Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Fournisseurs d'identité externes
Avec IAM Identity Center, vous pouvez connecter les identités de votre personnel existantes à celles de fournisseurs d'identité externes (IdPs) via les protocoles SAML (Security Assertion Markup Language) 2.0 et SCIM (System for Cross-Domain Identity Management). Cela permet à vos utilisateurs de se connecter au portail AWS d'accès avec leurs informations d'identification professionnelles. Ils peuvent ensuite accéder aux comptes, rôles et applications qui leur sont assignés et hébergés en externe IdPs.
Par exemple, vous pouvez connecter un IdP externe tel que Okta ou à IAM Microsoft Entra ID Identity Center. Vos utilisateurs peuvent ensuite se connecter au portail d' AWS accès avec leurs informations d'identification existantes Okta ou leurs Microsoft Entra ID informations d'identification. Pour contrôler ce que vos utilisateurs peuvent faire une fois qu'ils sont connectés, vous pouvez leur attribuer des autorisations d'accès de manière centralisée pour tous les comptes et applications de votre AWS organisation. En outre, les développeurs peuvent simplement se connecter au AWS Command Line Interface (AWS CLI) à l'aide de leurs informations d'identification existantes et bénéficier de la génération et de la rotation automatiques des informations d'identification à court terme.
Si vous utilisez un annuaire autogéré dans Active Directory ou un AWS Managed Microsoft AD, consultez[Microsoft ADannuaire](manage-your-identity-source-ad.md).
**Note**
Le protocole SAML ne permet pas d'interroger l'IdP pour en savoir plus sur les utilisateurs et les groupes. Par conséquent, vous devez informer IAM Identity Center de l'existence de ces utilisateurs et groupes en les configurant dans IAM Identity Center.
## Provisionnement lorsque les utilisateurs proviennent d'un IdP externe
Lorsque vous utilisez un IdP externe, vous devez configurer tous les utilisateurs et groupes concernés dans IAM Identity Center avant de pouvoir attribuer des tâches ou des applications. Comptes AWS Pour ce faire, vous pouvez configurer [Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md) pour vos utilisateurs et groupes, ou utiliser[Approvisionnement manuel](provision-automatically.md#provision-manually). Quelle que soit la manière dont vous configurez les utilisateurs, IAM Identity Center redirige l' AWS Management Console interface de ligne de commande et l'authentification des applications vers votre IdP externe. IAM Identity Center accorde ensuite l'accès à ces ressources en fonction des politiques que vous créez dans IAM Identity Center. Pour plus d'informations sur le provisionnement, consultez[Provisionnement d'utilisateurs et de groupes](users-groups-provisioning.md#user-group-provision).
**Topics**
+ [Provisionnement lorsque les utilisateurs proviennent d'un IdP externe](#provisioning-when-external-idp)
+ [Comment se connecter à un fournisseur d'identité externe](how-to-connect-idp.md)
+ [Comment modifier les métadonnées d'un fournisseur d'identité externe dans IAM Identity Center](how-to-change-idp-metadata.md)
+ [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md)
+ [Profil SCIM et implémentation de SAML 2.0](scim-profile-saml.md)
# Comment se connecter à un fournisseur d'identité externe
Il existe différents prérequis, considérations et procédures de provisionnement pour les applications externes prises en charge. IdPs Des step-by-step tutoriels sont disponibles pour plusieurs IdPs :
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Identité Ping](pingidentity.md)
Pour plus d'informations sur les considérations relatives aux applications externes IdPs prises en charge par IAM Identity Center, consultez[Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
La procédure suivante fournit un aperçu général de la procédure utilisée avec tous les fournisseurs d'identité externes.
**Pour vous connecter à un fournisseur d'identité externe**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis **Actions > Modifier la source d'identité**.
1. Sous **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. Sous **Configurer le fournisseur d'identité externe**, procédez comme suit :
1. Sous **Métadonnées du fournisseur de services**, choisissez **Télécharger le fichier** de métadonnées pour télécharger le fichier de métadonnées et l'enregistrer sur votre système. Le fichier de métadonnées SAML d'IAM Identity Center est requis par votre fournisseur d'identité externe.
