**.
------
#### [ Step 4.4 ]
**Étape 4.4 : vérifier que la synchronisation a bien eu lieu**
Dans cette section, vous allez vérifier que l'utilisateur de Richard a été correctement configuré et que tous les attributs sont affichés dans IAM Identity Center.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Users**.
1. Sur la page **Utilisateurs**, vous devriez voir votre nom **RichRoe**d'utilisateur affiché. Notez que dans la colonne **Created by**, la valeur est définie sur **SCIM**.
1. Choisissez **RichRoe**, sous **Profil, de** vérifier que les attributs suivants ont été copiés depuisMicrosoft Entra ID.
+ **Prénom** - ****Richard****
+ **Nom de famille** - ****Roe****
+ **Département** - ****Sales****
+ **Titre** - ****Marketing Lead****
+ **Numéro d'employé** - ****12345****
Maintenant que l'utilisateur de Richard a été créé dans IAM Identity Center, vous pouvez l'attribuer à n'importe quel ensemble d'autorisations afin de contrôler le niveau d'accès dont il dispose à vos AWS ressources. Par exemple, vous pouvez attribuer **RichRoe**à l'ensemble d'**RegionalAdmin**autorisations que vous avez utilisé précédemment pour accorder à Nikki les autorisations nécessaires pour gérer les régions (voir **`Step 2.3`**), puis tester son niveau d'accès à l'aide **`Step 3.5`**de.
**Félicitations \$1**
Vous avez correctement configuré une connexion SAML entre Microsoft AWS et vous avez vérifié que le provisionnement automatique fonctionne pour que tout reste synchronisé. Vous pouvez désormais appliquer ce que vous avez appris pour configurer plus facilement votre environnement de production.
------
## *Étape 5 : Configuration de l'ABAC - Facultatif*
Maintenant que vous avez correctement configuré SAML et SCIM, vous pouvez éventuellement choisir de configurer le contrôle d'accès basé sur les attributs (ABAC). L'ABAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs.
AvecMicrosoft Entra ID, vous pouvez utiliser l'une des deux méthodes suivantes pour configurer ABAC afin de l'utiliser avec IAM Identity Center.
------
#### [ Configure user attributes in Identifiant Microsoft Entra for access control in IAM Identity Center ]
**Configuration des attributs utilisateur Microsoft Entra ID pour le contrôle d'accès dans IAM Identity Center**
Dans la procédure suivante, vous allez déterminer quels attributs Microsoft Entra ID doivent être utilisés par IAM Identity Center pour gérer l'accès à vos AWS ressources. Une fois définis, Microsoft Entra ID envoie ces attributs à IAM Identity Center via des assertions SAML. Vous devrez ensuite accéder [Crée un jeu d'autorisations](howtocreatepermissionset.md) à IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisMicrosoft Entra ID.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Choisissez **Single sign-on** (Authentification unique).
1. Dans la section **Attributs et revendications**, choisissez **Modifier**.
1. Sur la page **Attributs et réclamations**, procédez comme suit :
1. Choisissez **Ajouter une nouvelle réclamation**
1. Pour **Nom**, saisissez `AccessControl:AttributeName`. *AttributeName*Remplacez-le par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, `AccessControl:Department`.
1. Pour **Espace de noms**, saisissez ****https://aws.amazon.com/SAML/Attributes****.
1. Pour **Source**, choisissez **Attribut**.
1. Pour **Attribut source**, utilisez la liste déroulante pour sélectionner les attributs Microsoft Entra ID utilisateur. Par exemple, `user.department`.
1. Répétez l'étape précédente pour chaque attribut que vous devez envoyer à IAM Identity Center dans l'assertion SAML.
1. Choisissez **Enregistrer**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Configuration d'ABAC à l'aide d'IAM Identity Center**
Avec cette méthode, vous utilisez la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Vous pouvez utiliser cet élément pour transmettre des attributs sous forme de balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`Department=billing`, utilisez l'attribut suivant :
```
billing
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
------
## Attribuez l'accès à Comptes AWS
Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.
**Note**
Pour effectuer cette étape, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
### Étape 1 : IAM Identity Center : accordez aux Microsoft Entra ID utilisateurs l'accès aux comptes
1. Retournez à la console **IAM Identity Center**. Dans le volet de navigation d'IAM Identity Center, sous **Autorisations multi-comptes**, sélectionnez. **Comptes AWS**
1. Sur la **Comptes AWS**page, la **structure organisationnelle affiche la** racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez **Attribuer des utilisateurs ou des groupes**.
