Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation d'applications dotées d'un émetteur de jetons fiable
<a name="using-apps-with-trusted-token-issuer"></a>

Les émetteurs de jetons fiables vous permettent d'utiliser la propagation d'identité fiable avec des applications qui s'authentifient en dehors de. AWS Avec des émetteurs de jetons fiables, vous pouvez autoriser ces applications à faire des demandes d'accès aux applications AWS gérées au nom de leurs utilisateurs.

Les rubriques suivantes décrivent le fonctionnement des émetteurs de jetons fiables et fournissent des conseils de configuration.

**Topics**
+ [Vue d'ensemble des émetteurs de jetons fiables](#trusted-token-issuer-overview)
+ [Conditions préalables et considérations pour les émetteurs de jetons fiables](#trusted-token-issuer-prerequisites)
+ [Détails de la réclamation de JTI](#trusted-token-issuer-configuration-jti-claim)
+ [Paramètres de configuration des émetteurs de jetons fiables](trusted-token-issuer-configuration-settings.md)
+ [Configuration d'un émetteur de jetons de confiance](setuptrustedtokenissuer.md)
+ [Sessions de rôles IAM améliorées](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)

## Vue d'ensemble des émetteurs de jetons fiables
<a name="trusted-token-issuer-overview"></a>

La propagation d'identités fiables fournit un mécanisme qui permet aux applications qui s'authentifient AWS à l'extérieur de faire des demandes au nom de leurs utilisateurs en utilisant un émetteur de jetons fiable. Un *émetteur de jetons de confiance* est un serveur d'autorisation OAuth 2.0 qui crée des jetons signés. Ces jetons autorisent les applications qui lancent des demandes (demandes d'applications) pour accéder à Services AWS(recevoir des applications). Les applications demandeuses lancent des demandes d'accès au nom des utilisateurs authentifiés par l'émetteur de jetons de confiance. Les utilisateurs sont connus à la fois de l'émetteur du jeton sécurisé et de l'IAM Identity Center. 

Services AWS qui reçoivent des demandes gèrent l'autorisation précise de leurs ressources en fonction de leurs utilisateurs et de leur appartenance à un groupe, comme indiqué dans le répertoire Identity Center. Services AWS ne peut pas utiliser directement les jetons provenant de l'émetteur de jetons externe.

Pour résoudre ce problème, IAM Identity Center fournit à l'application demandeuse, ou à un AWS pilote utilisé par l'application demandeuse, un moyen d'échanger le jeton émis par l'émetteur du jeton approuvé contre un jeton généré par IAM Identity Center. Le jeton généré par IAM Identity Center fait référence à l'utilisateur IAM Identity Center correspondant. L'application demandeuse, ou le pilote, utilise le nouveau jeton pour lancer une demande à l'application réceptrice. Étant donné que le nouveau jeton fait référence à l'utilisateur correspondant dans IAM Identity Center, l'application réceptrice peut autoriser l'accès demandé en fonction de l'utilisateur ou de son appartenance à un groupe tel que représenté dans IAM Identity Center.

**Important**  
Le choix d'un serveur d'autorisation OAuth 2.0 à ajouter en tant qu'émetteur de jetons de confiance est une décision de sécurité qui nécessite un examen attentif. Choisissez uniquement des émetteurs de jetons fiables en qui vous avez confiance pour effectuer les tâches suivantes :  
Authentifiez l'utilisateur indiqué dans le jeton.
Autorisez l'accès de cet utilisateur à l'application réceptrice. 
Générez un jeton qu'IAM Identity Center peut échanger contre un jeton créé par IAM Identity Center. 