**Note**
Le fichier de métadonnées SAML que vous téléchargez contient à la fois un service ACS (Assertion Consumer Service) IPv4 réservé et un service ACS (Dualstack Assertion Consumer Service). URLs En outre, si votre centre d'identité IAM est répliqué dans des régions supplémentaires, le fichier de métadonnées contient ACS URLs pour chaque région supplémentaire. Si le nombre d'ACS de votre IdP externe est limité URLs, vous devrez supprimer les ACS inutiles. URLs Par exemple, si votre entreprise a complètement adopté les terminaux à double pile et n'utilise plus IP4v uniquement des terminaux, vous pouvez supprimer ces derniers. Une autre approche consiste à ne pas utiliser le fichier de métadonnées mais à copier-coller l'ACS URLs dans l'IdP externe.
1. Sous **Métadonnées du fournisseur d'identité**, **choisissez Choisir un fichier** et recherchez le fichier de métadonnées que vous avez téléchargé auprès de votre fournisseur d'identité externe. Téléchargez ensuite le fichier. Ce fichier de métadonnées contient le certificat public x509 nécessaire utilisé pour approuver les messages envoyés par l'IdP.
1. Choisissez **Suivant**.
**Important**
La modification de votre source vers ou depuis Active Directory supprime toutes les attributions d'utilisateurs et de groupes existantes. Vous devez réappliquer les assignations manuellement une fois que vous avez correctement modifié votre source.
1. Une fois que vous avez lu la clause de non-responsabilité et que vous êtes prêt à continuer, entrez **ACCEPT**.
1. Choisissez **Modifier la source d'identité**. Un message d'état vous informe que vous avez correctement modifié la source d'identité.
# Comment modifier les métadonnées d'un fournisseur d'identité externe dans IAM Identity Center
Vous pouvez modifier les métadonnées de votre fournisseur d'identité externe que vous avez précédemment fournies à l'IAM Identity Center. Ces modifications affectent la capacité de vos utilisateurs à se connecter et à accéder aux AWS ressources via IAM Identity Center. La procédure suivante décrit comment mettre à jour les métadonnées de votre IdP externe stockées dans IAM Identity Center. Pour effectuer cette procédure, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
**Pour modifier les métadonnées d'un fournisseur d'identité externe**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**. Choisissez **Actions**, puis sélectionnez **Gérer l'authentification**.
1. Dans la section **Métadonnées du fournisseur d'identité**, choisissez **Modifier les métadonnées de l'IdP.** Vous pouvez apporter les modifications à l'URL de connexion à l'IdP et/ou à l'URL de l'émetteur de l'IdP pour votre IdP externe sur cette page. Choisissez **Enregistrer les modifications** lorsque vous avez effectué toutes les modifications nécessaires.
# Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes
IAM Identity Center met en œuvre les protocoles normalisés suivants pour la fédération des identités :
+ SAML 2.0 pour l'authentification des utilisateurs
+ SCIM pour le provisionnement
Tout fournisseur d'identité (IdP) qui implémente ces protocoles standard est censé interagir avec succès avec IAM Identity Center, avec les considérations spéciales suivantes :
+ **SAML**
+ IAM Identity Center nécessite un format SAML NameID pour l'adresse e-mail (c'est-à-dire,). `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ [La valeur du champ NameID dans les assertions doit être une chaîne conforme à la norme RFC 2822 ([https://tools.ietf.org/html/rfc2822) addr-spec (« ») (/rfc2822](https://tools.ietf.org/html/rfc2822) \$1section -3.4.1). `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ Le fichier de métadonnées ne doit pas comporter plus de 75 000 caractères.
+ Les métadonnées doivent contenir un EntityID, un certificat X509 et faire partie de SingleSignOnService l'URL de connexion.
+ Aucune clé de chiffrement n'est prise en charge.
