Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérez votre source d’identité
Votre source d'identité dans IAM Identity Center définit l'endroit où vos utilisateurs et vos groupes sont gérés. Après avoir configuré votre source d'identité, vous pouvez rechercher des utilisateurs ou des groupes pour leur accorder un accès par authentification unique aux applications Comptes AWS, ou aux deux.
Vous ne pouvez avoir qu'une seule source d'identité par organisation dans AWS Organizations. Vous pouvez choisir l'une des sources d'identité suivantes :
+ **[Fournisseur d'identité externe](manage-your-identity-source-idp.md) :** choisissez cette option si vous souhaitez gérer les utilisateurs dans un fournisseur d'identité externe (IdP) tel que Okta ou. Microsoft Entra ID
+ **[Votre Active Directory sur site ou AWS géré](manage-your-identity-source-ad.md) :** choisissez cette option si vous souhaitez connecter votreActive Directory (AD).
+ **[Répertoire du centre d'identité](manage-your-identity-source-sso.md) :** lorsque vous activez IAM Identity Center pour la première fois, il est automatiquement configuré avec un répertoire du centre d'identité comme source d'identité par défaut, sauf si vous choisissez une autre source d'identité. L'annuaire Identity Center vous permet de créer vos utilisateurs et groupes, et d'attribuer leur niveau d'accès à vos applications Comptes AWS et à vos applications.
**Note**
IAM Identity Center ne prend pas en charge SAMBA4 Simple AD en tant que source d'identité.
**Topics**
+ [Considérations relatives à la modification de votre source d'identité](manage-your-identity-source-considerations.md)
+ [Modifier la source de votre identité](manage-your-identity-source-change.md)
+ [Attributs d'utilisateur et de groupe pris en charge dans IAM Identity Center](manage-your-identity-source-attribute-use.md)
+ [Fournisseurs d'identité externes](manage-your-identity-source-idp.md)
+ [Microsoft ADannuaire](manage-your-identity-source-ad.md)
# Considérations relatives à la modification de votre source d'identité
Bien que vous puissiez modifier votre source d'identité à tout moment, nous vous recommandons de réfléchir à l'impact de cette modification sur votre déploiement actuel.
Si vous gérez déjà des utilisateurs et des groupes dans une source d'identité, le passage à une autre source d'identité peut supprimer toutes les attributions d'utilisateurs et de groupes que vous avez configurées dans IAM Identity Center. Dans ce cas, tous les utilisateurs, y compris l'utilisateur administratif d'IAM Identity Center, perdront l'accès par authentification unique à leurs applications Comptes AWS et à leurs applications.
Avant de modifier la source d'identité pour IAM Identity Center, prenez en compte les points suivants avant de poursuivre. Si vous souhaitez continuer à modifier votre source d'identité, reportez-vous à la section [Modifier la source de votre identité](manage-your-identity-source-change.md) pour plus d'informations.
## Basculement entre le répertoire IAM Identity Center et Active Directory
Si vous gérez déjà des utilisateurs et des groupes dans Active Directory, nous vous recommandons d'envisager de connecter votre annuaire lorsque vous activez IAM Identity Center et que vous choisissez votre source d'identité. Faites-le avant de créer des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center et de procéder à des affectations.
**Important**
Lorsque vous modifiez votre type de source d'identité dans IAM Identity Center vers ou depuis Active Directory, sachez que l'ID du magasin d'identités va changer. Cela peut avoir les conséquences suivantes :
L'URL de votre portail AWS d'accès par défaut va changer. Vous devrez communiquer la nouvelle URL à votre personnel et mettre à jour les signets, les listes d'autorisation du portail ou du pare-feu, ainsi que les configurations dans lesquelles cette URL est référencée. Nous vous recommandons d'effectuer cette modification dans le cadre d'une période de maintenance planifiée afin de minimiser les perturbations pour vos utilisateurs.
Si vous utilisez une clé KMS gérée par le client pour le chiffrement au repos dans IAM Identity Center et que vous avez configuré la politique de clé KMS avec le contexte de chiffrement, sachez que le contexte de chiffrement de l'Identity Store va changer. Par exemple, dans l'ARN de l'Identity Store « arn:aws:identitystore : :123456789012:identitystore/d-922763e9b3", « d-922763e9b3" est l'ID de l'Identity Store. Pour éviter toute interruption de service pendant cette transition, modifiez temporairement votre politique de clés KMS pour utiliser un modèle générique : « arn:aws:identitystore : :123456789012:identitystore/\$1 ».
Si vous gérez déjà des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center, tenez compte des points suivants :
+ **Attributions supprimées et utilisateurs et groupes supprimés** : le fait de remplacer votre source d'identité par Active Directory supprime vos utilisateurs et vos groupes de l'annuaire Identity Center. Cette modification supprime également vos assignations. Dans ce cas, une fois que vous êtes passé à Active Directory, vous devez synchroniser vos utilisateurs et vos groupes depuis Active Directory vers le répertoire Identity Center, puis réappliquer leurs attributions.
Si vous choisissez de ne pas utiliser Active Directory, vous devez créer vos utilisateurs et groupes dans le répertoire Identity Center, puis effectuer des assignations.
+ **Les attributions ne sont pas supprimées lorsque les identités sont supprimées** : lorsque les identités sont supprimées dans le répertoire Identity Center, les attributions correspondantes sont également supprimées dans IAM Identity Center. Toutefois, dans Active Directory, lorsque des identités sont supprimées (que ce soit dans Active Directory ou dans les identités synchronisées), les attributions correspondantes ne sont pas supprimées.
+ **Aucune synchronisation sortante pour APIs** — Si vous utilisez Active Directory comme source d'identité, nous vous recommandons d'utiliser les options [Créer, mettre à jour et supprimer](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) APIs avec prudence. IAM Identity Center ne prend pas en charge la synchronisation sortante. Par conséquent, votre source d'identité n'est pas automatiquement mise à jour en fonction des modifications que vous apportez aux utilisateurs ou aux groupes qui les utilisent. APIs
+ L'**URL du portail d'accès va changer** — La modification de votre source d'identité entre IAM Identity Center et Active Directory modifie également l'URL du portail AWS d'accès.
+ Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center à l'aide d'Identity Store APIs, les utilisateurs ayant des sessions actives peuvent continuer à accéder aux applications et aux comptes intégrés. Pour plus d'informations sur la durée de la session d'authentification et le comportement des utilisateurs, consultez[Comprendre les sessions d'authentification dans IAM Identity Center](authconcept.md).
Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultez[Microsoft ADannuaire](manage-your-identity-source-ad.md).
## Passage d'IAM Identity Center à un IdP externe
Si vous remplacez votre source d'identité d'IAM Identity Center par un fournisseur d'identité externe (IdP), tenez compte des points suivants :
+ Les **assignations et les adhésions fonctionnent avec des assertions correctes** : vos attributions d'utilisateur, vos attributions de groupe et vos appartenances à des groupes continuent de fonctionner tant que le nouvel IdP envoie les assertions correctes (par exemple, le nom SAML). IDs Ces assertions doivent correspondre aux noms d'utilisateur et aux groupes d'IAM Identity Center.
+ **Aucune synchronisation sortante** : IAM Identity Center ne prend pas en charge la synchronisation sortante. Votre IdP externe ne sera donc pas automatiquement mis à jour en fonction des modifications apportées aux utilisateurs et aux groupes dans IAM Identity Center.
+ **Provisionnement SCIM : si vous utilisez le provisionnement** SCIM, les modifications apportées aux utilisateurs et aux groupes de votre fournisseur d'identité ne sont reflétées dans IAM Identity Center qu'une fois que ce dernier a envoyé ces modifications à IAM Identity Center. Consultez [Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations).
+ **Annulation** : vous pouvez à tout moment rétablir votre source d'identité pour qu'elle utilise à nouveau IAM Identity Center. Consultez [Passage d'un IdP externe à IAM Identity Center](#changing-from-idp-and-idc).
+ **Les sessions utilisateur existantes sont révoquées à l'expiration de la durée de session** : une fois que vous avez remplacé votre source d'identité par un fournisseur d'identité externe, les sessions utilisateur actives sont conservées pendant le reste de la durée maximale de session configurée dans la console. Par exemple, si la durée de session du portail d' AWS accès est définie sur huit heures et que vous avez modifié la source d'identité au cours de la quatrième heure, les sessions utilisateur actives persistent pendant quatre heures supplémentaires. Pour révoquer des sessions utilisateur, consultez[Afficher et terminer les sessions actives pour les utilisateurs de votre personnel](end-active-sessions.md).
Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center à l'aide d'Identity Store APIs, les utilisateurs ayant des sessions actives peuvent continuer à accéder aux applications et aux comptes intégrés. Pour plus d'informations sur la durée de la session d'authentification et le comportement des utilisateurs, consultez[Comprendre les sessions d'authentification dans IAM Identity Center](authconcept.md).
**Note**
Vous ne pouvez pas révoquer les sessions utilisateur depuis la console IAM Identity Center après avoir supprimé l'utilisateur.
Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultez[Fournisseurs d'identité externes](manage-your-identity-source-idp.md).
## Passage d'un IdP externe à IAM Identity Center
Si vous remplacez votre source d'identité par un fournisseur d'identité externe (IdP) par IAM Identity Center, tenez compte des points suivants :
+ IAM Identity Center préserve toutes vos assignations.
+ **Forcer la réinitialisation du mot** de passe — Les utilisateurs qui possédaient des mots de passe dans IAM Identity Center peuvent continuer à se connecter avec leurs anciens mots de passe. Pour les utilisateurs qui se trouvaient dans l'IdP externe et non dans IAM Identity Center, un administrateur doit forcer la réinitialisation du mot de passe.
+ **Les sessions utilisateur existantes sont révoquées à l'expiration de la durée de session** : une fois que vous avez changé votre source d'identité en IAM Identity Center, les sessions utilisateur actives sont conservées pendant la durée restante de la durée maximale de session configurée dans la console. Par exemple, si la durée de la session du portail d' AWS accès est de huit heures et que vous avez modifié la source d'identité à la quatrième heure, les sessions utilisateur actives continuent de s'exécuter pendant quatre heures supplémentaires. Pour révoquer des sessions utilisateur, consultez[Afficher et terminer les sessions actives pour les utilisateurs de votre personnel](end-active-sessions.md).
Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center à l'aide d'Identity Store APIs, les utilisateurs ayant des sessions actives peuvent continuer à accéder aux applications et aux comptes intégrés. Pour plus d'informations sur la durée de la session d'authentification et le comportement des utilisateurs, consultez[Comprendre les sessions d'authentification dans IAM Identity Center](authconcept.md).
**Note**
Vous ne pourrez pas révoquer les sessions utilisateur depuis la console IAM Identity Center après avoir supprimé l'utilisateur.
+ **Support multirégional** : si vous avez répliqué IAM Identity Center dans d'autres régions ou si vous envisagez de le faire, vous devez utiliser un fournisseur d'identité externe comme source d'identité. Pour plus d'informations, notamment sur les autres prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultez[Gérer les utilisateurs dans le répertoire Identity Center](manage-your-identity-source-sso.md).