## Conditions préalables et considérations pour les émetteurs de jetons fiables
<a name="trusted-token-issuer-prerequisites"></a>

Avant de configurer un émetteur de jetons fiable, passez en revue les conditions préalables et les considérations suivantes.
+ **Configuration d'un émetteur de jetons fiable**

  Vous devez configurer un serveur d'autorisation OAuth 2.0 (l'émetteur de jetons de confiance). Bien que l'émetteur de jetons de confiance soit généralement le fournisseur d'identité que vous utilisez comme source d'identité pour IAM Identity Center, il n'est pas nécessaire que ce soit le cas. Pour plus d'informations sur la configuration de l'émetteur de jetons de confiance, consultez la documentation du fournisseur d'identité concerné.
**Note**  
Vous pouvez configurer jusqu'à 10 émetteurs de jetons fiables à utiliser avec IAM Identity Center, à condition de mapper l'identité de chaque utilisateur de l'émetteur de jetons de confiance à un utilisateur correspondant dans IAM Identity Center.
+ Le serveur d'autorisation OAuth 2.0 (l'émetteur de jetons de confiance) qui crée le jeton doit disposer d'un point de terminaison de découverte [OpenID Connect (](https://openid.net/specs/openid-connect-discovery-1_0.html)OIDC) que IAM Identity Center peut utiliser pour obtenir des clés publiques afin de vérifier les signatures des jetons. Pour de plus amples informations, veuillez consulter [URL du point de terminaison de découverte OIDC (URL de l'émetteur)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Tokens émis par l'émetteur de jetons de confiance**

  Les jetons émis par l'émetteur de jetons de confiance doivent répondre aux exigences suivantes :
  + Le jeton doit être signé et au format [JSON Web Token (JWT) à](https://datatracker.ietf.org/doc/html/rfc7519#section-3) l'aide de l' RS256algorithme.
  + Le jeton doit contenir les allégations suivantes :
    + [Émetteur](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) — Entité qui a émis le jeton. Cette valeur doit correspondre à la valeur configurée dans le point de terminaison de découverte OIDC (URL de l’émetteur) dans l’émetteur de jetons de confiance.
    + [Sujet](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sous) — L'utilisateur authentifié.
    + [Audience](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud) — Destinataire prévu du jeton. Il s'agit de Service AWS celui qui sera accessible une fois le jeton échangé contre un jeton auprès d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Réclamation d'aide](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
    + [Délai d'expiration](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) : délai après lequel le jeton expire.
  + Le jeton peut être un jeton d'identité ou un jeton d'accès.
  + Le jeton doit avoir un attribut qui peut être mappé de manière unique à un utilisateur du IAM Identity Center.
**Note**  
L'utilisation d'une clé de signature personnalisée pour JWTs from n'Microsoft Entra IDest pas prise en charge. Pour utiliser des jetons provenant Microsoft Entra ID d'un émetteur de jetons fiable, vous ne pouvez pas utiliser de clé de signature personnalisée.
+ **Réclamations facultatives**

  IAM Identity Center prend en charge toutes les revendications facultatives définies dans la RFC 7523. Pour plus d'informations, consultez [la section 3 : Format JWT et exigences de traitement](https://datatracker.ietf.org/doc/html/rfc7523#section-3) de cette RFC.

  Par exemple, le jeton peut contenir une réclamation [JTI (JWT ID).](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7) Cette réclamation, lorsqu'elle est présente, empêche les jetons portant le même JTI d'être réutilisés pour des échanges de jetons. Pour plus d'informations sur les réclamations de la JTI, consultez[Détails de la réclamation de JTI](#trusted-token-issuer-configuration-jti-claim).
+ **Configuration du centre d'identité IAM pour fonctionner avec un émetteur de jetons fiable**

  Vous devez également activer IAM Identity Center, configurer la source d'identité pour IAM Identity Center et configurer les utilisateurs correspondant aux utilisateurs figurant dans le répertoire de l'émetteur de jetons de confiance.

  Pour ce faire, vous devez effectuer l'une des opérations suivantes :
  + Synchronisez les utilisateurs dans IAM Identity Center à l'aide du protocole SCIM (System for Cross-Domain Identity Management) 2.0.
  + Créez les utilisateurs directement dans IAM Identity Center.

## Détails de la réclamation de JTI
<a name="trusted-token-issuer-configuration-jti-claim"></a>

Si IAM Identity Center reçoit une demande d'échange d'un jeton qu'IAM Identity Center a déjà échangé, la demande échoue. Pour détecter et empêcher la réutilisation d'un jeton pour des échanges de jetons, vous pouvez inclure une réclamation JTI. IAM Identity Center protège contre la réédition de jetons en fonction des revendications contenues dans le jeton.