+ IAM Identity Center ne prend pas en charge la signature des demandes d'authentification SAML envoyées à des entités externes. IdPs
+ L'IdP doit prendre en charge le service client à assertions multiples (ACS) URLs si vous envisagez de répliquer le centre d'identité IAM dans d'autres régions et de tirer pleinement parti des avantages d'un centre d'identité IAM multirégional. Pour de plus amples informations, veuillez consulter [Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md). L'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans d'autres régions. Votre région principale continuera de fonctionner normalement. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ [La mise en œuvre du SCIM d'IAM Identity Center est basée sur les SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) et 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)), ainsi que sur les exigences d'interopérabilité énoncées dans le projet de [https://tools.ietf.org/htmlmars 2020 du profil](https://tools.ietf.org/html/rfc7644) SCIM de base 1.0 (\$1rfc .section.4). FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Toute différence entre ces documents et l'implémentation actuelle dans IAM Identity Center est décrite dans la section [Opérations d'API prises en charge](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) du guide du développeur de *mise en œuvre d'IAM Identity Center SCIM*.
IdPs qui ne sont pas conformes aux normes et aux considérations mentionnées ci-dessus ne sont pas prises en charge. Veuillez contacter votre IdP pour toute question ou précision concernant la conformité de ses produits à ces normes et considérations.
Si vous rencontrez des problèmes pour connecter votre IdP à IAM Identity Center, nous vous recommandons de vérifier :
+ AWS CloudTrail enregistre en filtrant sur le nom de l'événement **ExternalIdPDirectoryLogin**
+ Logs spécifiques à l'IDP, journaux and/or de débogage
+ [Résolution des problèmes liés à IAM Identity Center](troubleshooting.md)
**Note**
Certains IdPs, comme ceux présentés dans le[Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md), offrent une expérience de configuration simplifiée pour IAM Identity Center sous la forme d'une « application » ou d'un « connecteur » spécialement conçu pour IAM Identity Center. Si votre IdP propose cette option, nous vous recommandons de l'utiliser, en prenant soin de choisir l'élément spécialement conçu pour IAM Identity Center. D'autres éléments appelés « AWS », « AWS fédération » ou « noms génériques AWS » similaires peuvent utiliser des and/or points de terminaison d'autres approches de fédération et peuvent ne pas fonctionner comme prévu avec IAM Identity Center.
# Profil SCIM et implémentation de SAML 2.0
SCIM et SAML sont des éléments importants à prendre en compte lors de la configuration d'IAM Identity Center.
## Implémentation de SAML 2.0
IAM Identity Center prend en charge la fédération des identités avec le langage [SAML (Security Assertion Markup Language](https://wiki.oasis-open.org/security)) 2.0. Cela permet à IAM Identity Center d'authentifier les identités auprès de fournisseurs d'identité externes ()IdPs. SAML 2.0 est un standard ouvert utilisé pour échanger des assertions SAML en toute sécurité. SAML 2.0 transmet des informations sur un utilisateur entre une autorité SAML (appelée fournisseur d'identité ou IdP) et un consommateur SAML (appelé fournisseur de services ou SP). Le service IAM Identity Center utilise ces informations pour fournir une authentification unique fédérée. L'authentification unique permet aux utilisateurs d'accéder aux applications Comptes AWS et de les configurer en fonction de leurs informations d'identification de fournisseur d'identité existantes.
IAM Identity Center ajoute des fonctionnalités IDP SAML à votre boutique IAM Identity Center ou à un fournisseur AWS Managed Microsoft AD d'identité externe. Les utilisateurs peuvent ensuite se connecter de manière unique aux services qui prennent en charge le protocole SAML, y compris les applications tierces telles que Microsoft 365Concur, AWS Management Console et. Salesforce
Le protocole SAML ne permet toutefois pas d'interroger l'IdP pour en savoir plus sur les utilisateurs et les groupes. Par conséquent, vous devez informer IAM Identity Center de l'existence de ces utilisateurs et groupes en les configurant dans IAM Identity Center.
## profil SCIM
IAM Identity Center prend en charge la norme SCIM (System for Cross-Domain Identity Management) v2.0. Le SCIM synchronise les identités de votre IAM Identity Center avec celles de votre IdP. Cela inclut le provisionnement, les mises à jour et le déprovisionnement des utilisateurs entre votre fournisseur d’identité et IAM Identity Center.