## Passage d'un IdP externe à un autre IdP externe
Si vous utilisez déjà un IdP externe comme source d'identité pour IAM Identity Center et que vous changez d'IdP externe, tenez compte des points suivants :
+ **Les assignations et les adhésions fonctionnent avec des assertions correctes**. IAM Identity Center conserve toutes vos assignations. Les attributions d'utilisateurs, les attributions de groupes et les appartenances à des groupes continuent de fonctionner tant que le nouvel IdP envoie les assertions correctes (par exemple, le nom SAML). IDs
Ces assertions doivent correspondre aux noms d'utilisateur dans IAM Identity Center lorsque vos utilisateurs s'authentifient via le nouvel IdP externe.
+ **Provisionnement du SCIM** : si vous utilisez le SCIM pour le provisionnement dans IAM Identity Center, nous vous recommandons de consulter les informations spécifiques à l'IdP contenues dans ce guide et la documentation fournie par l'IdP afin de vous assurer que le nouveau fournisseur fait correspondre correctement les utilisateurs et les groupes lorsque le SCIM est activé.
+ **Les sessions utilisateur existantes sont révoquées à l'expiration de la durée de session** : une fois que vous avez remplacé votre source d'identité par un autre fournisseur d'identité externe, les sessions utilisateur actives sont conservées pendant la durée restante de la durée maximale de session configurée dans la console. Par exemple, si la durée de la session du portail d' AWS accès est de huit heures et que vous avez modifié la source d'identité à la quatrième heure, les sessions utilisateur actives persistent pendant quatre heures supplémentaires. Pour révoquer des sessions utilisateur, consultez[Afficher et terminer les sessions actives pour les utilisateurs de votre personnel](end-active-sessions.md).
Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center à l'aide d'Identity Store APIs, les utilisateurs ayant des sessions actives peuvent continuer à accéder aux applications et aux comptes intégrés. Pour plus d'informations sur la durée de la session d'authentification et le comportement des utilisateurs, consultez[Comprendre les sessions d'authentification dans IAM Identity Center](authconcept.md).
**Note**
Vous ne pouvez pas révoquer les sessions utilisateur depuis la console IAM Identity Center après avoir supprimé l'utilisateur.
Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultez[Fournisseurs d'identité externes](manage-your-identity-source-idp.md).
## Passage d'Active Directory à un IdP externe
Si vous remplacez votre source d'identité par un IdP externe par Active Directory, ou d'Active Directory par un IdP externe, tenez compte des points suivants :
+ **Les utilisateurs, les groupes et les attributions sont supprimés** : tous les utilisateurs, groupes et attributions sont supprimés d'IAM Identity Center. Aucune information d'utilisateur ou de groupe n'est affectée ni dans l'IdP externe ni dans Active Directory.
+ **Approvisionnement des utilisateurs** : si vous passez à un IdP externe, vous devez configurer IAM Identity Center pour approvisionner vos utilisateurs. Vous devez également configurer manuellement les utilisateurs et les groupes pour l'IdP externe avant de pouvoir configurer les attributions.
+ **Création d'attributions et de groupes** : si vous passez à Active Directory, vous devez créer des attributions avec les utilisateurs et les groupes figurant dans votre annuaire dans Active Directory.
+ Si des utilisateurs sont supprimés ou désactivés dans la console IAM Identity Center à l'aide d'Identity Store APIs, les utilisateurs ayant des sessions actives peuvent continuer à accéder aux applications et aux comptes intégrés. Pour plus d'informations sur la durée de la session d'authentification et le comportement des utilisateurs, consultez[Comprendre les sessions d'authentification dans IAM Identity Center](authconcept.md).
+ **Support multirégional** : si vous avez répliqué IAM Identity Center dans d'autres régions ou si vous envisagez de le faire, vous devez utiliser un fournisseur d'identité externe comme source d'identité. Pour plus d'informations, notamment sur les autres prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
Pour plus d'informations sur la manière dont IAM Identity Center approvisionne les utilisateurs et les groupes, consultez[Microsoft ADannuaire](manage-your-identity-source-ad.md).
# Modifier la source de votre identité
La procédure suivante décrit comment passer d'un répertoire fourni par IAM Identity Center (le répertoire par défaut du centre d'identité) à Active Directory ou à un fournisseur d'identité externe, ou inversement. Avant de continuer, consultez les informations contenues dans[Considérations relatives à la modification de votre source d'identité](manage-your-identity-source-considerations.md). Pour effectuer cette procédure, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
**Avertissement**
En fonction de votre déploiement actuel, cette modification supprime toutes les attributions d'utilisateurs et de groupes que vous avez configurées dans IAM Identity Center. Cette modification supprimera également de votre Comptes AWS compte les rôles IAM définis par des autorisations. Par conséquent, vous devrez peut-être mettre à jour vos politiques en matière de ressources et vous assurer que cela ne perturbera pas votre accès aux AWS KMS clés et aux clusters Amazon EKS. Pour en savoir plus, veuillez consulter la section [Référencement des ensembles d'autorisations dans les politiques de ressources, les cartes de configuration du cluster Amazon EKS et les politiques AWS KMS clés](referencingpermissionsets.md).
Dans ce cas, tous les utilisateurs et groupes, y compris l'utilisateur administratif d'IAM Identity Center, perdront l'accès par authentification unique à leurs applications Comptes AWS et à leurs applications.
**Pour modifier votre source d'identité**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**. Choisissez **Actions**, puis sélectionnez **Modifier la source d'identité**.
1. Sous **Choisir la source d'identité**, sélectionnez la source que vous souhaitez remplacer, puis choisissez **Suivant**.
Si vous passez à Active Directory, choisissez le répertoire disponible dans le menu de la page suivante.
**Important**
La modification de votre source d'identité vers ou depuis Active Directory supprime les utilisateurs et les groupes de l'annuaire Identity Center. Cette modification supprime également toutes les attributions que vous avez configurées dans IAM Identity Center.
**Note**
Si vous avez répliqué IAM Identity Center vers d'autres régions, vous ne pourrez pas modifier le type de source d'identité. Vous ne pouvez remplacer que l'IdP externe actuel par un autre. Pour modifier le type de source d'identité, vous devez d'abord supprimer toutes les régions supplémentaires. Pour de plus amples informations, consultez [Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
Si vous passez à un fournisseur d'identité externe, nous vous recommandons de suivre les étapes décrites dans[Comment se connecter à un fournisseur d'identité externe](how-to-connect-idp.md).
1. Une fois que vous avez lu la clause de non-responsabilité et que vous êtes prêt à continuer, tapez **ACCEPT**.
1. Choisissez **Modifier la source d'identité**. Si vous remplacez votre source d'identité par Active Directory, passez à l'étape suivante.
1. Si vous remplacez votre source d'identité par Active Directory, vous accédez à la page **Paramètres**. Sur la page **Paramètres**, effectuez l'une des opérations suivantes :
+ Choisissez **Démarrer la configuration guidée**. Pour plus d'informations sur la façon de terminer le processus de configuration guidée, consultez[Configuration guidée](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync).
+ Dans la section **Source d'identité**, choisissez **Actions**, puis sélectionnez **Gérer la synchronisation** pour configurer l'*étendue de la synchronisation*, ainsi que la liste des utilisateurs et des groupes à synchroniser.
# Attributs d'utilisateur et de groupe pris en charge dans IAM Identity Center
Ce guide fournit une référence pour la prise en charge des attributs SCIM dans IAM Identity Center. Il répertorie les attributs d'utilisateur et de groupe issus de la spécification SCIM qui sont pris en charge dans le magasin d'identités IAM Identity Center et identifie les attributs et sous-attributs spécifiques qui ne sont pas pris en charge.
Les attributs sont des informations qui vous aident à définir et à identifier des objets d'utilisateur ou de groupe individuels`name`, tels que`email`, ou`members`. IAM Identity Center prend en charge les attributs les plus couramment utilisés par le biais de la saisie manuelle et du provisionnement SCIM automatique.
+ [Pour plus d'informations sur la spécification du système de gestion des identités interdomaines (SCIM), consultez https://tools.ietf.org/html /rfc7642.](https://tools.ietf.org/html/rfc7642)
+ Pour plus d'informations sur le provisionnement manuel et automatique, consultez[Provisionnement lorsque les utilisateurs proviennent d'un IdP externe](manage-your-identity-source-idp.md#provisioning-when-external-idp).
+ Pour plus d'informations sur le mappage des attributs, consultez[Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md).
Comme IAM Identity Center prend en charge le SCIM pour les cas d'utilisation du provisionnement automatique, le répertoire Identity Center prend en charge tous les attributs d'utilisateur et de groupe répertoriés dans la spécification SCIM, à quelques exceptions près. Les sections suivantes décrivent les attributs qui ne sont pas pris en charge par IAM Identity Center.
## Les objets utilisateur ne sont pas pris en charge
Tous les attributs du schéma utilisateur SCIM ([https://tools.ietf.org/html/rfc7643 \$1section -8.3](https://tools.ietf.org/html/rfc7643#section-8.3)) sont pris en charge dans le magasin d'identités IAM Identity Center, à l'exception des suivants :
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`
Tous les sous-attributs des utilisateurs sont pris en charge, à l'exception des suivants :
+ `'display'`sous-attribut de n'importe quel attribut à valeurs multiples (par exemple, `emails` ou) `phoneNumbers`
+ `'version'`sous-attribut de l'`'meta'`attribut
## Objets de groupe non pris en charge
Tous les attributs du schéma de groupe SCIM ([https://tools.ietf.org/html/rfc7643 \$1section](https://tools.ietf.org/html/rfc7643#section-8.4) -8.4) sont pris en charge.
Tous les sous-attributs des groupes sont pris en charge, à l'exception des suivants :
+ `'display'`sous-attribut de n'importe quel attribut à valeurs multiples (par exemple, membres).
# Fournisseurs d'identité externes
Avec IAM Identity Center, vous pouvez connecter les identités de votre personnel existantes à celles de fournisseurs d'identité externes (IdPs) via les protocoles SAML (Security Assertion Markup Language) 2.0 et SCIM (System for Cross-Domain Identity Management). Cela permet à vos utilisateurs de se connecter au portail AWS d'accès avec leurs informations d'identification professionnelles. Ils peuvent ensuite accéder aux comptes, rôles et applications qui leur sont assignés et hébergés en externe IdPs.
Par exemple, vous pouvez connecter un IdP externe tel que Okta ou à IAM Microsoft Entra ID Identity Center. Vos utilisateurs peuvent ensuite se connecter au portail d' AWS accès avec leurs informations d'identification existantes Okta ou leurs Microsoft Entra ID informations d'identification. Pour contrôler ce que vos utilisateurs peuvent faire une fois qu'ils sont connectés, vous pouvez leur attribuer des autorisations d'accès de manière centralisée pour tous les comptes et applications de votre AWS organisation. En outre, les développeurs peuvent simplement se connecter au AWS Command Line Interface (AWS CLI) à l'aide de leurs informations d'identification existantes et bénéficier de la génération et de la rotation automatiques des informations d'identification à court terme.
Si vous utilisez un annuaire autogéré dans Active Directory ou un AWS Managed Microsoft AD, consultez[Microsoft ADannuaire](manage-your-identity-source-ad.md).
**Note**
Le protocole SAML ne permet pas d'interroger l'IdP pour en savoir plus sur les utilisateurs et les groupes. Par conséquent, vous devez informer IAM Identity Center de l'existence de ces utilisateurs et groupes en les configurant dans IAM Identity Center.