Les serveurs d'autorisation OAuth 2.0 n'ajoutent pas tous une réclamation JTI aux jetons. Certains serveurs d'autorisation OAuth 2.0 peuvent ne pas vous autoriser à ajouter une JTI en tant que réclamation personnalisée. OAuth Les serveurs d'autorisation 2.0 qui prennent en charge l'utilisation d'une réclamation JTI peuvent ajouter cette réclamation uniquement aux jetons d'identité, aux jetons d'accès uniquement, ou aux deux. Pour plus d'informations, consultez la documentation de votre serveur d'autorisation OAuth 2.0.

 Pour plus d'informations sur la création d'applications qui échangent des jetons, consultez la documentation de l'API IAM Identity Center. Pour plus d'informations sur la configuration d'une application gérée par le client afin d'obtenir et d'échanger les jetons appropriés, consultez la documentation de l'application.

# Paramètres de configuration des émetteurs de jetons fiables
<a name="trusted-token-issuer-configuration-settings"></a>

Les sections suivantes décrivent les paramètres requis pour configurer et utiliser un émetteur de jetons fiable.

**Topics**
+ [URL du point de terminaison de découverte OIDC (URL de l'émetteur)](#oidc-discovery-endpoint-url)
+ [Mappage d'attribut](#trusted-token-issuer-attribute-mappings)
+ [Réclamation d'aide](#trusted-token-issuer-aud-claim)

## URL du point de terminaison de découverte OIDC (URL de l'émetteur)
<a name="oidc-discovery-endpoint-url"></a>

Lorsque vous ajoutez un émetteur de jetons fiable à la console IAM Identity Center, vous devez spécifier l'URL du point de terminaison de découverte OIDC. Cette URL est généralement désignée par son URL relative,`/.well-known/openid-configuration`. Dans la console IAM Identity Center, cette URL est appelée URL de l'*émetteur.*

**Note**  
Vous devez coller l'URL du point de terminaison de découverte *jusqu'au bout et sans*`.well-known/openid-configuration`. Si elle `.well-known/openid-configuration` est incluse dans l'URL, la configuration de l'émetteur de jetons de confiance ne fonctionnera pas. Comme IAM Identity Center ne valide pas cette URL, si celle-ci n'est pas correctement formée, la configuration de l'émetteur de jetons de confiance échouera sans notification.  
L'URL du point de terminaison de découverte OIDC doit être accessible uniquement via les ports 80 et 443.

IAM Identity Center utilise cette URL pour obtenir des informations supplémentaires sur l'émetteur du jeton de confiance. Par exemple, IAM Identity Center utilise cette URL pour obtenir les informations requises pour vérifier les jetons générés par l'émetteur de jetons de confiance. Lorsque vous ajoutez un émetteur de jetons de confiance à IAM Identity Center, vous devez spécifier cette URL. Pour trouver l'URL, consultez la documentation du fournisseur de serveur d'autorisation OAuth 2.0 que vous utilisez pour générer des jetons pour votre application, ou contactez directement le fournisseur pour obtenir de l'aide.

## Mappage d'attribut
<a name="trusted-token-issuer-attribute-mappings"></a>

Les mappages d'attributs permettent à IAM Identity Center de faire correspondre l'utilisateur représenté dans un jeton émis par un émetteur de jeton fiable à un seul utilisateur dans IAM Identity Center. Vous devez spécifier le mappage des attributs lorsque vous ajoutez l'émetteur de jetons de confiance à IAM Identity Center. Ce mappage d'attributs est utilisé dans une réclamation dans le jeton généré par l'émetteur du jeton fiable. La valeur de la réclamation est utilisée pour effectuer une recherche dans IAM Identity Center. La recherche utilise l'attribut spécifié pour récupérer un seul utilisateur dans IAM Identity Center, qui sera utilisé comme utilisateur dans AWS le centre. La réclamation que vous choisissez doit être mappée à un attribut dans une liste fixe d'attributs disponibles dans la banque d'identités IAM Identity Center. Vous pouvez choisir l'un des attributs de la banque d'identités IAM Identity Center suivants : nom d'utilisateur, e-mail et identifiant externe. La valeur de l'attribut que vous spécifiez dans IAM Identity Center doit être unique pour chaque utilisateur.