1. Le flux de travail **Attribuer des utilisateurs et des groupes** s'affiche. Il se compose de trois étapes :
1. Pour **l'étape 1 : Sélectionnez les utilisateurs et les groupes**, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez **Suivant**.
1. Pour **l'étape 2 : Sélectionnez des ensembles d'autorisations**, choisissez **Créer un ensemble d'autorisations** pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.
1. Pour **l'étape 1 : Sélectionnez le type d'ensemble d'autorisations**, procédez comme suit :
+ Dans **Type d'ensemble d'autorisations**, choisissez **Ensemble d'autorisations prédéfini**.
+ Dans **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez **AdministratorAccess**.
Choisissez **Suivant**.
1. Pour **l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations**, conservez les paramètres par défaut et choisissez **Next**.
Les paramètres par défaut créent un ensemble d'autorisations nommé *AdministratorAccess* avec une durée de session fixée à une heure.
1. Pour **l'étape 3 : révision et création**, vérifiez que le **type d'ensemble d'autorisations** utilise la politique AWS gérée **AdministratorAccess**. Choisissez **Créer**. Sur la page **Ensembles d'autorisations**, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.
1. Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, vous êtes toujours à l'**étape 2 : sélectionnez les ensembles d'autorisations** à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.
1. Dans la zone **Ensembles d'autorisations**, cliquez sur le bouton **Actualiser**. L'ensemble *AdministratorAccess* d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez **Next**.
1. Pour **l'étape 3 : vérifier et envoyer**, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez **Soumettre**.
La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.
Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le *AdministratorAccess* rôle.
### Étape 2 Microsoft Entra ID : Confirmer l'accès Microsoft Entra ID des utilisateurs aux AWS ressources
1. Retournez à la **Microsoft Entra ID**console et accédez à votre application de connexion basée sur SAML IAM Identity Center.
1. Sélectionnez **Utilisateurs et groupes**, puis sélectionnez **Ajouter des utilisateurs ou des groupes**. Vous allez ajouter à l'Microsoft Entra IDapplication l'utilisateur que vous avez créé dans ce didacticiel à l'étape 4. En ajoutant l'utilisateur, vous l'autorisez à se connecter à AWS. Recherchez l'utilisateur que vous avez créé à l'étape 4. Si vous suiviez cette étape, ce serait le cas**RichardRoe**.
1. Pour une démonstration, voir [Fédérer votre instance IAM Identity Center existante](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) avec Microsoft Entra ID
## Microsoft Entra IDconfiguration pour l'accès à des régions supplémentaires d'IAM Identity Center - Facultatif
Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et Comptes AWS via les régions supplémentaires. Les étapes ci-dessous vous guident tout au long de la procédure. Pour plus de détails sur cette rubrique, y compris les prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
1. Récupérez l'ACS URLs pour les régions supplémentaires à partir de la console IAM Identity Center, comme indiqué dans[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
1. Dans la console du [centre d'administration Microsoft Entra](https://entra.microsoft.com/), accédez à **Identité > Applications > Applications d'entreprise**, puis choisissez **AWS IAM Identity Center**.
1. Sur la gauche, choisissez **2. Configurez l'authentification unique**.
1. Sur la page de **configuration SAML de base**, dans **la section URL de réponse (URL de service client d'assertion)**, choisissez **Ajouter une URL de réponse pour l'URL** ACS de chaque région supplémentaire. Vous pouvez conserver l'URL ACS de la région principale comme URL par défaut afin que les utilisateurs continuent d'être redirigés vers la région principale lorsqu'ils lancent l' AWS IAM Identity Center applicationMicrosoft Entra ID.
1. Lorsque vous avez terminé d'ajouter l'ACS URLs, enregistrez l'**AWS IAM Identity Center**application.
1. Vous pouvez créer une application de favoris Microsoft Entra ID pour le portail AWS d'accès dans chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deMicrosoft Entra ID. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansMicrosoft Entra ID. Consultez [Microsoft Entra IDla documentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) pour plus de détails.