## Provisionnement lorsque les utilisateurs proviennent d'un IdP externe
Lorsque vous utilisez un IdP externe, vous devez configurer tous les utilisateurs et groupes concernés dans IAM Identity Center avant de pouvoir attribuer des tâches ou des applications. Comptes AWS Pour ce faire, vous pouvez configurer [Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md) pour vos utilisateurs et groupes, ou utiliser[Approvisionnement manuel](provision-automatically.md#provision-manually). Quelle que soit la manière dont vous configurez les utilisateurs, IAM Identity Center redirige l' AWS Management Console interface de ligne de commande et l'authentification des applications vers votre IdP externe. IAM Identity Center accorde ensuite l'accès à ces ressources en fonction des politiques que vous créez dans IAM Identity Center. Pour plus d'informations sur le provisionnement, consultez[Provisionnement d'utilisateurs et de groupes](users-groups-provisioning.md#user-group-provision).
**Topics**
+ [Provisionnement lorsque les utilisateurs proviennent d'un IdP externe](#provisioning-when-external-idp)
+ [Comment se connecter à un fournisseur d'identité externe](how-to-connect-idp.md)
+ [Comment modifier les métadonnées d'un fournisseur d'identité externe dans IAM Identity Center](how-to-change-idp-metadata.md)
+ [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md)
+ [Profil SCIM et implémentation de SAML 2.0](scim-profile-saml.md)
# Comment se connecter à un fournisseur d'identité externe
Il existe différents prérequis, considérations et procédures de provisionnement pour les applications externes prises en charge. IdPs Des step-by-step tutoriels sont disponibles pour plusieurs IdPs :
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Identité Ping](pingidentity.md)
Pour plus d'informations sur les considérations relatives aux applications externes IdPs prises en charge par IAM Identity Center, consultez[Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
La procédure suivante fournit un aperçu général de la procédure utilisée avec tous les fournisseurs d'identité externes.
**Pour vous connecter à un fournisseur d'identité externe**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis **Actions > Modifier la source d'identité**.
1. Sous **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. Sous **Configurer le fournisseur d'identité externe**, procédez comme suit :
1. Sous **Métadonnées du fournisseur de services**, choisissez **Télécharger le fichier** de métadonnées pour télécharger le fichier de métadonnées et l'enregistrer sur votre système. Le fichier de métadonnées SAML d'IAM Identity Center est requis par votre fournisseur d'identité externe.
**Note**
Le fichier de métadonnées SAML que vous téléchargez contient à la fois un service ACS (Assertion Consumer Service) IPv4 réservé et un service ACS (Dualstack Assertion Consumer Service). URLs En outre, si votre centre d'identité IAM est répliqué dans des régions supplémentaires, le fichier de métadonnées contient ACS URLs pour chaque région supplémentaire. Si le nombre d'ACS de votre IdP externe est limité URLs, vous devrez supprimer les ACS inutiles. URLs Par exemple, si votre entreprise a complètement adopté les terminaux à double pile et n'utilise plus IP4v uniquement des terminaux, vous pouvez supprimer ces derniers. Une autre approche consiste à ne pas utiliser le fichier de métadonnées mais à copier-coller l'ACS URLs dans l'IdP externe.
1. Sous **Métadonnées du fournisseur d'identité**, **choisissez Choisir un fichier** et recherchez le fichier de métadonnées que vous avez téléchargé auprès de votre fournisseur d'identité externe. Téléchargez ensuite le fichier. Ce fichier de métadonnées contient le certificat public x509 nécessaire utilisé pour approuver les messages envoyés par l'IdP.
1. Choisissez **Suivant**.
**Important**
La modification de votre source vers ou depuis Active Directory supprime toutes les attributions d'utilisateurs et de groupes existantes. Vous devez réappliquer les assignations manuellement une fois que vous avez correctement modifié votre source.
1. Une fois que vous avez lu la clause de non-responsabilité et que vous êtes prêt à continuer, entrez **ACCEPT**.
1. Choisissez **Modifier la source d'identité**. Un message d'état vous informe que vous avez correctement modifié la source d'identité.
# Comment modifier les métadonnées d'un fournisseur d'identité externe dans IAM Identity Center
Vous pouvez modifier les métadonnées de votre fournisseur d'identité externe que vous avez précédemment fournies à l'IAM Identity Center. Ces modifications affectent la capacité de vos utilisateurs à se connecter et à accéder aux AWS ressources via IAM Identity Center. La procédure suivante décrit comment mettre à jour les métadonnées de votre IdP externe stockées dans IAM Identity Center. Pour effectuer cette procédure, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
**Pour modifier les métadonnées d'un fournisseur d'identité externe**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**. Choisissez **Actions**, puis sélectionnez **Gérer l'authentification**.
1. Dans la section **Métadonnées du fournisseur d'identité**, choisissez **Modifier les métadonnées de l'IdP.** Vous pouvez apporter les modifications à l'URL de connexion à l'IdP et/ou à l'URL de l'émetteur de l'IdP pour votre IdP externe sur cette page. Choisissez **Enregistrer les modifications** lorsque vous avez effectué toutes les modifications nécessaires.
# Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes
IAM Identity Center met en œuvre les protocoles normalisés suivants pour la fédération des identités :
+ SAML 2.0 pour l'authentification des utilisateurs
+ SCIM pour le provisionnement
Tout fournisseur d'identité (IdP) qui implémente ces protocoles standard est censé interagir avec succès avec IAM Identity Center, avec les considérations spéciales suivantes :
+ **SAML**
+ IAM Identity Center nécessite un format SAML NameID pour l'adresse e-mail (c'est-à-dire,). `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ [La valeur du champ NameID dans les assertions doit être une chaîne conforme à la norme RFC 2822 ([https://tools.ietf.org/html/rfc2822) addr-spec (« ») (/rfc2822](https://tools.ietf.org/html/rfc2822) \$1section -3.4.1). `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ Le fichier de métadonnées ne doit pas comporter plus de 75 000 caractères.
+ Les métadonnées doivent contenir un EntityID, un certificat X509 et faire partie de SingleSignOnService l'URL de connexion.
+ Aucune clé de chiffrement n'est prise en charge.
+ IAM Identity Center ne prend pas en charge la signature des demandes d'authentification SAML envoyées à des entités externes. IdPs
+ L'IdP doit prendre en charge le service client à assertions multiples (ACS) URLs si vous envisagez de répliquer le centre d'identité IAM dans d'autres régions et de tirer pleinement parti des avantages d'un centre d'identité IAM multirégional. Pour de plus amples informations, veuillez consulter [Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md). L'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans d'autres régions. Votre région principale continuera de fonctionner normalement. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ [La mise en œuvre du SCIM d'IAM Identity Center est basée sur les SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) et 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)), ainsi que sur les exigences d'interopérabilité énoncées dans le projet de [https://tools.ietf.org/htmlmars 2020 du profil](https://tools.ietf.org/html/rfc7644) SCIM de base 1.0 (\$1rfc .section.4). FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Toute différence entre ces documents et l'implémentation actuelle dans IAM Identity Center est décrite dans la section [Opérations d'API prises en charge](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) du guide du développeur de *mise en œuvre d'IAM Identity Center SCIM*.
IdPs qui ne sont pas conformes aux normes et aux considérations mentionnées ci-dessus ne sont pas prises en charge. Veuillez contacter votre IdP pour toute question ou précision concernant la conformité de ses produits à ces normes et considérations.
Si vous rencontrez des problèmes pour connecter votre IdP à IAM Identity Center, nous vous recommandons de vérifier :
+ AWS CloudTrail enregistre en filtrant sur le nom de l'événement **ExternalIdPDirectoryLogin**
+ Logs spécifiques à l'IDP, journaux and/or de débogage
+ [Résolution des problèmes liés à IAM Identity Center](troubleshooting.md)
**Note**
Certains IdPs, comme ceux présentés dans le[Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md), offrent une expérience de configuration simplifiée pour IAM Identity Center sous la forme d'une « application » ou d'un « connecteur » spécialement conçu pour IAM Identity Center. Si votre IdP propose cette option, nous vous recommandons de l'utiliser, en prenant soin de choisir l'élément spécialement conçu pour IAM Identity Center. D'autres éléments appelés « AWS », « AWS fédération » ou « noms génériques AWS » similaires peuvent utiliser des and/or points de terminaison d'autres approches de fédération et peuvent ne pas fonctionner comme prévu avec IAM Identity Center.
# Profil SCIM et implémentation de SAML 2.0
SCIM et SAML sont des éléments importants à prendre en compte lors de la configuration d'IAM Identity Center.
## Implémentation de SAML 2.0
IAM Identity Center prend en charge la fédération des identités avec le langage [SAML (Security Assertion Markup Language](https://wiki.oasis-open.org/security)) 2.0. Cela permet à IAM Identity Center d'authentifier les identités auprès de fournisseurs d'identité externes ()IdPs. SAML 2.0 est un standard ouvert utilisé pour échanger des assertions SAML en toute sécurité. SAML 2.0 transmet des informations sur un utilisateur entre une autorité SAML (appelée fournisseur d'identité ou IdP) et un consommateur SAML (appelé fournisseur de services ou SP). Le service IAM Identity Center utilise ces informations pour fournir une authentification unique fédérée. L'authentification unique permet aux utilisateurs d'accéder aux applications Comptes AWS et de les configurer en fonction de leurs informations d'identification de fournisseur d'identité existantes.
IAM Identity Center ajoute des fonctionnalités IDP SAML à votre boutique IAM Identity Center ou à un fournisseur AWS Managed Microsoft AD d'identité externe. Les utilisateurs peuvent ensuite se connecter de manière unique aux services qui prennent en charge le protocole SAML, y compris les applications tierces telles que Microsoft 365Concur, AWS Management Console et. Salesforce
Le protocole SAML ne permet toutefois pas d'interroger l'IdP pour en savoir plus sur les utilisateurs et les groupes. Par conséquent, vous devez informer IAM Identity Center de l'existence de ces utilisateurs et groupes en les configurant dans IAM Identity Center.
## profil SCIM
IAM Identity Center prend en charge la norme SCIM (System for Cross-Domain Identity Management) v2.0. Le SCIM synchronise les identités de votre IAM Identity Center avec celles de votre IdP. Cela inclut le provisionnement, les mises à jour et le déprovisionnement des utilisateurs entre votre fournisseur d’identité et IAM Identity Center.
Pour plus d'informations sur la mise en œuvre du SCIM, consultez[Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md). Pour plus de détails sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du [SCIM d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [Implémentation de SAML 2.0](#samlfederationconcept)
+ [profil SCIM](#scim-profile)
+ [Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md)
+ [Rotation des certificats SAML 2.0](managesamlcerts.md)
# Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis votre fournisseur d'identité (IdP) vers IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) v2.0. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage des attributs utilisateur de votre fournisseur d'identité (IdP) avec les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center et votre IdP. Vous configurez cette connexion dans votre IdP à l'aide de votre point de terminaison SCIM pour IAM Identity Center et d'un jeton porteur que vous créez dans IAM Identity Center.