## Réclamation d'aide
<a name="trusted-token-issuer-aud-claim"></a>

Une *réclamation AUD* identifie le public (destinataires) auquel un jeton est destiné. Lorsque l'application demandant l'accès s'authentifie par le biais d'un fournisseur d'identité qui n'est pas fédéré à IAM Identity Center, ce fournisseur d'identité doit être configuré en tant qu'émetteur de jetons de confiance. L'application qui reçoit la demande d'accès (l'application réceptrice) doit échanger le jeton généré par l'émetteur du jeton approuvé contre un jeton généré par IAM Identity Center.

Pour plus d'informations sur la façon d'obtenir les valeurs de réclamation en dollars australiens pour l'application réceptrice telles qu'elles sont enregistrées auprès de l'émetteur de jetons de confiance, consultez la documentation de votre émetteur de jetons de confiance ou contactez l'administrateur de l'émetteur de jetons de confiance pour obtenir de l'aide.

# Configuration d'un émetteur de jetons de confiance
<a name="setuptrustedtokenissuer"></a>

Pour permettre la propagation d'identités fiables pour une application qui s'authentifie en externe auprès d'IAM Identity Center, un ou plusieurs administrateurs doivent configurer un émetteur de jetons fiable. Un émetteur de jetons de confiance est un serveur d'autorisation OAuth 2.0 qui émet des jetons aux applications qui initient des demandes (demandes d'applications). Les jetons autorisent ces applications à initier des demandes au nom de leurs utilisateurs à une application réceptrice (une Service AWS). 

**Topics**
+ [Coordination des rôles et responsabilités administratifs](#coordinating-administrative-roles-responsibilities)
+ [Tâches de configuration d'un émetteur de jetons de confiance](#setuptrustedtokenissuer-tasks)
+ [Comment ajouter un émetteur de jetons fiable à la console IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Comment afficher ou modifier les paramètres de l'émetteur de jetons de confiance dans la console IAM Identity Center](#view-edit-trusted-token-issuers)
+ [Processus de configuration et flux de demandes pour les applications utilisant un émetteur de jetons fiable](#setuptrustedtokenissuer-setup-process-request-flow)

## Coordination des rôles et responsabilités administratifs
<a name="coordinating-administrative-roles-responsibilities"></a>

Dans certains cas, un seul administrateur peut effectuer toutes les tâches nécessaires à la configuration d'un émetteur de jetons de confiance. Si plusieurs administrateurs exécutent ces tâches, une étroite coordination est requise. Le tableau suivant décrit comment plusieurs administrateurs peuvent se coordonner pour configurer un émetteur de jetons fiable et configurer le AWS service pour l'utiliser. 

**Note**  
L'application peut être n'importe quel AWS service intégré à IAM Identity Center et prenant en charge la propagation fiable des identités.

Pour de plus amples informations, veuillez consulter [Tâches de configuration d'un émetteur de jetons de confiance](#setuptrustedtokenissuer-tasks).


****  

| Role | Effectue ces tâches | Se coordonne avec | 
| --- | --- | --- | 
| Administrateur du centre d'identité IAM |  Ajoute l'IdP externe en tant qu'émetteur de jetons de confiance à la console IAM Identity Center. Permet de configurer le mappage d'attributs correct entre IAM Identity Center et l'IdP externe. Informe l'administrateur du AWS service lorsque l'émetteur du jeton sécurisé est ajouté à la console IAM Identity Center.  |  Administrateur d'un IdP externe (émetteur de jetons de confiance) AWS administrateur de service  | 
| Administrateur d'un IdP externe (émetteur de jetons de confiance) |  Configure l'IdP externe pour émettre des jetons. Permet de configurer le mappage d'attributs correct entre IAM Identity Center et l'IdP externe. Fournit le nom du public (réclamation Aud) à l'administrateur du AWS service.  |  Administrateur du centre d'identité IAM AWS administrateur de service  | 
| AWS administrateur de service |  Vérifie la présence de l'émetteur de jetons de confiance dans la console de AWS service. L'émetteur du jeton sécurisé sera visible dans la console de AWS service une fois que l'administrateur d'IAM Identity Center l'aura ajouté à la console IAM Identity Center. Configure le AWS service pour qu'il utilise l'émetteur de jetons de confiance.  |  Administrateur du centre d'identité IAM Administrateur d'un IdP externe (émetteur de jetons de confiance)  | 

## Tâches de configuration d'un émetteur de jetons de confiance
<a name="setuptrustedtokenissuer-tasks"></a>

Pour configurer un émetteur de jetons fiable, un administrateur du centre d'identité IAM, un administrateur d'IdP externe (émetteur de jetons de confiance) et un administrateur de l'application doivent effectuer les tâches suivantes. 