Pour plus d'informations sur la mise en œuvre du SCIM, consultez[Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md). Pour plus de détails sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du [SCIM d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [Implémentation de SAML 2.0](#samlfederationconcept)
+ [profil SCIM](#scim-profile)
+ [Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md)
+ [Rotation des certificats SAML 2.0](managesamlcerts.md)
# Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis votre fournisseur d'identité (IdP) vers IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) v2.0. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage des attributs utilisateur de votre fournisseur d'identité (IdP) avec les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center et votre IdP. Vous configurez cette connexion dans votre IdP à l'aide de votre point de terminaison SCIM pour IAM Identity Center et d'un jeton porteur que vous créez dans IAM Identity Center.
**Topics**
+ [Considérations relatives à l'utilisation du provisionnement automatique](#auto-provisioning-considerations)
+ [Comment surveiller l'expiration des jetons d'accès](#access-token-expiry)
+ [Générer un jeton d'accès](generate-token.md)
+ [Activer le provisionnement automatique](how-to-with-scim.md)
+ [Supprimer un jeton d'accès](delete-token.md)
+ [Désactiver le provisionnement automatique](disable-provisioning.md)
+ [Faire pivoter un jeton d'accès](rotate-token.md)
+ [Auditez et réconciliez les ressources provisionnées automatiquement](reconcile-auto-provisioning.md)
+ [Approvisionnement manuel](#provision-manually)
## Considérations relatives à l'utilisation du provisionnement automatique
Avant de commencer à déployer le SCIM, nous vous recommandons de prendre d'abord en compte les considérations importantes suivantes concernant son fonctionnement avec IAM Identity Center. Pour d'autres considérations relatives au provisionnement, consultez la section [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) applicable à votre IdP.
+ Si vous fournissez une adresse e-mail principale, cette valeur d'attribut doit être unique pour chaque utilisateur. Dans certains IdPs cas, l'adresse e-mail principale peut ne pas être une adresse e-mail réelle. Par exemple, il peut s'agir d'un nom principal universel (UPN) qui ressemble uniquement à un e-mail. Ils IdPs peuvent avoir une adresse e-mail secondaire ou « autre » contenant la véritable adresse e-mail de l'utilisateur. Vous devez configurer le SCIM dans votre IdP pour associer l'adresse e-mail unique non NULL à l'attribut d'adresse e-mail principale du IAM Identity Center. Et vous devez associer l'identifiant de connexion unique non NULL de l'utilisateur à l'attribut de nom d'utilisateur IAM Identity Center. Vérifiez si votre IdP possède une valeur unique qui est à la fois l'identifiant de connexion et le nom e-mail de l'utilisateur. Dans ce cas, vous pouvez mapper ce champ IdP à la fois à l'adresse e-mail principale et au nom d'utilisateur de l'IAM Identity Center.
+ Pour que la synchronisation SCIM fonctionne, chaque utilisateur doit avoir un **prénom, un nom de famille**, un **nom** **d'utilisateur** et une valeur de **nom d'affichage** spécifiés. Si l'une de ces valeurs est absente pour un utilisateur, celui-ci ne sera pas approvisionné.
+ Si vous devez utiliser des applications tierces, vous devez d'abord mapper l'attribut de sujet SAML sortant à l'attribut de nom d'utilisateur. Si l'application tierce a besoin d'une adresse e-mail routable, vous devez fournir l'attribut e-mail à votre IdP.
+ Les intervalles de mise en service et de mise à jour du SCIM sont contrôlés par votre fournisseur d'identité. Les modifications apportées aux utilisateurs et aux groupes de votre fournisseur d'identité ne sont reflétées dans IAM Identity Center qu'une fois que votre fournisseur d'identité a envoyé ces modifications à IAM Identity Center. Consultez votre fournisseur d'identité pour plus de détails sur la fréquence des mises à jour des utilisateurs et des groupes.
+ Actuellement, les attributs à valeurs multiples (tels que plusieurs e-mails ou numéros de téléphone pour un utilisateur donné) ne sont pas fournis avec SCIM. Les tentatives de synchronisation d'attributs à valeurs multiples dans IAM Identity Center avec SCIM échoueront. Pour éviter les échecs, assurez-vous qu'une seule valeur est transmise pour chaque attribut. Si vous avez des utilisateurs dotés d'attributs à valeurs multiples, supprimez ou modifiez les mappages d'attributs dupliqués dans SCIM sur votre IdP pour la connexion à IAM Identity Center.