**Topics**
+ [Considérations relatives à l'utilisation du provisionnement automatique](#auto-provisioning-considerations)
+ [Comment surveiller l'expiration des jetons d'accès](#access-token-expiry)
+ [Générer un jeton d'accès](generate-token.md)
+ [Activer le provisionnement automatique](how-to-with-scim.md)
+ [Supprimer un jeton d'accès](delete-token.md)
+ [Désactiver le provisionnement automatique](disable-provisioning.md)
+ [Faire pivoter un jeton d'accès](rotate-token.md)
+ [Auditez et réconciliez les ressources provisionnées automatiquement](reconcile-auto-provisioning.md)
+ [Approvisionnement manuel](#provision-manually)
## Considérations relatives à l'utilisation du provisionnement automatique
Avant de commencer à déployer le SCIM, nous vous recommandons de prendre d'abord en compte les considérations importantes suivantes concernant son fonctionnement avec IAM Identity Center. Pour d'autres considérations relatives au provisionnement, consultez la section [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) applicable à votre IdP.
+ Si vous fournissez une adresse e-mail principale, cette valeur d'attribut doit être unique pour chaque utilisateur. Dans certains IdPs cas, l'adresse e-mail principale peut ne pas être une adresse e-mail réelle. Par exemple, il peut s'agir d'un nom principal universel (UPN) qui ressemble uniquement à un e-mail. Ils IdPs peuvent avoir une adresse e-mail secondaire ou « autre » contenant la véritable adresse e-mail de l'utilisateur. Vous devez configurer le SCIM dans votre IdP pour associer l'adresse e-mail unique non NULL à l'attribut d'adresse e-mail principale du IAM Identity Center. Et vous devez associer l'identifiant de connexion unique non NULL de l'utilisateur à l'attribut de nom d'utilisateur IAM Identity Center. Vérifiez si votre IdP possède une valeur unique qui est à la fois l'identifiant de connexion et le nom e-mail de l'utilisateur. Dans ce cas, vous pouvez mapper ce champ IdP à la fois à l'adresse e-mail principale et au nom d'utilisateur de l'IAM Identity Center.
+ Pour que la synchronisation SCIM fonctionne, chaque utilisateur doit avoir un **prénom, un nom de famille**, un **nom** **d'utilisateur** et une valeur de **nom d'affichage** spécifiés. Si l'une de ces valeurs est absente pour un utilisateur, celui-ci ne sera pas approvisionné.
+ Si vous devez utiliser des applications tierces, vous devez d'abord mapper l'attribut de sujet SAML sortant à l'attribut de nom d'utilisateur. Si l'application tierce a besoin d'une adresse e-mail routable, vous devez fournir l'attribut e-mail à votre IdP.
+ Les intervalles de mise en service et de mise à jour du SCIM sont contrôlés par votre fournisseur d'identité. Les modifications apportées aux utilisateurs et aux groupes de votre fournisseur d'identité ne sont reflétées dans IAM Identity Center qu'une fois que votre fournisseur d'identité a envoyé ces modifications à IAM Identity Center. Consultez votre fournisseur d'identité pour plus de détails sur la fréquence des mises à jour des utilisateurs et des groupes.
+ Actuellement, les attributs à valeurs multiples (tels que plusieurs e-mails ou numéros de téléphone pour un utilisateur donné) ne sont pas fournis avec SCIM. Les tentatives de synchronisation d'attributs à valeurs multiples dans IAM Identity Center avec SCIM échoueront. Pour éviter les échecs, assurez-vous qu'une seule valeur est transmise pour chaque attribut. Si vous avez des utilisateurs dotés d'attributs à valeurs multiples, supprimez ou modifiez les mappages d'attributs dupliqués dans SCIM sur votre IdP pour la connexion à IAM Identity Center.
+ Vérifiez que le mappage `externalId` SCIM de votre IdP correspond à une valeur unique, toujours présente et peu susceptible de changer pour vos utilisateurs. Par exemple, votre IdP peut fournir un identifiant garanti `objectId` ou autre qui n'est pas affecté par les modifications apportées aux attributs utilisateur tels que le nom et l'adresse e-mail. Si tel est le cas, vous pouvez mapper cette valeur au `externalId` champ SCIM. Cela garantit que vos utilisateurs ne perdront pas leurs AWS droits, attributions ou autorisations si vous devez modifier leur nom ou leur adresse e-mail.
+ Utilisateurs qui n'ont pas encore été affectés à une application ou qui Compte AWS ne peuvent pas être approvisionnés dans IAM Identity Center. Pour synchroniser les utilisateurs et les groupes, assurez-vous qu'ils sont affectés à l'application ou à une autre configuration représentant la connexion de votre IdP à IAM Identity Center.
+ Le comportement de déprovisionnement des utilisateurs est géré par le fournisseur d'identité et peut varier en fonction de sa mise en œuvre. Renseignez-vous auprès de votre fournisseur d'identité pour en savoir plus sur le déprovisionnement des utilisateurs.
+ Après avoir configuré le provisionnement automatique avec SCIM pour votre IdP, vous ne pouvez plus ajouter ni modifier d'utilisateurs dans la console IAM Identity Center. Si vous devez ajouter ou modifier un utilisateur, vous devez le faire à partir de votre IdP externe ou de votre source d'identité.
Pour plus d'informations sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du [SCIM d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Comment surveiller l'expiration des jetons d'accès
Les jetons d'accès SCIM sont générés avec une validité d'un an. Lorsque votre jeton d'accès SCIM doit expirer dans 90 jours ou moins, il vous AWS envoie des rappels dans la console IAM Identity Center et via le tableau de AWS Health bord pour vous aider à faire pivoter le jeton. En faisant pivoter le jeton d'accès SCIM avant son expiration, vous sécurisez en permanence le provisionnement automatique des informations sur les utilisateurs et les groupes. Si le jeton d'accès SCIM expire, la synchronisation des informations relatives aux utilisateurs et aux groupes entre votre fournisseur d'identité et IAM Identity Center s'arrête, de sorte que le provisionnement automatique ne peut plus effectuer de mises à jour ni créer et supprimer des informations. L'interruption du provisionnement automatique peut entraîner des risques de sécurité accrus et avoir un impact sur l'accès à vos services.
Les rappels de la console Identity Center sont conservés jusqu'à ce que vous fassiez pivoter le jeton d'accès SCIM et que vous supprimiez tous les jetons d'accès inutilisés ou expirés. Les événements du tableau de AWS Health bord sont renouvelés chaque semaine entre 90 et 60 jours, deux fois par semaine de 60 à 30 jours, trois fois par semaine de 30 à 15 jours et tous les jours pendant 15 jours jusqu'à l'expiration des jetons d'accès SCIM.
# Générer un jeton d'accès
Utilisez la procédure suivante pour générer un nouveau jeton d'accès dans la console IAM Identity Center.
**Note**
Cette procédure nécessite que vous ayez préalablement activé le provisionnement automatique. Pour de plus amples informations, veuillez consulter [Activer le provisionnement automatique](how-to-with-scim.md).
**Pour générer un nouveau jeton d'accès**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, choisissez **Générer un jeton**.
1. Dans la boîte de dialogue **Générer un nouveau jeton** d'accès, copiez le nouveau jeton d'accès et enregistrez-le en lieu sûr.
1. Choisissez **Fermer**.
# Activer le provisionnement automatique
Utilisez la procédure suivante pour activer le provisionnement automatique des utilisateurs et des groupes depuis votre IdP vers IAM Identity Center à l'aide du protocole SCIM.
**Note**
Avant de commencer cette procédure, nous vous recommandons de passer d'abord en revue les considérations de provisionnement applicables à votre IdP. Pour plus d'informations, consultez le correspondant [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) à votre IdP.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Une fois cette procédure terminée, vous devez configurer le provisionnement automatique dans votre IdP. Pour plus d'informations, consultez le correspondant [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) à votre IdP.
# Supprimer un jeton d'accès
Utilisez la procédure suivante pour supprimer un jeton d'accès existant dans la console IAM Identity Center.
**Pour supprimer un jeton d'accès existant**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, sélectionnez le jeton d'accès que vous souhaitez supprimer, puis choisissez **Supprimer**.
1. Dans la boîte de dialogue **Supprimer le jeton d'accès**, passez en revue les informations, tapez **DELETE**, puis choisissez **Supprimer le jeton d'accès**.
# Désactiver le provisionnement automatique
Utilisez la procédure suivante pour désactiver le provisionnement automatique dans la console IAM Identity Center.
**Important**
Vous devez supprimer le jeton d'accès avant de commencer cette procédure. Pour de plus amples informations, veuillez consulter [Supprimer un jeton d'accès](delete-token.md).
**Pour désactiver le provisionnement automatique dans la console IAM Identity Center**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, choisissez **Désactiver**.
1. Dans la boîte de dialogue **Désactiver le provisionnement automatique**, passez en revue les informations, tapez **DISABLE**, puis choisissez **Désactiver le provisionnement automatique**.
# Faire pivoter un jeton d'accès
Un annuaire IAM Identity Center prend en charge jusqu'à deux jetons d'accès à la fois. Pour générer un jeton d'accès supplémentaire avant toute rotation, supprimez tous les jetons d'accès expirés ou non utilisés.
Si votre jeton d'accès SCIM est sur le point d'expirer, vous pouvez utiliser la procédure suivante pour faire pivoter un jeton d'accès existant dans la console IAM Identity Center.
**Pour faire pivoter un jeton d'accès**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, notez l'ID du jeton que vous souhaitez faire pivoter.
1. Suivez les étapes décrites [Générer un jeton d'accès](generate-token.md) pour créer un nouveau jeton. Si vous avez déjà créé le nombre maximum de jetons d'accès SCIM, vous devez d'abord supprimer l'un des jetons existants.
1. Accédez au site Web de votre fournisseur d'identité et configurez le nouveau jeton d'accès pour le provisionnement SCIM, puis testez la connectivité à IAM Identity Center à l'aide du nouveau jeton d'accès SCIM. Une fois que vous avez confirmé que le provisionnement fonctionne correctement à l'aide du nouveau jeton, passez à l'étape suivante de cette procédure.
1. Suivez les étapes décrites [Supprimer un jeton d'accès](delete-token.md) pour supprimer l'ancien jeton d'accès que vous avez indiqué précédemment. Vous pouvez également utiliser la date de création du jeton comme indication du jeton à supprimer.
# Auditez et réconciliez les ressources provisionnées automatiquement
SCIM vous permet de provisionner automatiquement des utilisateurs, des groupes et des adhésions à des groupes depuis votre source d'identité vers IAM Identity Center. Ce guide vous aide à vérifier et à réconcilier ces ressources afin de garantir une synchronisation précise.
## Pourquoi auditer vos ressources ?
Un audit régulier permet de garantir que vos contrôles d'accès restent précis et que votre fournisseur d'identité (IdP) reste correctement synchronisé avec IAM Identity Center. Cela est particulièrement important pour la conformité en matière de sécurité et la gestion des accès.
Ressources que vous pouvez auditer :
+ Utilisateurs
+ Groupes
+ Adhésions à des groupes
Vous pouvez utiliser les [commandes AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)ou CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) pour effectuer l'audit et le rapprochement. Les exemples suivants utilisent des AWS CLI commandes. Pour les alternatives à l'API, reportez-vous aux [opérations correspondantes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) dans la *référence de l'API Identity Store*.
## Comment auditer les ressources
Voici des exemples expliquant comment auditer ces ressources à l'aide de AWS CLI commandes.
Avant de commencer, assurez-vous de disposer des éléments suivants :
+ Accès administrateur à IAM Identity Center.