**Note**  
L'application peut être n'importe quel AWS service intégré à IAM Identity Center et prenant en charge la propagation fiable des identités.

1. **Ajouter l'émetteur de jeton fiable à IAM Identity Center** : l'administrateur du centre d'identité IAM [ajoute l'émetteur de jeton fiable à l'aide de la console IAM](#how-to-add-trustedtokenissuer) Identity Center ou. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Cette configuration nécessite de spécifier les éléments suivants :
   + Nom de l'émetteur de jetons de confiance.
   + URL du point de terminaison de découverte OIDC (dans la console IAM Identity Center, cette URL est appelée URL de l'*émetteur*). Le point de terminaison de découverte doit être accessible via les ports 80 et 443 uniquement.
   + Mappage d'attributs pour la recherche par l'utilisateur. Ce mappage d'attributs est utilisé dans une réclamation dans le jeton généré par l'émetteur du jeton fiable. La valeur de la réclamation est utilisée pour effectuer une recherche dans IAM Identity Center. La recherche utilise l'attribut spécifié pour récupérer un seul utilisateur dans IAM Identity Center.

1. **Connecter le AWS service à IAM Identity Center** : l'administrateur du AWS service doit connecter l'application à IAM Identity Center à l'aide de la console de l'application ou de l'application. APIs 

    Une fois que l'émetteur du jeton sécurisé est ajouté à la console IAM Identity Center, il est également visible dans la console de AWS service et peut être sélectionné par l'administrateur du AWS service.

1. **Configurer l'utilisation de l'échange de jetons** : dans la console de AWS service, l'administrateur du AWS service configure le AWS service pour accepter les jetons émis par l'émetteur de jetons de confiance. Ces jetons sont échangés contre des jetons générés par IAM Identity Center. Cela nécessite de spécifier le nom de l'émetteur de jetons de confiance indiqué à l'étape 1 et la valeur de réclamation Aud correspondant au AWS service. 

   L'émetteur de jetons de confiance place la valeur de réclamation Aud dans le jeton qu'il émet pour indiquer que le jeton est destiné à être utilisé par le AWS service. Pour obtenir cette valeur, contactez l'administrateur de l'émetteur du jeton de confiance.

## Comment ajouter un émetteur de jetons fiable à la console IAM Identity Center
<a name="how-to-add-trustedtokenissuer"></a>

Dans une organisation qui compte plusieurs administrateurs, cette tâche est exécutée par un administrateur du IAM Identity Center. Si vous êtes l'administrateur de l'IAM Identity Center, vous devez choisir l'IdP externe à utiliser comme émetteur de jetons de confiance. 

**Pour ajouter un émetteur de jetons fiable à la console IAM Identity Center**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Authentification**.

1. Sous **Émetteurs de jetons fiables**, choisissez **Créer un émetteur de jetons de confiance**.

1. Sur la page **Configurer un IdP externe pour émettre des jetons fiables**, sous **Détails de l'émetteur de jetons fiables**, procédez comme suit :
   + Pour **l'URL de l'émetteur**, spécifiez l'[URL de découverte OIDC de l'](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url)IdP externe qui émettra des jetons pour une propagation d'identité fiable. Vous devez spécifier l'URL du point de terminaison de découverte jusqu'au bout et sans`.well-known/openid-configuration`. L'administrateur de l'IdP externe peut fournir cette URL.
**Note**  
Remarque Cette URL doit correspondre à l'URL figurant dans la réclamation de l'émetteur (iss) dans les jetons émis pour une propagation d'identité fiable. 
   + Pour **Nom de l'émetteur de jeton fiable**, entrez un nom pour identifier cet émetteur de jeton fiable dans IAM Identity Center et dans la console de l'application. 