+ Vérifiez que le mappage `externalId` SCIM de votre IdP correspond à une valeur unique, toujours présente et peu susceptible de changer pour vos utilisateurs. Par exemple, votre IdP peut fournir un identifiant garanti `objectId` ou autre qui n'est pas affecté par les modifications apportées aux attributs utilisateur tels que le nom et l'adresse e-mail. Si tel est le cas, vous pouvez mapper cette valeur au `externalId` champ SCIM. Cela garantit que vos utilisateurs ne perdront pas leurs AWS droits, attributions ou autorisations si vous devez modifier leur nom ou leur adresse e-mail.
+ Utilisateurs qui n'ont pas encore été affectés à une application ou qui Compte AWS ne peuvent pas être approvisionnés dans IAM Identity Center. Pour synchroniser les utilisateurs et les groupes, assurez-vous qu'ils sont affectés à l'application ou à une autre configuration représentant la connexion de votre IdP à IAM Identity Center.
+ Le comportement de déprovisionnement des utilisateurs est géré par le fournisseur d'identité et peut varier en fonction de sa mise en œuvre. Renseignez-vous auprès de votre fournisseur d'identité pour en savoir plus sur le déprovisionnement des utilisateurs.
+ Après avoir configuré le provisionnement automatique avec SCIM pour votre IdP, vous ne pouvez plus ajouter ni modifier d'utilisateurs dans la console IAM Identity Center. Si vous devez ajouter ou modifier un utilisateur, vous devez le faire à partir de votre IdP externe ou de votre source d'identité.
Pour plus d'informations sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du [SCIM d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Comment surveiller l'expiration des jetons d'accès
Les jetons d'accès SCIM sont générés avec une validité d'un an. Lorsque votre jeton d'accès SCIM doit expirer dans 90 jours ou moins, il vous AWS envoie des rappels dans la console IAM Identity Center et via le tableau de AWS Health bord pour vous aider à faire pivoter le jeton. En faisant pivoter le jeton d'accès SCIM avant son expiration, vous sécurisez en permanence le provisionnement automatique des informations sur les utilisateurs et les groupes. Si le jeton d'accès SCIM expire, la synchronisation des informations relatives aux utilisateurs et aux groupes entre votre fournisseur d'identité et IAM Identity Center s'arrête, de sorte que le provisionnement automatique ne peut plus effectuer de mises à jour ni créer et supprimer des informations. L'interruption du provisionnement automatique peut entraîner des risques de sécurité accrus et avoir un impact sur l'accès à vos services.
Les rappels de la console Identity Center sont conservés jusqu'à ce que vous fassiez pivoter le jeton d'accès SCIM et que vous supprimiez tous les jetons d'accès inutilisés ou expirés. Les événements du tableau de AWS Health bord sont renouvelés chaque semaine entre 90 et 60 jours, deux fois par semaine de 60 à 30 jours, trois fois par semaine de 30 à 15 jours et tous les jours pendant 15 jours jusqu'à l'expiration des jetons d'accès SCIM.
# Générer un jeton d'accès
Utilisez la procédure suivante pour générer un nouveau jeton d'accès dans la console IAM Identity Center.
**Note**
Cette procédure nécessite que vous ayez préalablement activé le provisionnement automatique. Pour de plus amples informations, veuillez consulter [Activer le provisionnement automatique](how-to-with-scim.md).
**Pour générer un nouveau jeton d'accès**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, choisissez **Générer un jeton**.
1. Dans la boîte de dialogue **Générer un nouveau jeton** d'accès, copiez le nouveau jeton d'accès et enregistrez-le en lieu sûr.
1. Choisissez **Fermer**.
# Activer le provisionnement automatique
Utilisez la procédure suivante pour activer le provisionnement automatique des utilisateurs et des groupes depuis votre IdP vers IAM Identity Center à l'aide du protocole SCIM.