+ AWS CLI installé et configuré. Pour plus d'informations, consultez le [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Autorisations IAM requises pour les commandes Identity Store.
### Étape 1 : Répertorier les ressources actuelles
Vous pouvez consulter vos ressources actuelles à l'aide du AWS CLI.
**Note**
Lorsque vous utilisez le AWS CLI, la pagination est gérée automatiquement, sauf indication contraire de votre part. `--no-paginate` Si vous appelez directement l'API (par exemple, à l'aide d'un SDK ou d'un script personnalisé), gérez-le `NextToken` dans la réponse. Cela vous permet de récupérer tous les résultats sur plusieurs pages.
**Example pour les utilisateurs**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example pour les groupes**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example pour les adhésions à des groupes**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Étape 2 : comparer avec votre source d'identité
Comparez les ressources répertoriées avec votre source d'identité pour identifier les éventuelles incohérences, telles que :
+ Ressources manquantes qui devraient être provisionnées dans IAM Identity Center.
+ Ressources supplémentaires qui devraient être supprimées d'IAM Identity Center.
**Example pour les utilisateurs**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example pour les groupes**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example pour les adhésions à des groupes**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Considérations
+ Les commandes sont soumises à des [quotas de service et à une limitation des API](limits.md#ssothrottlelimits).
+ Lorsque vous constatez de nombreuses différences lors du rapprochement, apportez de petites modifications graduelles à AWS Identity Store. Cela vous permet d'éviter les erreurs qui affectent plusieurs utilisateurs.
+ La synchronisation SCIM peut annuler vos modifications manuelles. Vérifiez les paramètres de votre IdP pour comprendre ce comportement.
## Approvisionnement manuel
Certains IdPs ne sont pas compatibles avec le système de gestion des identités interdomaines (SCIM) ou ont une implémentation SCIM incompatible. Dans ces cas, vous pouvez configurer manuellement les utilisateurs via la console IAM Identity Center. Lorsque vous ajoutez des utilisateurs à IAM Identity Center, assurez-vous que le nom d'utilisateur est identique à celui que vous avez dans votre IdP. Au minimum, vous devez disposer d'une adresse e-mail et d'un nom d'utilisateur uniques. Pour de plus amples informations, veuillez consulter [Unicité du nom d'utilisateur et de l'adresse e-mail](users-groups-provisioning.md#username-email-unique).
Vous devez également gérer tous les groupes manuellement dans IAM Identity Center. Pour ce faire, vous devez créer les groupes et les ajouter à l'aide de la console IAM Identity Center. Ces groupes n'ont pas besoin de correspondre à ce qui existe dans votre IdP. Pour de plus amples informations, veuillez consulter [Groupes](users-groups-provisioning.md#groups-concept).
# Rotation des certificats SAML 2.0
IAM Identity Center utilise des certificats pour établir une relation de confiance SAML entre IAM Identity Center et votre fournisseur d'identité externe (IdP). Lorsque vous ajoutez un IdP externe dans IAM Identity Center, vous devez également obtenir au moins un certificat public SAML 2.0 X.509 auprès de l'IdP externe. Ce certificat est généralement installé automatiquement lors de l'échange de métadonnées IDP SAML lors de la création de la confiance.
En tant qu'administrateur du centre d'identité IAM, vous devrez parfois remplacer les anciens certificats IdP par des certificats plus récents. Par exemple, il se peut que vous deviez remplacer un certificat IdP lorsque la date d'expiration du certificat approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé rotation des certificats.
**Topics**
+ [Faire pivoter un certificat SAML 2.0](rotatesamlcert.md)
+ [Indicateurs du statut d'expiration des certificats](samlcertexpirationindicators.md)
# Faire pivoter un certificat SAML 2.0
Vous devrez peut-être importer des certificats périodiquement afin de remplacer les certificats non valides ou expirés émis par votre fournisseur d'identité. Cela permet d'éviter toute interruption ou interruption de l'authentification. Tous les certificats importés sont automatiquement actifs. Les certificats ne doivent être supprimés qu'après avoir vérifié qu'ils ne sont plus utilisés par le fournisseur d'identité associé.
Vous devez également tenir compte du fait que certains IdPs peuvent ne pas prendre en charge plusieurs certificats. Dans ce cas, le fait d'alterner les certificats avec ces derniers IdPs peut entraîner une interruption de service temporaire pour vos utilisateurs. Le service est rétabli lorsque la confiance avec cet IdP a été rétablie avec succès. Planifiez cette opération avec soin en dehors des heures de pointe si possible.
**Note**
Pour des raisons de sécurité, dès que des signes de compromission ou de mauvaise gestion d'un certificat SAML existant apparaissent, vous devez immédiatement le supprimer et le faire pivoter.
La rotation d'un certificat IAM Identity Center est un processus en plusieurs étapes qui implique les étapes suivantes :
+ Obtenir un nouveau certificat auprès de l'IdP
+ Importation du nouveau certificat dans IAM Identity Center
+ Activation du nouveau certificat dans l'IdP
+ Supprimer l'ancien certificat
Utilisez toutes les procédures suivantes pour terminer le processus de rotation des certificats tout en évitant toute interruption de l'authentification.
**Étape 1 : obtenir un nouveau certificat auprès de l'IdP**
Accédez au site Web de l'IdP et téléchargez leur certificat SAML 2.0. Assurez-vous que le fichier de certificat est téléchargé au format PEM codé. La plupart des fournisseurs vous permettent de créer plusieurs certificats SAML 2.0 dans l'IdP. Il est probable qu'ils soient marqués comme désactivés ou inactifs.
**Étape 2 : Importer le nouveau certificat dans IAM Identity Center**
Utilisez la procédure suivante pour importer le nouveau certificat à l'aide de la console IAM Identity Center.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer l'authentification**.
1. Sur la page **Gérer les certificats SAML 2.0**, choisissez **Importer le certificat**.
1. Dans la boîte de dialogue **Importer un certificat SAML 2.0**, **choisissez Choisir un fichier**, accédez à votre fichier de certificat et sélectionnez-le, puis choisissez **Importer un certificat**.
À ce stade, IAM Identity Center fera confiance à tous les messages SAML entrants signés à partir des deux certificats que vous avez importés.
**Étape 3 : activer le nouveau certificat dans l'IdP**
Retournez sur le site Web de l'IdP et marquez le nouveau certificat que vous avez créé précédemment comme principal ou actif. À ce stade, tous les messages SAML signés par l'IdP doivent utiliser le nouveau certificat.
**Étape 4 : Supprimer l'ancien certificat**
Suivez la procédure ci-dessous pour terminer le processus de rotation des certificats pour votre IdP. Il doit toujours y avoir au moins un certificat valide répertorié, et il ne peut pas être supprimé.
**Note**
Assurez-vous que votre fournisseur d'identité ne signe plus les réponses SAML avec ce certificat avant de le supprimer.
1. Sur la page **Gérer les certificats SAML 2.0**, sélectionnez le certificat que vous souhaitez supprimer. Sélectionnez **Delete (Supprimer)**.
1. Dans la boîte de dialogue **Supprimer le certificat SAML 2.0**, tapez **DELETE** pour confirmer, puis choisissez **Supprimer**.
1. Retournez sur le site Web de l'IdP et effectuez les étapes nécessaires pour supprimer l'ancien certificat inactif.
# Indicateurs du statut d'expiration des certificats
La page **Gérer les certificats SAML 2.0** affiche des icônes d'indicateur de statut colorées dans la colonne **Expire le** jour à côté de chaque certificat de la liste. Ce qui suit décrit les critères utilisés par IAM Identity Center pour déterminer quelle icône est affichée pour chaque certificat.
+ **Rouge** — Indique qu'un certificat a expiré.
+ **Jaune** — Indique qu'un certificat expire dans 90 jours ou moins.
+ **Vert** — Indique qu'un certificat est valide et le reste pendant au moins 90 jours supplémentaires.
**Pour vérifier l'état actuel d'un certificat**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer l'authentification**.
1. Sur la page **Gérer l'authentification SAML 2.0**, sous **Gérer les certificats SAML 2.0**, vérifiez le statut des certificats dans la liste, comme indiqué dans la colonne **Expire le**.
# Microsoft ADannuaire
Avec AWS IAM Identity Center, vous pouvez connecter un annuaire autogéré dans Active Directory (AD) ou un annuaire dans en AWS Managed Microsoft AD utilisant AWS Directory Service. Ce répertoire Microsoft AD définit le pool d'identités que les administrateurs peuvent extraire lorsqu'ils utilisent la console IAM Identity Center pour attribuer un accès par authentification unique. Après avoir connecté votre annuaire d'entreprise à IAM Identity Center, vous pouvez autoriser vos utilisateurs ou groupes AD à accéder aux applications Comptes AWS, ou aux deux.
AWS Directory Service vous permet de configurer et d'exécuter un AWS Managed Microsoft AD répertoire autonome hébergé dans le AWS Cloud. Vous pouvez également l'utiliser Directory Service pour connecter vos AWS ressources à un AD autogéré existant. Pour que AWS Directory Service la configuration fonctionne avec votre AD autogéré, vous devez d'abord établir des relations de confiance afin d'étendre l'authentification au cloud.
IAM Identity Center utilise la connexion fournie par Directory Service pour effectuer une authentification directe sur l'instance AD source. Lorsque vous l'utilisez AWS Managed Microsoft AD comme source d'identité, IAM Identity Center peut travailler avec des utilisateurs depuis AWS Managed Microsoft AD ou vers n'importe quel domaine connecté via un AD Trust. Si vous souhaitez localiser vos utilisateurs dans quatre domaines ou plus, les utilisateurs doivent utiliser la `DOMAIN\user` syntaxe comme nom d'utilisateur lorsqu'ils se connectent à IAM Identity Center.
**Remarques**
Comme étape préalable, assurez-vous que votre AD Connector ou votre répertoire dans AWS Managed Microsoft AD in Directory Service se trouve dans votre compte AWS Organizations de gestion.
IAM Identity Center ne prend pas en charge Simple AD basé sur SAMBA 4 en tant qu'annuaire connecté.
IAM Identity Center ne peut pas synchroniser les principes de sécurité étrangers ()FSPs. Si un groupe AWS Managed Microsoft AD contient des membres d'un domaine approuvé FSPs, ces membres ne seront pas synchronisés.
Pour une démonstration du processus d'utilisation d'Active Directory comme source d'identité pour IAM Identity Center, regardez la YouTube vidéo suivante :
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)
## Considérations relatives à l'utilisation d'Active Directory
Si vous souhaitez utiliser Active Directory comme source d'identité, votre configuration doit répondre aux conditions préalables suivantes :
+ Si vous utilisez AWS Managed Microsoft AD, vous devez activer IAM Identity Center dans le même Région AWS endroit où votre AWS Managed Microsoft AD annuaire est configuré. IAM Identity Center stocke les données d'attribution dans la même région que le répertoire. Pour administrer IAM Identity Center, vous devrez peut-être passer à la région dans laquelle IAM Identity Center est configuré. Notez également que le portail AWS d'accès utilise la même URL d'accès que votre annuaire.