1. Sous **Attributs de carte**, procédez comme suit :
   + Pour **l'attribut du fournisseur d'identité**, sélectionnez un attribut dans la liste à mapper à un attribut de la banque d'identités IAM Identity Center.
   + Pour l'**attribut IAM Identity Center**, sélectionnez l'attribut correspondant pour le mappage des attributs.

1. Sous **Tags (facultatif)**, choisissez **Ajouter une nouvelle balise**, spécifiez une valeur pour **Key**, et éventuellement pour **Value**.

   Pour plus d’informations sur les balises, consultez [Ressources de balisage AWS IAM Identity Center](tagging.md).

1. Choisissez **Créer un émetteur de jetons approuvés**.

1. Une fois que vous avez créé l’émetteur de jetons approuvés, contactez l’administrateur de l’application pour lui communiquer le nom de l’émetteur de jetons approuvés, afin qu’il puisse confirmer que cet émetteur est visible dans la console appropriée. 

1. L'administrateur de l'application doit sélectionner cet émetteur de jeton sécurisé dans la console applicable pour permettre aux utilisateurs d'accéder à l'application à partir d'applications configurées pour la propagation d'identités fiables. 

## Comment afficher ou modifier les paramètres de l'émetteur de jetons de confiance dans la console IAM Identity Center
<a name="view-edit-trusted-token-issuers"></a>

Après avoir ajouté un émetteur de jetons de confiance à la console IAM Identity Center, vous pouvez consulter et modifier les paramètres appropriés. 

Si vous envisagez de modifier les paramètres de l'émetteur de jetons de confiance, gardez à l'esprit que les utilisateurs risquent de perdre l'accès à toutes les applications configurées pour utiliser l'émetteur de jetons de confiance. Pour éviter de perturber l'accès des utilisateurs, nous vous recommandons de vous coordonner avec les administrateurs de toutes les applications configurées pour utiliser l'émetteur de jetons approuvé avant de modifier les paramètres.

**Pour consulter ou modifier les paramètres de l'émetteur de jetons de confiance dans la console IAM Identity Center**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Authentification**.

1. Sous **Émetteurs de jetons fiables**, sélectionnez l'émetteur de jetons de confiance que vous souhaitez consulter ou modifier.

1. Sélectionnez **Actions**, puis **Edit** (Modifier).

1. Sur la page **Modifier l'émetteur de jetons de confiance**, consultez ou modifiez les paramètres selon vos besoins. Vous pouvez modifier le nom de l'émetteur du jeton fiable, les mappages d'attributs et les balises.

1. Sélectionnez **Enregistrer les modifications**.

1. Dans la boîte de dialogue **Modifier l'émetteur de jetons de confiance**, vous êtes invité à confirmer que vous souhaitez apporter des modifications. Choisissez **Confirmer**.

## Processus de configuration et flux de demandes pour les applications utilisant un émetteur de jetons fiable
<a name="setuptrustedtokenissuer-setup-process-request-flow"></a>

Cette section décrit le processus de configuration et le flux de demandes pour les applications qui utilisent un émetteur de jetons fiable pour la propagation d'identités fiables. Le schéma suivant donne un aperçu de ce processus.

![\[Processus de configuration et flux de demandes pour les applications utilisant un émetteur de jetons fiable pour une propagation d'identité fiable\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)


Les étapes suivantes fournissent des informations supplémentaires sur ce processus.

1. Configurez IAM Identity Center et l'application AWS gérée réceptrice pour qu'ils utilisent un émetteur de jetons fiable. Pour plus d'informations, consultez [Tâches de configuration d'un émetteur de jetons de confiance](#setuptrustedtokenissuer-tasks).

1. Le flux de demandes commence lorsqu'un utilisateur ouvre l'application demandeuse.

1. L'application demandeuse demande un jeton à l'émetteur de jetons de confiance pour initier des demandes à l'application AWS gérée réceptrice. Si l'utilisateur ne s'est pas encore authentifié, ce processus déclenche un flux d'authentification. Le jeton contient les informations suivantes :
   + Le sujet (Sub) de l'utilisateur.
   + Attribut utilisé par IAM Identity Center pour rechercher l'utilisateur correspondant dans IAM Identity Center.
   + Une réclamation d'audience (Aud) contenant une valeur que l'émetteur de jetons de confiance associe à l'application AWS gérée réceptrice. Si d'autres réclamations sont présentes, elles ne sont pas utilisées par IAM Identity Center.