**Note**
Avant de commencer cette procédure, nous vous recommandons de passer d'abord en revue les considérations de provisionnement applicables à votre IdP. Pour plus d'informations, consultez le correspondant [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) à votre IdP.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Une fois cette procédure terminée, vous devez configurer le provisionnement automatique dans votre IdP. Pour plus d'informations, consultez le correspondant [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) à votre IdP.
# Supprimer un jeton d'accès
Utilisez la procédure suivante pour supprimer un jeton d'accès existant dans la console IAM Identity Center.
**Pour supprimer un jeton d'accès existant**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, sélectionnez le jeton d'accès que vous souhaitez supprimer, puis choisissez **Supprimer**.
1. Dans la boîte de dialogue **Supprimer le jeton d'accès**, passez en revue les informations, tapez **DELETE**, puis choisissez **Supprimer le jeton d'accès**.
# Désactiver le provisionnement automatique
Utilisez la procédure suivante pour désactiver le provisionnement automatique dans la console IAM Identity Center.
**Important**
Vous devez supprimer le jeton d'accès avant de commencer cette procédure. Pour de plus amples informations, veuillez consulter [Supprimer un jeton d'accès](delete-token.md).
**Pour désactiver le provisionnement automatique dans la console IAM Identity Center**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, choisissez **Désactiver**.
1. Dans la boîte de dialogue **Désactiver le provisionnement automatique**, passez en revue les informations, tapez **DISABLE**, puis choisissez **Désactiver le provisionnement automatique**.
# Faire pivoter un jeton d'accès
Un annuaire IAM Identity Center prend en charge jusqu'à deux jetons d'accès à la fois. Pour générer un jeton d'accès supplémentaire avant toute rotation, supprimez tous les jetons d'accès expirés ou non utilisés.
Si votre jeton d'accès SCIM est sur le point d'expirer, vous pouvez utiliser la procédure suivante pour faire pivoter un jeton d'accès existant dans la console IAM Identity Center.
**Pour faire pivoter un jeton d'accès**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, notez l'ID du jeton que vous souhaitez faire pivoter.
1. Suivez les étapes décrites [Générer un jeton d'accès](generate-token.md) pour créer un nouveau jeton. Si vous avez déjà créé le nombre maximum de jetons d'accès SCIM, vous devez d'abord supprimer l'un des jetons existants.
1. Accédez au site Web de votre fournisseur d'identité et configurez le nouveau jeton d'accès pour le provisionnement SCIM, puis testez la connectivité à IAM Identity Center à l'aide du nouveau jeton d'accès SCIM. Une fois que vous avez confirmé que le provisionnement fonctionne correctement à l'aide du nouveau jeton, passez à l'étape suivante de cette procédure.
1. Suivez les étapes décrites [Supprimer un jeton d'accès](delete-token.md) pour supprimer l'ancien jeton d'accès que vous avez indiqué précédemment. Vous pouvez également utiliser la date de création du jeton comme indication du jeton à supprimer.
# Auditez et réconciliez les ressources provisionnées automatiquement
SCIM vous permet de provisionner automatiquement des utilisateurs, des groupes et des adhésions à des groupes depuis votre source d'identité vers IAM Identity Center. Ce guide vous aide à vérifier et à réconcilier ces ressources afin de garantir une synchronisation précise.
## Pourquoi auditer vos ressources ?
Un audit régulier permet de garantir que vos contrôles d'accès restent précis et que votre fournisseur d'identité (IdP) reste correctement synchronisé avec IAM Identity Center. Cela est particulièrement important pour la conformité en matière de sécurité et la gestion des accès.
Ressources que vous pouvez auditer :
+ Utilisateurs
+ Groupes
+ Adhésions à des groupes
Vous pouvez utiliser les [commandes AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)ou CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) pour effectuer l'audit et le rapprochement. Les exemples suivants utilisent des AWS CLI commandes. Pour les alternatives à l'API, reportez-vous aux [opérations correspondantes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) dans la *référence de l'API Identity Store*.
## Comment auditer les ressources
Voici des exemples expliquant comment auditer ces ressources à l'aide de AWS CLI commandes.
Avant de commencer, assurez-vous de disposer des éléments suivants :
+ Accès administrateur à IAM Identity Center.