+ Utilisez un Active Directory résidant dans le compte de gestion :
Vous devez disposer d'un AD Connector ou d'un AWS Managed Microsoft AD annuaire AD Connector existant dans votre compte de gestion AWS Directory Service, et celui-ci doit résider dans votre compte AWS Organizations de gestion. Vous ne pouvez connecter qu'un seul répertoire AD Connector ou un seul annuaire AWS Managed Microsoft AD à la fois. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez AWS Managed Microsoft AD. Pour en savoir plus, consultez :
+ [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md)
+ [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md)
+ Utilisez un Active Directory résidant dans le compte administrateur délégué :
Si vous envisagez d'activer l'administrateur délégué d'IAM Identity Center et d'utiliser Active Directory comme source d'identité IAM Identity Center, vous pouvez utiliser un connecteur AD Connector ou un AWS Managed Microsoft AD annuaire existant configuré dans AWS Directory résidant dans le compte d'administrateur délégué.
Si vous décidez de remplacer la source d'identité d'IAM Identity Center par une autre source par Active Directory, ou de passer d'Active Directory à une autre source, le répertoire doit résider (appartenir à) le compte membre administrateur délégué d'IAM Identity Center, s'il en existe un ; sinon, il doit figurer dans le compte de gestion.
# Connectez Active Directory et spécifiez un utilisateur
Si vous utilisez déjà Active Directory, les rubriques suivantes vous aideront à préparer la connexion de votre annuaire à IAM Identity Center.
Vous pouvez connecter un AWS Managed Microsoft AD annuaire ou un annuaire autogéré dans Active Directory avec IAM Identity Center.
**Note**
IAM Identity Center ne prend pas en charge SAMBA4 Simple AD en tant que source d'identité.
**AWS Managed Microsoft AD**
1. Consultez les directives dans[Microsoft ADannuaire](manage-your-identity-source-ad.md).
1. Suivez les étapes de [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md).
1. Configurez Active Directory pour synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Synchroniser un utilisateur administratif dans IAM Identity Center](#sync-admin-user-from-ad).
**Annuaire autogéré dans Active Directory**
1. Consultez les directives dans[Microsoft ADannuaire](manage-your-identity-source-ad.md).
1. Suivez les étapes de [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md).
1. Configurez Active Directory pour synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Synchroniser un utilisateur administratif dans IAM Identity Center](#sync-admin-user-from-ad).
**IdP externe**
1. Consultez les directives dans[Fournisseurs d'identité externes](manage-your-identity-source-idp.md).
1. Suivez les étapes de [Comment se connecter à un fournisseur d'identité externe](how-to-connect-idp.md).
1.
Configurez votre IdP pour connecter les utilisateurs à IAM Identity Center.
**Note**
Avant de configurer le provisionnement automatique par groupe de toutes les identités de votre personnel, depuis votre IdP vers IAM Identity Center, nous vous recommandons de synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives dans IAM Identity Center.
## Synchroniser un utilisateur administratif dans IAM Identity Center
Après avoir connecté votre Active Directory à IAM Identity Center, vous pouvez spécifier un utilisateur auquel vous souhaitez accorder des autorisations administratives, puis synchroniser cet utilisateur depuis votre annuaire avec IAM Identity Center.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Utilisateurs**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.
1. Dans l'onglet **Utilisateurs**, sous **Utilisateur**, entrez le nom d'utilisateur exact et choisissez **Ajouter**.
1. Sous **Utilisateurs et groupes ajoutés**, procédez comme suit :
1. Vérifiez que l'utilisateur auquel vous souhaitez accorder des autorisations administratives est spécifié.
1. Cochez la case située à gauche du nom d'utilisateur.
1. Sélectionnez **Soumettre**.
1. Sur la page **Gérer la synchronisation**, l'utilisateur que vous avez spécifié apparaît dans la liste **Utilisateurs synchronisés**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Sur la page **Utilisateurs**, l'utilisateur que vous avez spécifié peut mettre un certain temps à apparaître dans la liste. Cliquez sur l'icône d'actualisation pour mettre à jour la liste des utilisateurs.
À ce stade, votre utilisateur n'a pas accès au compte de gestion. Vous allez configurer l'accès administratif à ce compte en créant un ensemble d'autorisations administratives et en affectant l'utilisateur à cet ensemble d'autorisations. Pour de plus amples informations, veuillez consulter [Crée un jeu d'autorisations](howtocreatepermissionset.md).
## Provisionnement lorsque les utilisateurs proviennent d'Active Directory
IAM Identity Center utilise la connexion fournie par le Directory Service pour synchroniser les informations relatives aux utilisateurs, aux groupes et aux membres entre votre répertoire source dans Active Directory et le magasin d'identités IAM Identity Center. Aucune information de mot de passe n'est synchronisée avec IAM Identity Center, car l'authentification des utilisateurs s'effectue directement depuis le répertoire source dans Active Directory. Ces données d'identité sont utilisées par les applications pour faciliter les scénarios de recherche, d'autorisation et de collaboration intégrés à l'application sans renvoyer l'activité LDAP au répertoire source dans Active Directory.
Pour plus d'informations ci-dessus sur le provisionnement, consultez[Provisionnement d'utilisateurs et de groupes](users-groups-provisioning.md#user-group-provision).
**Topics**
+ [Considérations relatives à l'utilisation d'Active Directory](#considerations-ad-identitysource)
+ [Connectez Active Directory et spécifiez un utilisateur](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Provisionnement lorsque les utilisateurs proviennent d'Active Directory](#provision-users-from-ad)
+ [Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center](connectawsad.md)
+ [Connectez un annuaire autogéré dans Active Directory à IAM Identity Center](connectonpremad.md)
+ [Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md)
+ [Synchronisation AD configurable par IAM Identity Center](provision-users-from-ad-configurable-ADsync.md)
# Connecter un annuaire AWS Managed Microsoft AD à IAM Identity Center
Utilisez la procédure suivante pour connecter un répertoire géré par AWS Directory Service à IAM Identity Center. AWS Managed Microsoft AD
**Pour vous connecter AWS Managed Microsoft AD à IAM Identity Center**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**Note**
Assurez-vous que la console IAM Identity Center utilise l'une des régions dans lesquelles se trouve votre AWS Managed Microsoft AD répertoire avant de passer à l'étape suivante.
1. Cliquez sur **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Modifier la source d'identité**.
1. Sous **Choisir une source d'identité**, sélectionnez **Active Directory**, puis cliquez sur **Suivant**.
1. Sous **Connect Active Directory**, choisissez un répertoire dans la AWS Managed Microsoft AD liste, puis cliquez sur **Next**.
1. Sous **Confirmer la modification**, passez en revue les informations et lorsque vous êtes prêt, tapez **ACCEPT**, puis choisissez **Modifier la source d'identité**.
**Important**
Pour spécifier un utilisateur dans Active Directory en tant qu'utilisateur administratif dans IAM Identity Center, vous devez d'abord synchroniser l'utilisateur auquel vous souhaitez accorder des autorisations administratives depuis Active Directory vers IAM Identity Center. Pour ce faire, suivez les étapes de [Synchroniser un utilisateur administratif dans IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
# Connectez un annuaire autogéré dans Active Directory à IAM Identity Center
Les utilisateurs de votre annuaire autogéré dans Active Directory (AD) peuvent également accéder par authentification unique au portail d'accès Comptes AWS et aux applications qui s' AWS y trouvent. Pour configurer l'accès à authentification unique pour ces utilisateurs, vous pouvez effectuer l'une des opérations suivantes :
+ **Création d'une relation de confiance bidirectionnelle** : lorsque des relations de confiance bidirectionnelles sont créées entre AWS Managed Microsoft AD et un annuaire autogéré dans AD, les utilisateurs de votre annuaire autogéré dans AD peuvent se connecter avec leurs informations d'identification d'entreprise à divers AWS services et applications métier. Les approbations unidirectionnelles ne fonctionnent pas avec IAM Identity Center.
AWS IAM Identity Center nécessite une confiance bidirectionnelle afin d'être autorisé à lire les informations relatives aux utilisateurs et aux groupes de votre domaine afin de synchroniser les métadonnées des utilisateurs et des groupes. IAM Identity Center utilise ces métadonnées pour attribuer l'accès à des ensembles d'autorisations ou à des applications. Les métadonnées des utilisateurs et des groupes sont également utilisées par les applications à des fins de collaboration, par exemple lorsque vous partagez un tableau de bord avec un autre utilisateur ou un autre groupe. La confiance accordée par Directory Service Microsoft Active Directory à votre domaine permet à IAM Identity Center de faire confiance à votre domaine pour l'authentification. La confiance dans le sens opposé accorde des AWS autorisations pour lire les métadonnées des utilisateurs et des groupes.
Pour plus d'informations sur la configuration d'une confiance bidirectionnelle, voir [Quand créer une relation de confiance](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) dans le *Guide d'AWS Directory Service administration*.
**Note**
Pour utiliser AWS des applications, telles que IAM Identity Center, pour lire les utilisateurs de l' Directory Service annuaire provenant de domaines approuvés, les Directory Service comptes doivent disposer d'autorisations sur l' userAccountControlattribut associé aux utilisateurs de confiance. Sans autorisations de lecture pour cet attribut, AWS les applications ne sont pas en mesure de déterminer si le compte est activé ou désactivé.
L'accès en lecture à cet attribut est fourni par défaut lorsqu'une approbation est créée. Si vous refusez l'accès à cet attribut (ce n'est pas recommandé), vous empêcherez des applications telles qu'Identity Center de lire les utilisateurs fiables. La solution consiste à autoriser spécifiquement l'accès en lecture à l'`userAccountControl`attribut sur les comptes de AWS service sous l'unité d'organisation AWS réservée (préfixée par AWS\$1).
+ **Création d'un AD Connector** — AD Connector est une passerelle d'annuaire qui peut rediriger les demandes d'annuaire vers votre AD autogéré sans mettre en cache aucune information dans le cloud. Pour plus d'informations, voir [Connect to a Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) dans le *Guide AWS Directory Service d'administration*. Les points suivants doivent être pris en compte lors de l'utilisation d'AD Connector :
+ Si vous connectez IAM Identity Center à un annuaire AD Connector, toute future réinitialisation du mot de passe utilisateur devra être effectuée depuis AD. Cela signifie que les utilisateurs ne pourront pas réinitialiser leur mot de passe depuis le portail AWS d'accès.
+ Si vous utilisez AD Connector pour connecter votre service de domaine Active Directory à IAM Identity Center, IAM Identity Center n'a accès qu'aux utilisateurs et aux groupes du domaine unique auquel AD Connector est attaché. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez Directory Service Microsoft Active Directory.
**Note**
IAM Identity Center ne fonctionne pas avec les annuaires Simple AD SAMBA4 basés sur Simple AD.
# Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes
Les mappages d'attributs sont utilisés pour mapper les types d'attributs qui existent dans IAM Identity Center avec des attributs similaires dans votre source d'identité externeGoogle Workspace, tels queMicrosoft Active Directory (AD), et. Okta IAM Identity Center extrait les attributs utilisateur de votre source d'identité et les associe aux attributs utilisateur IAM Identity Center.
Si votre centre d'identité IAM est synchronisé pour utiliser un **fournisseur d'identité externe** (IdP), par exemple Google WorkspaceOkta, ou Ping comme source d'identité, vous devrez mapper vos attributs dans votre IdP.