1. L'application demandeuse, ou le AWS pilote qu'elle utilise, transmet le jeton à IAM Identity Center et demande que le jeton soit échangé contre un jeton généré par IAM Identity Center. Si vous utilisez un AWS pilote, vous devrez peut-être le configurer pour ce cas d'utilisation. Pour plus d'informations, consultez la documentation de l'application AWS gérée correspondante. 

1. IAM Identity Center utilise le point de terminaison OIDC Discovery pour obtenir la clé publique qu'il peut utiliser pour vérifier l'authenticité du jeton. IAM Identity Center effectue ensuite les opérations suivantes :
   + Vérifie le jeton.
   + Effectue une recherche dans le répertoire Identity Center. Pour ce faire, IAM Identity Center utilise l'attribut mappé spécifié dans le jeton.
   + Vérifie que l'utilisateur est autorisé à accéder à l'application réceptrice. Si l'application AWS gérée est configurée pour exiger des affectations aux utilisateurs et aux groupes, l'utilisateur doit disposer d'une attribution directe ou basée sur un groupe à l'application ; sinon, la demande est refusée. Si l'application AWS gérée est configurée pour ne pas nécessiter d'assignation d'utilisateur ou de groupe, le traitement se poursuit.
**Note**  
AWS les services ont une configuration de paramètres par défaut qui détermine si des attributions sont requises pour les utilisateurs et les groupes. Nous vous recommandons de ne pas modifier le paramètre **Exiger des attributions** pour ces applications si vous prévoyez de les utiliser dans le cadre d'une propagation d'identité sécurisée. Même si vous avez configuré des autorisations détaillées qui permettent aux utilisateurs d'accéder à des ressources spécifiques de l'application, la modification du paramètre **Exiger des attributions** peut entraîner un comportement inattendu, notamment une interruption de l'accès des utilisateurs à ces ressources.
   + Vérifie que l'application demandeuse est configurée pour utiliser des étendues valides pour l'application AWS gérée réceptrice. 

1. Si les étapes de vérification précédentes sont réussies, IAM Identity Center crée un nouveau jeton. Le nouveau jeton est un jeton opaque (crypté) qui inclut l'identité de l'utilisateur correspondant dans IAM Identity Center, le public (Aud) de l'application AWS gérée réceptrice et les étendues que l'application demandeuse peut utiliser lorsqu'elle adresse des demandes à l'application AWS gérée réceptrice. 

1. L'application demandeuse, ou le pilote qu'elle utilise, lance une demande de ressource à l'application réceptrice et transmet le jeton généré par IAM Identity Center à l'application réceptrice.

1. L'application réceptrice appelle IAM Identity Center pour obtenir l'identité de l'utilisateur et les étendues codées dans le jeton. Il peut également faire des demandes pour obtenir les attributs des utilisateurs ou les appartenances à des groupes d'utilisateurs à partir du répertoire Identity Center.

1. L'application réceptrice utilise sa configuration d'autorisation pour déterminer si l'utilisateur est autorisé à accéder à la ressource d'application demandée.

1. Si l'utilisateur est autorisé à accéder à la ressource d'application demandée, l'application réceptrice répond à la demande.

1. L'identité de l'utilisateur, les actions effectuées en son nom et les autres événements sont enregistrés dans les journaux et CloudTrail événements de l'application réceptrice. La manière spécifique dont ces informations sont enregistrées varie en fonction de l'application.

# Sessions de rôles IAM améliorées
<a name="trustedidentitypropagation-identity-enhanced-iam-role-sessions"></a>

Le [AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) permet à une application d'obtenir une session de rôle IAM améliorée en termes d'identité. Les sessions de rôle à identité améliorée ont un contexte d'identité ajouté qui porte un identifiant utilisateur à celui Service AWS qu'elles appellent. Services AWS peut rechercher les appartenances aux groupes et les attributs de l'utilisateur dans IAM Identity Center et les utiliser pour autoriser l'accès de l'utilisateur aux ressources.