+ AWS CLI installé et configuré. Pour plus d'informations, consultez le [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Autorisations IAM requises pour les commandes Identity Store.
### Étape 1 : Répertorier les ressources actuelles
Vous pouvez consulter vos ressources actuelles à l'aide du AWS CLI.
**Note**
Lorsque vous utilisez le AWS CLI, la pagination est gérée automatiquement, sauf indication contraire de votre part. `--no-paginate` Si vous appelez directement l'API (par exemple, à l'aide d'un SDK ou d'un script personnalisé), gérez-le `NextToken` dans la réponse. Cela vous permet de récupérer tous les résultats sur plusieurs pages.
**Example pour les utilisateurs**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example pour les groupes**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example pour les adhésions à des groupes**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Étape 2 : comparer avec votre source d'identité
Comparez les ressources répertoriées avec votre source d'identité pour identifier les éventuelles incohérences, telles que :
+ Ressources manquantes qui devraient être provisionnées dans IAM Identity Center.
+ Ressources supplémentaires qui devraient être supprimées d'IAM Identity Center.
**Example pour les utilisateurs**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example pour les groupes**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example pour les adhésions à des groupes**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Considérations
+ Les commandes sont soumises à des [quotas de service et à une limitation des API](limits.md#ssothrottlelimits).
+ Lorsque vous constatez de nombreuses différences lors du rapprochement, apportez de petites modifications graduelles à AWS Identity Store. Cela vous permet d'éviter les erreurs qui affectent plusieurs utilisateurs.
+ La synchronisation SCIM peut annuler vos modifications manuelles. Vérifiez les paramètres de votre IdP pour comprendre ce comportement.
## Approvisionnement manuel
Certains IdPs ne sont pas compatibles avec le système de gestion des identités interdomaines (SCIM) ou ont une implémentation SCIM incompatible. Dans ces cas, vous pouvez configurer manuellement les utilisateurs via la console IAM Identity Center. Lorsque vous ajoutez des utilisateurs à IAM Identity Center, assurez-vous que le nom d'utilisateur est identique à celui que vous avez dans votre IdP. Au minimum, vous devez disposer d'une adresse e-mail et d'un nom d'utilisateur uniques. Pour de plus amples informations, veuillez consulter [Unicité du nom d'utilisateur et de l'adresse e-mail](users-groups-provisioning.md#username-email-unique).
Vous devez également gérer tous les groupes manuellement dans IAM Identity Center. Pour ce faire, vous devez créer les groupes et les ajouter à l'aide de la console IAM Identity Center. Ces groupes n'ont pas besoin de correspondre à ce qui existe dans votre IdP. Pour de plus amples informations, veuillez consulter [Groupes](users-groups-provisioning.md#groups-concept).
# Rotation des certificats SAML 2.0
IAM Identity Center utilise des certificats pour établir une relation de confiance SAML entre IAM Identity Center et votre fournisseur d'identité externe (IdP). Lorsque vous ajoutez un IdP externe dans IAM Identity Center, vous devez également obtenir au moins un certificat public SAML 2.0 X.509 auprès de l'IdP externe. Ce certificat est généralement installé automatiquement lors de l'échange de métadonnées IDP SAML lors de la création de la confiance.
En tant qu'administrateur du centre d'identité IAM, vous devrez parfois remplacer les anciens certificats IdP par des certificats plus récents. Par exemple, il se peut que vous deviez remplacer un certificat IdP lorsque la date d'expiration du certificat approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé rotation des certificats.
**Topics**
+ [Faire pivoter un certificat SAML 2.0](rotatesamlcert.md)
+ [Indicateurs du statut d'expiration des certificats](samlcertexpirationindicators.md)
# Faire pivoter un certificat SAML 2.0
Vous devrez peut-être importer des certificats périodiquement afin de remplacer les certificats non valides ou expirés émis par votre fournisseur d'identité. Cela permet d'éviter toute interruption ou interruption de l'authentification. Tous les certificats importés sont automatiquement actifs. Les certificats ne doivent être supprimés qu'après avoir vérifié qu'ils ne sont plus utilisés par le fournisseur d'identité associé.