IAM Identity Center préremplit un ensemble d'attributs pour vous sous l'onglet **Mappages d'**attributs situé sur sa page de configuration. IAM Identity Center utilise ces attributs utilisateur pour remplir les assertions SAML (sous forme d'attributs SAML) qui sont envoyées à l'application. Ces attributs utilisateur sont à leur tour extraits de votre source d'identité. Chaque application détermine la liste des attributs SAML 2.0 dont elle a besoin pour une authentification unique réussie. Pour de plus amples informations, veuillez consulter [Associez les attributs de votre application aux attributs d'IAM Identity Center](mapawsssoattributestoapp.md).
IAM Identity Center gère également un ensemble d'attributs pour vous dans la section **Mappages d'attributs** de votre **page de configuration Active Directory** si vous utilisez Active Directory comme source d'identité. Pour de plus amples informations, veuillez consulter [Mappage des attributs utilisateur entre IAM Identity Center et Microsoft AD l'annuaire](mapssoattributestocdattributes.md).
## Attributs du fournisseur d'identité externe pris en charge
Le tableau suivant répertorie tous les attributs de fournisseur d'identité (IdP) externes pris en charge et pouvant être mappés aux attributs que vous pouvez utiliser lors de la configuration [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) dans IAM Identity Center. Lorsque vous utilisez des assertions SAML, vous pouvez utiliser les attributs pris en charge par votre IdP.
****
| Attributs pris en charge dans votre IdP |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## Mappages par défaut entre IAM Identity Center et Microsoft AD
Le tableau suivant répertorie les mappages par défaut des attributs utilisateur dans IAM Identity Center avec les attributs utilisateur de votre Microsoft AD annuaire. IAM Identity Center prend uniquement en charge la liste des attributs de l'**attribut Utilisateur dans la colonne IAM Identity Center**.
****
| Attribut utilisateur dans IAM Identity Center | Correspond à cet attribut dans votre Active Directory |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 L'attribut e-mail dans IAM Identity Center doit être unique dans l'annuaire.
****
| Attribut de groupe dans IAM Identity Center | Correspond à cet attribut dans votre Active Directory |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**Considérations**
+ Si vous n'avez aucune attribution pour vos utilisateurs et groupes dans IAM Identity Center lorsque vous activez la synchronisation AD configurable, les mappages par défaut des tableaux précédents sont utilisés. Pour plus d'informations sur la personnalisation de ces mappages, consultez[Configurez les mappages d'attributs pour votre synchronisation](manage-sync-configure-attribute-mapping-configurable-ADsync.md).
+ Certains attributs d'IAM Identity Center ne peuvent pas être modifiés car ils sont immuables et mappés par défaut à des attributs d'annuaire Microsoft AD spécifiques.
Par exemple, « nom d'utilisateur » est un attribut obligatoire dans IAM Identity Center. Si vous associez « nom d'utilisateur » à un attribut d'annuaire AD avec une valeur vide, IAM Identity Center considérera cette `windowsUpn` valeur comme valeur par défaut pour « nom d'utilisateur ». Si vous souhaitez modifier le mappage d'attributs pour « nom d'utilisateur » par rapport à votre mappage actuel, vérifiez que les flux IAM Identity Center dépendants du « nom d'utilisateur » continueront de fonctionner comme prévu, avant d'effectuer la modification.
## Microsoft ADAttributs pris en charge pour IAM Identity Center
Le tableau suivant répertorie tous les attributs d'Microsoft ADannuaire pris en charge et pouvant être mappés aux attributs utilisateur dans IAM Identity Center.
****
| Attributs pris en charge dans votre annuaire Microsoft AD |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**Considérations**
+ Vous pouvez spécifier n'importe quelle combinaison d'attributs d'Microsoft ADannuaire pris en charge à mapper à un seul attribut mutable dans IAM Identity Center.
## Attributs IAM Identity Center pris en charge pour Microsoft AD
Le tableau suivant répertorie tous les attributs IAM Identity Center pris en charge et pouvant être mappés aux attributs utilisateur de votre Microsoft AD annuaire. Après avoir configuré les mappages d'attributs de votre application, vous pouvez utiliser ces mêmes attributs IAM Identity Center pour les mapper aux attributs réels utilisés par cette application.
****
| Attributs pris en charge dans IAM Identity Center pour Active Directory |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |
# Mappage des attributs utilisateur entre IAM Identity Center et Microsoft AD l'annuaire
Vous pouvez utiliser la procédure suivante pour spécifier la manière dont vos attributs utilisateur dans IAM Identity Center doivent correspondre aux attributs correspondants dans votre Microsoft AD annuaire.
**Pour associer les attributs d'IAM Identity Center aux attributs de votre annuaire**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Attributs pour le contrôle d'accès**, puis sélectionnez **Gérer les attributs**.
1. Sur la page **Gérer l'attribut pour le contrôle d'accès**, recherchez l'attribut que vous souhaitez mapper dans IAM Identity Center, puis tapez une valeur dans la zone de texte. Par exemple, vous souhaiterez peut-être mapper l'attribut utilisateur IAM Identity Center **`email`**à l'attribut d'annuaire Microsoft AD. **`${mail}`**
1. Sélectionnez **Enregistrer les modifications**.
# Synchronisation AD configurable par IAM Identity Center
La synchronisation Active Directory (AD) configurable par IAM Identity Center vous permet de configurer explicitement les identités dans Microsoft Active Directory qui sont automatiquement synchronisées dans IAM Identity Center et de contrôler le processus de synchronisation.
+ Avec cette méthode de synchronisation, vous pouvez effectuer les opérations suivantes :
+ Contrôlez les limites des données en définissant explicitement les utilisateurs et les groupes dans Microsoft Active Directory qui sont automatiquement synchronisés dans IAM Identity Center. Vous pouvez [ajouter des utilisateurs et des groupes](manage-sync-add-users-groups-configurable-ADsync.md) ou [supprimer des utilisateurs et des groupes](manage-sync-remove-users-groups-configurable-ADsync.md) pour modifier l'étendue de la synchronisation à tout moment.
+ Attribuez aux utilisateurs et aux groupes synchronisés un [accès](useraccess.md) par authentification unique Comptes AWS ou un [accès aux applications](assignuserstoapp.md). Les applications peuvent être des applications AWS gérées ou des applications gérées par le client.
+ Contrôlez le processus de synchronisation en [interrompant et en reprenant la synchronisation selon les besoins](manage-sync-pause-resume-sync-configurable-ADsync.md). Cela vous permet de réguler la charge sur les systèmes de production.
## Prérequis et considérations
Avant d'utiliser la synchronisation AD configurable, tenez compte des conditions préalables et des considérations suivantes :
+ **Spécification des utilisateurs et des groupes à synchroniser dans Active Directory**
Avant de pouvoir utiliser IAM Identity Center pour attribuer à de nouveaux utilisateurs et groupes l'accès à Comptes AWS des applications AWS gérées ou à des applications gérées par le client, vous devez spécifier les utilisateurs et les groupes à synchroniser dans Active Directory, puis les synchroniser dans IAM Identity Center.
+ **Synchronisation AD configurable** : IAM Identity Center ne recherche pas directement les utilisateurs et les groupes dans votre contrôleur de domaine. Au lieu de cela, vous devez d'abord spécifier la liste des utilisateurs et des groupes à synchroniser. Vous pouvez configurer cette liste, également appelée *étendue de synchronisation*, de l'une des manières suivantes, selon que vous avez des utilisateurs et des groupes déjà synchronisés dans IAM Identity Center ou que vous avez de nouveaux utilisateurs et groupes que vous synchronisez pour la première fois à l'aide de la synchronisation AD configurable.
+ Utilisateurs et groupes existants : si certains de vos utilisateurs et groupes sont déjà synchronisés dans IAM Identity Center, l'étendue de synchronisation dans la synchronisation AD configurable est préremplie avec une liste de ces utilisateurs et groupes. Pour attribuer de nouveaux utilisateurs ou groupes, vous devez les ajouter spécifiquement à la zone de synchronisation. Pour de plus amples informations, veuillez consulter [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md).
+ Nouveaux utilisateurs et groupes : si vous souhaitez attribuer à de nouveaux utilisateurs et groupes l'accès aux Comptes AWS applications, vous devez spécifier les utilisateurs et les groupes à ajouter à l'étendue de synchronisation dans AD Sync configurable avant de pouvoir utiliser IAM Identity Center pour effectuer l'attribution. Pour de plus amples informations, veuillez consulter [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Attribuer des attributions à des groupes imbriqués dans Active Directory**
Les groupes membres d'autres groupes sont appelés groupes *imbriqués (ou groupes* d'enfants).
+ **Synchronisation AD configurable** : l'utilisation de la synchronisation AD configurable pour attribuer des attributions à un groupe dans Active Directory contenant des groupes imbriqués peut augmenter le nombre d'utilisateurs ayant accès aux applications Comptes AWS ou à celles-ci. Dans ce cas, l'attribution s'applique à tous les utilisateurs, y compris ceux des groupes imbriqués. Par exemple, si vous accordez l'accès au groupe A et que le groupe B est membre du groupe A, les membres du groupe B héritent également de cet accès.
+ **Mise à jour des workflows automatisés**
Si vous avez des flux de travail automatisés qui utilisent les actions de l'API du magasin d'identités IAM Identity Center et les actions de l'API d'attribution d'IAM Identity Center pour attribuer aux nouveaux utilisateurs et groupes l'accès aux comptes et aux applications, et pour les synchroniser dans IAM Identity Center, vous devez ajuster ces flux de travail avant le 15 avril 2022 afin qu'ils fonctionnent comme prévu avec la synchronisation AD configurable. La synchronisation AD configurable modifie l'ordre dans lequel l'attribution et le provisionnement des utilisateurs et des groupes ont lieu, ainsi que la manière dont les requêtes sont effectuées.
+ **Synchronisation AD configurable** : le provisionnement a lieu en premier et n'est pas effectué automatiquement. Au lieu de cela, vous devez d'abord ajouter explicitement des utilisateurs et des groupes au magasin d'identités en les ajoutant à votre étendue de synchronisation. Pour plus d'informations sur les étapes recommandées pour automatiser votre configuration de synchronisation pour une synchronisation AD configurable, consultez[Automatisez votre configuration de synchronisation pour une synchronisation AD configurable](automate-sync-configuration-configurable-ADsync.md).
**Topics**
+ [Prérequis et considérations](#prerequisites-configurable-ADsync)
+ [Comment fonctionne la synchronisation AD configurable](how-it-works-configurable-ADsync.md)
+ [Configurez les mappages d'attributs pour votre synchronisation](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Configuration de la première synchronisation entre Active Directory et IAM Identity Center](manage-sync-configurable-ADsync.md)
+ [Ajoutez des utilisateurs et des groupes à votre zone de synchronisation](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Supprimer des utilisateurs et des groupes de votre zone de synchronisation](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Pause et reprise de la synchronisation](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatisez votre configuration de synchronisation pour une synchronisation AD configurable](automate-sync-configuration-configurable-ADsync.md)
# Comment fonctionne la synchronisation AD configurable
IAM Identity Center actualise les données d'identité basées sur la publicité dans le magasin d'identités en utilisant le processus suivant. Pour en savoir plus sur les prérequis, consultez[Prérequis et considérations](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync).