AWS les applications obtiennent des sessions de rôle à identité améliorée en adressant des requêtes à l'action de l' AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API et en transmettant une assertion de contexte avec l'identifiant de l'utilisateur (`userId`) dans le `ProvidedContexts` paramètre de la demande à. `AssumeRole` L'assertion de contexte est obtenue à partir de la `idToken` demande reçue en réponse à une demande adressée `SSO OIDC` à [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Lorsqu'une AWS application utilise une session de rôle à identité améliorée pour accéder à une ressource, elle CloudTrail enregistre la `userId` session initiatrice et l'action entreprise. Pour de plus amples informations, veuillez consulter [Journalisation des sessions de rôle IAM améliorée en termes d'identité](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

**Topics**
+ [Types de sessions de rôle IAM à identité améliorée](#types-identity-enhanced-iam-role-sessions)
+ [Journalisation des sessions de rôle IAM améliorée en termes d'identité](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)

## Types de sessions de rôle IAM à identité améliorée
<a name="types-identity-enhanced-iam-role-sessions"></a>

AWS STS peut créer deux types différents de sessions de rôle IAM à identité améliorée, en fonction de l'assertion de contexte fournie à la demande. `AssumeRole` Les applications qui ont obtenu des jetons d'identification auprès d'IAM Identity Center peuvent ajouter `sts:identiy_context` (recommandé) ou `sts:audit_context` (pris en charge pour des raisons de rétrocompatibilité) aux sessions de rôle IAM. Une session de rôle IAM à identité améliorée ne peut comporter qu'une seule de ces assertions de contexte, et non les deux.

### Sessions de rôle IAM à identité améliorée créées avec `sts:identity_context`
<a name="role_session_sts_identity_context"></a>

Lorsqu'une session de rôle à identité améliorée contient `sts:identity_context` l'appelé, cela Service AWS détermine si l'autorisation des ressources est basée sur l'utilisateur représenté dans la session de rôle ou si elle est basée sur le rôle. Services AWS qui prennent en charge l'autorisation basée sur l'utilisateur fournissent à l'administrateur de l'application des contrôles permettant d'attribuer l'accès à l'utilisateur ou aux groupes dont l'utilisateur est membre. 

Services AWS qui ne prennent pas en charge l'autorisation basée sur l'utilisateur ignorent le`sts:identity_context`. CloudTrail enregistre l'userID de l'utilisateur IAM Identity Center avec toutes les actions entreprises par le rôle. Pour de plus amples informations, veuillez consulter [Journalisation des sessions de rôle IAM améliorée en termes d'identité](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

Pour obtenir ce type de session de rôle à identité améliorée auprès des applications AWS STS, les applications fournissent la valeur du `sts:identity_context` champ dans la [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)demande à l'aide du paramètre de `ProvidedContexts` demande. Utilisez `arn:aws:iam::aws:contextProvider/IdentityCenter` comme valeur pour`ProviderArn`.

Pour plus d'informations sur le comportement de l'autorisation, consultez la documentation relative à la réception Service AWS.

### Sessions de rôle IAM à identité améliorée créées avec `sts:audit_context`
<a name="role_session_sts_audit_context"></a>

Dans le passé, `sts:audit_context` était utilisé pour permettre d' Services AWS enregistrer l'identité de l'utilisateur sans l'utiliser pour prendre une décision d'autorisation. Services AWS sont désormais en mesure d'utiliser un seul contexte - `sts:identity_context` - pour y parvenir ainsi que pour prendre des décisions d'autorisation. Nous vous recommandons d'utiliser `sts:identity_context` la propagation sécurisée des identités dans tous les nouveaux déploiements.

## Journalisation des sessions de rôle IAM améliorée en termes d'identité
<a name="trustedidentitypropagation-identity-enhanced-iam-role-session-logging"></a>

Lorsqu'une demande est adressée à une session Service AWS utilisant un rôle IAM amélioré, le centre d'identité IAM de l'utilisateur `userId` est connecté à CloudTrail l'élément. `OnBehalfOf` La manière dont les événements sont enregistrés CloudTrail varie en fonction du Service AWS. Tous n' Services AWS enregistrent pas l'`onBehalfOf`élément.

Voici un exemple de connexion à une demande envoyée à une session Service AWS utilisant un rôle à identité améliorée. CloudTrail

```
"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}
```