Vous devez également tenir compte du fait que certains IdPs peuvent ne pas prendre en charge plusieurs certificats. Dans ce cas, le fait d'alterner les certificats avec ces derniers IdPs peut entraîner une interruption de service temporaire pour vos utilisateurs. Le service est rétabli lorsque la confiance avec cet IdP a été rétablie avec succès. Planifiez cette opération avec soin en dehors des heures de pointe si possible.
**Note**
Pour des raisons de sécurité, dès que des signes de compromission ou de mauvaise gestion d'un certificat SAML existant apparaissent, vous devez immédiatement le supprimer et le faire pivoter.
La rotation d'un certificat IAM Identity Center est un processus en plusieurs étapes qui implique les étapes suivantes :
+ Obtenir un nouveau certificat auprès de l'IdP
+ Importation du nouveau certificat dans IAM Identity Center
+ Activation du nouveau certificat dans l'IdP
+ Supprimer l'ancien certificat
Utilisez toutes les procédures suivantes pour terminer le processus de rotation des certificats tout en évitant toute interruption de l'authentification.
**Étape 1 : obtenir un nouveau certificat auprès de l'IdP**
Accédez au site Web de l'IdP et téléchargez leur certificat SAML 2.0. Assurez-vous que le fichier de certificat est téléchargé au format PEM codé. La plupart des fournisseurs vous permettent de créer plusieurs certificats SAML 2.0 dans l'IdP. Il est probable qu'ils soient marqués comme désactivés ou inactifs.
**Étape 2 : Importer le nouveau certificat dans IAM Identity Center**
Utilisez la procédure suivante pour importer le nouveau certificat à l'aide de la console IAM Identity Center.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer l'authentification**.
1. Sur la page **Gérer les certificats SAML 2.0**, choisissez **Importer le certificat**.
1. Dans la boîte de dialogue **Importer un certificat SAML 2.0**, **choisissez Choisir un fichier**, accédez à votre fichier de certificat et sélectionnez-le, puis choisissez **Importer un certificat**.
À ce stade, IAM Identity Center fera confiance à tous les messages SAML entrants signés à partir des deux certificats que vous avez importés.
**Étape 3 : activer le nouveau certificat dans l'IdP**
Retournez sur le site Web de l'IdP et marquez le nouveau certificat que vous avez créé précédemment comme principal ou actif. À ce stade, tous les messages SAML signés par l'IdP doivent utiliser le nouveau certificat.
**Étape 4 : Supprimer l'ancien certificat**
Suivez la procédure ci-dessous pour terminer le processus de rotation des certificats pour votre IdP. Il doit toujours y avoir au moins un certificat valide répertorié, et il ne peut pas être supprimé.
**Note**
Assurez-vous que votre fournisseur d'identité ne signe plus les réponses SAML avec ce certificat avant de le supprimer.
1. Sur la page **Gérer les certificats SAML 2.0**, sélectionnez le certificat que vous souhaitez supprimer. Sélectionnez **Delete (Supprimer)**.
1. Dans la boîte de dialogue **Supprimer le certificat SAML 2.0**, tapez **DELETE** pour confirmer, puis choisissez **Supprimer**.
1. Retournez sur le site Web de l'IdP et effectuez les étapes nécessaires pour supprimer l'ancien certificat inactif.
# Indicateurs du statut d'expiration des certificats
La page **Gérer les certificats SAML 2.0** affiche des icônes d'indicateur de statut colorées dans la colonne **Expire le** jour à côté de chaque certificat de la liste. Ce qui suit décrit les critères utilisés par IAM Identity Center pour déterminer quelle icône est affichée pour chaque certificat.
+ **Rouge** — Indique qu'un certificat a expiré.
+ **Jaune** — Indique qu'un certificat expire dans 90 jours ou moins.
+ **Vert** — Indique qu'un certificat est valide et le reste pendant au moins 90 jours supplémentaires.
**Pour vérifier l'état actuel d'un certificat**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer l'authentification**.
1. Sur la page **Gérer l'authentification SAML 2.0**, sous **Gérer les certificats SAML 2.0**, vérifiez le statut des certificats dans la liste, comme indiqué dans la colonne **Expire le**.