## Création
Après avoir connecté votre annuaire autogéré dans Active Directory ou votre AWS Managed Microsoft AD annuaire géré par Directory Service IAM Identity Center, vous pouvez configurer de manière explicite les utilisateurs et les groupes Active Directory que vous souhaitez synchroniser dans le magasin d'identités IAM Identity Center. Les identités que vous choisissez seront synchronisées toutes les trois heures environ dans le magasin d'identités IAM Identity Center. Selon la taille de votre répertoire, le processus de synchronisation peut prendre plus de temps.
Les groupes membres d'autres groupes (appelés groupes *imbriqués ou groupes* *enfants*) sont également enregistrés dans le magasin d'identités.
Vous ne pouvez attribuer l'accès à de nouveaux utilisateurs ou groupes qu'après leur synchronisation dans la banque d'identités IAM Identity Center.
## Mettre à jour
Les données d'identité de la banque d'identités d'IAM Identity Center restent actualisées en lisant régulièrement les données du répertoire source dans Active Directory. IAM Identity Center synchronise les données de votre Active Directory toutes les heures selon un cycle de synchronisation par défaut. La synchronisation des données dans IAM Identity Center peut prendre entre 30 minutes et 2 heures, en fonction de la taille de votre Active Directory.
Les objets d'utilisateur et de groupe inclus dans la zone de synchronisation et leurs appartenances sont créés ou mis à jour dans IAM Identity Center pour être mappés aux objets correspondants dans le répertoire source d'Active Directory. Pour les attributs utilisateur, seul le sous-ensemble d'attributs répertorié dans la section **Attributs pour le contrôle d'accès** de la console IAM Identity Center est mis à jour dans IAM Identity Center. Un cycle de synchronisation peut être nécessaire pour que les mises à jour d'attributs que vous effectuez dans Active Directory soient répercutées dans IAM Identity Center.
Vous pouvez également mettre à jour le sous-ensemble d'utilisateurs et de groupes que vous synchronisez dans la banque d'identités IAM Identity Center. Vous pouvez choisir d'ajouter de nouveaux utilisateurs ou groupes à ce sous-ensemble ou de les supprimer. Toutes les identités que vous ajoutez sont synchronisées lors de la prochaine synchronisation planifiée. Les identités que vous supprimez du sous-ensemble ne seront plus mises à jour dans la banque d'identités IAM Identity Center. Tout utilisateur qui n'est pas synchronisé pendant plus de 28 jours sera désactivé dans la banque d'identités IAM Identity Center. Les objets utilisateur correspondants seront automatiquement désactivés dans la banque d'identités IAM Identity Center lors du prochain cycle de synchronisation, sauf s'ils font partie d'un autre groupe qui fait toujours partie de la zone de synchronisation.
## Suppression
Les utilisateurs et les groupes sont supprimés de la banque d'identités IAM Identity Center lorsque les objets d'utilisateur ou de groupe correspondants sont supprimés du répertoire source dans Active Directory. Vous pouvez également supprimer explicitement des objets utilisateur de la banque d'identités IAM Identity Center à l'aide de la console IAM Identity Center. Si vous utilisez la console IAM Identity Center, vous devez également supprimer les utilisateurs de la zone de synchronisation afin de vous assurer qu'ils ne seront pas resynchronisés dans IAM Identity Center lors du prochain cycle de synchronisation.
Vous pouvez également suspendre et relancer la synchronisation à tout moment. Si vous suspendez la synchronisation pendant plus de 28 jours, tous vos utilisateurs seront désactivés.
# Configurez les mappages d'attributs pour votre synchronisation
Pour plus d'informations sur les attributs disponibles, consultez[Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md).
**Pour configurer les mappages d'attributs dans IAM Identity Center avec votre annuaire**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sous **Gérer la synchronisation**, choisissez **Afficher le mappage des attributs**.
1. Sous **Attributs utilisateur Active Directory, configurez les attributs** du **magasin d'identités IAM Identity Center et les attributs** **utilisateur Active Directory**. Par exemple, vous souhaiterez peut-être mapper l'attribut de banque d'identités IAM Identity Center `email` à l'attribut d'annuaire des utilisateurs Active Directory. `${objectguid}`
**Note**
Sous Attributs de **groupe, les attributs** de **banque d'identités IAM Identity Center et les attributs** de **groupe Active Directory** ne peuvent pas être modifiés.
1. Sélectionnez **Enregistrer les modifications**. Cela vous ramène à la page **Gérer la synchronisation**.
# Configuration de la première synchronisation entre Active Directory et IAM Identity Center
Si vous synchronisez vos utilisateurs et groupes depuis Active Directory vers IAM Identity Center pour la première fois, procédez comme suit. Vous pouvez également suivre les étapes décrites dans la section [Modifier la source de votre identité](manage-your-identity-source-change.md) pour modifier votre source d'identité d'IAM Identity Center à Active Directory.
## Configuration guidée
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**Note**
Assurez-vous que la console IAM Identity Center utilise l'un des emplacements Régions AWS où se trouve votre AWS Managed Microsoft AD répertoire avant de passer à l'étape suivante.
1. Cliquez sur **Paramètres**.
1. En haut de la page, dans le message de notification, choisissez **Démarrer la configuration guidée**.
1. À l'**étape 1, *facultatif* : configurez les mappages d'attributs, passez en revue les mappages** d'attributs par défaut pour les utilisateurs et les groupes. Si aucune modification n'est requise, choisissez **Next**. Si des modifications sont nécessaires, apportez-les, puis choisissez **Enregistrer les modifications**.
1. À **l'étape 2, *facultatif* : configurer l'étendue de la synchronisation**, cliquez sur l'onglet **Utilisateurs**. Entrez ensuite le nom d'utilisateur exact de l'utilisateur que vous souhaitez ajouter à votre étendue de synchronisation et choisissez **Ajouter**. Ensuite, choisissez l'onglet **Groupes**. Entrez le nom exact du groupe que vous souhaitez ajouter à votre étendue de synchronisation et choisissez **Ajouter**. Ensuite, choisissez **Suivant**. Si vous souhaitez ajouter des utilisateurs et des groupes à votre zone de synchronisation ultérieurement, n'apportez aucune modification et choisissez **Next**.
1. Dans **Étape 3 : Vérifiez et enregistrez la configuration**, confirmez vos **mappages d'attributs** dans **Étape 1 : Mappages d'attributs** et vos **utilisateurs et groupes** dans **Étape 2 : Étendue de synchronisation**. Choisissez **Save configuration**. Cela vous amène à la page **Gérer la synchronisation**.
# Ajoutez des utilisateurs et des groupes à votre zone de synchronisation
**Note**
Lorsque vous ajoutez des groupes à votre zone de synchronisation, synchronisez les groupes directement à partir du domaine local approuvé plutôt qu'à partir des groupes du AWS Managed Microsoft AD domaine. Les groupes synchronisés directement depuis le domaine sécurisé contiennent des objets utilisateur réels auxquels IAM Identity Center peut accéder et synchroniser avec succès.
Ajoutez vos utilisateurs et groupes Active Directory à IAM Identity Center en suivant ces étapes.
**Pour ajouter des utilisateurs**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Utilisateurs**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.
1. Dans l'onglet **Utilisateurs**, sous **Utilisateur**, entrez le nom d'utilisateur exact et choisissez **Ajouter**.
1. Sous **Utilisateurs et groupes ajoutés**, passez en revue l'utilisateur que vous souhaitez ajouter.
1. Sélectionnez **Soumettre**.
1. Dans le panneau de navigation, choisissez **utilisateurs**. Si l'utilisateur que vous avez spécifié n'apparaît pas dans la liste, cliquez sur l'icône d'actualisation pour mettre à jour la liste des utilisateurs.
**Pour ajouter des groupes**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sur la page **Gérer la synchronisation**, choisissez l'onglet **Groupes**, puis sélectionnez **Ajouter des utilisateurs et des groupes**.
1. Cliquez sur l'onglet **Groups (Groupes)**. Sous **Groupe**, entrez le nom exact du groupe et choisissez **Ajouter**.
1. Sous **Utilisateurs et groupes ajoutés**, passez en revue le groupe que vous souhaitez ajouter.
1. Sélectionnez **Soumettre**.
1. Dans le panneau de navigation, choisissez **Groupes **. Si le groupe que vous avez spécifié n'apparaît pas dans la liste, cliquez sur l'icône d'actualisation pour mettre à jour la liste des groupes.
# Supprimer des utilisateurs et des groupes de votre zone de synchronisation
Pour plus d'informations sur ce qui se passe lorsque vous supprimez des utilisateurs et des groupes de votre zone de synchronisation, consultez[Comment fonctionne la synchronisation AD configurable](how-it-works-configurable-ADsync.md).
**Pour supprimer des utilisateurs**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sélectionnez l’onglet **Utilisateurs**.
1. Sous **Utilisateurs synchronisés,** cochez la case à côté de l'utilisateur que vous souhaitez supprimer. Pour supprimer tous les utilisateurs, cochez la case à côté de **Nom d'utilisateur**.
1. Cliquez sur **Supprimer**.
**Pour supprimer des groupes**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Cliquez sur l'onglet **Groups (Groupes)**.
1. Sous **Groupes dans l'étendue de synchronisation**, cochez la case à côté de l'utilisateur que vous souhaitez supprimer. Pour supprimer tous les groupes, cochez la case à côté **du nom du groupe**.
1. Cliquez sur **Supprimer**.
# Pause et reprise de la synchronisation
La suspension de votre synchronisation interrompt tous les futurs cycles de synchronisation et empêche que les modifications que vous apportez aux utilisateurs et aux groupes dans Active Directory ne soient reflétées dans IAM Identity Center. Lorsque vous reprenez la synchronisation, le cycle de synchronisation prend en compte ces modifications lors de la prochaine synchronisation planifiée.
**Pour suspendre votre synchronisation**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sous **Gérer la synchronisation**, choisissez **Suspendre la synchronisation**.
**Pour reprendre votre synchronisation**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, sélectionnez **Actions**, puis sélectionnez **Gérer la synchronisation**.
1. Sous **Gérer la synchronisation**, choisissez **Reprendre la synchronisation**.
**Note**
Si vous voyez **Suspendre la synchronisation** au lieu de **Reprendre la synchronisation**, la synchronisation entre Active Directory et IAM Identity Center a déjà repris.
# Automatisez votre configuration de synchronisation pour une synchronisation AD configurable
Pour garantir que votre flux de travail automatisé fonctionne comme prévu avec la synchronisation AD configurable, nous vous recommandons de suivre les étapes suivantes pour automatiser la configuration de votre synchronisation.
**Pour automatiser votre configuration de synchronisation pour une synchronisation AD configurable**
1. Dans Active Directory, créez un *groupe de synchronisation parent* contenant tous les utilisateurs et groupes que vous souhaitez synchroniser dans IAM Identity Center. Par exemple, vous pouvez donner un nom au groupe *IAMIdentityCenterAllUsersAndGroups*.
1. Dans IAM Identity Center, ajoutez le groupe de synchronisation parent à votre liste de synchronisation configurable. IAM Identity Center synchronisera tous les utilisateurs, groupes, sous-groupes et membres de tous les groupes contenus dans le groupe de synchronisation parent.
1. Utilisez les actions de l'API de gestion des utilisateurs et des groupes Active Directory fournies par Microsoft pour ajouter ou supprimer des utilisateurs et des groupes du groupe de synchronisation parent.