1. Vérifiez que vous pouvez vous connecter au portail AWS d'accès dans chaque région supplémentaire. Accédez au [portail AWS d'accès URLs](multi-region-workforce-access.md#portal-endpoints) ou lancez les applications de favoris à partir deMicrosoft Entra ID.
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAML avecMicrosoft Entra ID, consultez les sections suivantes :
+ [Problèmes de synchronisation avec Microsoft Entra ID IAM Identity Center](#entra-scim-troubleshooting)
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ [Ressources supplémentaires](#entra-scim-troubleshooting-resources)
### Problèmes de synchronisation avec Microsoft Entra ID IAM Identity Center
Si vous rencontrez des problèmes lorsque Microsoft Entra ID les utilisateurs ne se synchronisent pas avec IAM Identity Center, cela peut être dû à un problème de syntaxe signalé par IAM Identity Center lorsqu'un nouvel utilisateur est ajouté à IAM Identity Center. Vous pouvez le confirmer en vérifiant les journaux Microsoft Entra ID d'audit pour détecter les événements ayant échoué, tels qu'un`'Export'`. Le **motif du statut** de cet événement indiquera :
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Vous pouvez également vérifier AWS CloudTrail l'échec de l'événement. Cela peut être fait en effectuant une recherche dans la console de **l'historique des événements** CloudTrail ou en utilisant le filtre suivant :
```
"eventName":"CreateUser"
```
L'erreur de l' CloudTrail événement indiquera ce qui suit :
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
En fin de compte, cette exception signifie que l'une des valeurs transmises Microsoft Entra ID contenait plus de valeurs que prévu. La solution consiste à examiner les attributs de l'utilisateur en Microsoft Entra ID veillant à ce qu'aucun ne contienne de valeurs dupliquées. Un exemple courant de valeurs dupliquées est la présence de plusieurs valeurs pour les numéros de contact tels que les numéros de **téléphone portable**, **professionnel** et de **télécopie**. Bien que les valeurs soient distinctes, elles sont toutes transmises à IAM Identity Center sous l'attribut parent unique **PhoneNumbers**.
Pour obtenir des conseils généraux de résolution des problèmes liés au SCIM, consultez la section [Résolution des problèmes](troubleshooting.md#issue2).
### Microsoft Entra IDSynchronisation du compte invité
Si vous souhaitez synchroniser vos utilisateurs Microsoft Entra ID invités avec IAM Identity Center, consultez la procédure suivante.
Microsoft Entra IDl'adresse e-mail des utilisateurs invités est différente de celle Microsoft Entra ID des utilisateurs. Cette différence pose des problèmes lors des tentatives de synchronisation des utilisateurs Microsoft Entra ID invités avec IAM Identity Center. Par exemple, consultez l'adresse e-mail suivante pour un utilisateur invité :
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center ne s'attend pas à ce que l'adresse e-mail contienne ce *\$1EXT\$1@domain* format.
1. Connectez-vous au [centre d'administration Microsoft Entra](https://entra.microsoft.com/) et accédez à **Identité** > **Applications > Applications** **d'entreprise**, puis choisissez **AWS IAM Identity Center**
1. Accédez à l'onglet **Single Sign** On dans le volet de gauche.
1. Sélectionnez **Modifier** qui apparaît à côté de **Attributs et revendications de l'utilisateur**.
1. Sélectionnez **un identifiant utilisateur unique (nom ID)** après les **demandes requises**.
1. Vous allez créer deux conditions de réclamation pour vos Microsoft Entra ID utilisateurs et vos utilisateurs invités :
1. Pour Microsoft Entra ID les utilisateurs, créez un type d'utilisateur pour les membres dont l'attribut source est défini sur` user.userprincipalname`.
1. Pour les utilisateurs Microsoft Entra ID invités, créez un type d'utilisateur pour les invités externes avec l'attribut source défini sur`user.mail`.
1. Sélectionnez **Enregistrer** et réessayez de vous connecter en tant qu'utilisateur Microsoft Entra ID invité.
### Ressources supplémentaires
+ Pour obtenir des conseils généraux de résolution des problèmes liés au SCIM, consultez[Résolution des problèmes liés à IAM Identity Center](troubleshooting.md).
+ Pour le Microsoft Entra ID dépannage, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Pour en savoir plus sur la fédération entre plusieurs entités Comptes AWS, consultez la section [Sécurisation Comptes AWS avec Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique