Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comment AWS Client VPN fonctionne
<a name="how-it-works"></a>

Avec AWS Client VPN, il existe deux types de personas utilisateurs qui interagissent avec le point de terminaison du Client VPN : les administrateurs et les clients.

Client VPN prend en charge IPv4 IPv6, et la connectivité à double pile ( IPv4 les deux IPv6). Vous pouvez créer des points de terminaison qui utilisent IPv4 IPv6, ou les deux, vous permettent de vous connecter aux IPv6 ressources de votre réseau VPCs ou de vous connecter à partir de clients sur IPv6 les réseaux. Cette flexibilité aide les organisations qui ont déjà mis en œuvre une infrastructure ou qui sont en train de passer à une IPv6 infrastructure.

L'*administrateur* est responsable de l'installation et de la configuration du service. Cela implique de créer le point de terminaison VPN du Client, d'associer le réseau cible, de configurer les règles d'autorisation et de configurer des itinéraires supplémentaires (si nécessaire). Une fois que le point de terminaison VPN Client est installé et configuré, l'administrateur télécharge le fichier de configuration de point de terminaison VPN Client et le distribue aux clients qui doivent y accéder. Le fichier de configuration du point de terminaison VPN du Client inclut le nom DNS du point de terminaison VPN du Client et les informations d'authentification requises pour établir une session VPN. Pour plus d'informations sur la configuration du service, consultez [Commencez avec AWS Client VPN](cvpn-getting-started.md).

Le *client* est l'utilisateur final. Il s'agit de la personne qui se connecte au point de terminaison VPN Client pour établir une session VPN. Le client met en place la session VPN à partir de son ordinateur local ou de son appareil mobile à l'aide d'une application VPN Client basée sur OpenVPN. Après avoir établi la session VPN, il peut accéder de manière sécurisée aux ressources du VPC dans lequel le sous-réseau associé est situé. Ils peuvent également accéder à d'autres ressources AWS, à un réseau local ou à d'autres clients si les règles d'itinéraire et d'autorisation requises ont été configurées. Pour plus d'informations sur la connexion à un point de terminaison VPN du Client pour établir une session VPN, consultez [Getting Started](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) dans le *Guide de AWS Client VPN l'utilisateur*.

Le graphique suivant illustre l'architecture de base du VPN Client.

![\[Architecture VPN Client\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/architecture.png)


## Scénarios et exemples pour Client VPN
<a name="scenario"></a>

AWS Client VPN est une solution VPN d'accès à distance entièrement gérée que vous utilisez pour permettre aux clients d'accéder de manière sécurisée aux ressources à la fois au sein de votre réseau local AWS et de votre réseau local. Plusieurs options s'offrent à vous pour configurer l'accès. Cette section fournit des exemples de création et de configuration d'accès VPN Client pour vos clients.

**Scénarios**
+ [Accès à un VPC avec Client VPN](#scenario-vpc)
+ [Accès à un VPC appairé avec Client VPN](#scenario-peered)
+ [Accès à un réseau sur site avec Client VPN](#scenario-onprem)
+ [Accès à Internet avec Client VPN](#scenario-internet)
+ [Client-to-client accès à l'aide du Client VPN](#scenario-client-to-client)
+ [Restriction de l'accès à votre réseau avec Client VPN](#scenario-restrict)

### Accès à un VPC avec Client VPN
<a name="scenario-vpc"></a>

La AWS Client VPN configuration de ce scénario inclut un seul VPC cible. Nous vous recommandons cette configuration si vous avez besoin de donner accès aux ressources d’un VPC unique à des clients.

![\[VPN Client accédant à un VPC\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/client-vpn-scenario-vpc.png)


Avant de commencer, vous devez exécuter les actions suivantes :
+ Créez ou identifiez un VPC avec au moins un sous-réseau. Identifiez le sous-réseau du VPC à associer au point de terminaison VPN du Client et notez IPv4 ses plages d'adresses CIDR.
+ Identifiez une plage CIDR appropriée pour les adresses IP du client qui ne recouvre pas le CIDR du VPC. 
+ Examinez les règles et limitations pour les points de terminaison VPN Client dans [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).

**Pour mettre en œuvre cette configuration**

1. Créez un point de terminaison VPN Client dans la même région que le VPC. Pour ce faire, effectuez les étapes décrites dans [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Associez le sous-réseau au point de terminaison VPN Client. Pour y parvenir, effectuez les étapes décrites dans [Associer un réseau cible à un AWS Client VPN point de terminaison](cvpn-working-target-associate.md), puis sélectionnez le sous-réseau et le VPC que vous avez identifiés précédemment.

1. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC. Pour ce faire, effectuez les étapes décrites dans[Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md), et pour **Réseau de destination**, entrez la plage IPv4 CIDR du VPC.

1. Ajouter une règle aux groupes de sécurité de vos ressources pour autoriser le trafic en provenance du groupe de sécurité qui a été appliqué à l'association du sous-réseau lors de l'étape 2. Pour de plus amples informations, veuillez consulter [Groupes de sécurité](client-authorization.md#security-groups).

### Accès à un VPC appairé avec Client VPN
<a name="scenario-peered"></a>

La AWS Client VPN configuration de ce scénario inclut un VPC cible (VPC A) associé à un VPC supplémentaire (VPC B). Nous recommandons cette configuration si vous devez donner aux clients l'accès aux ressources d'un VPC cible et à d'autres ressources VPCs associées à celui-ci (comme le VPC B).

**Note**  
La procédure permettant d'autoriser l'accès à un VPC pair (décrite à la suite du schéma de réseau) n'est requise que si le point de terminaison VPN du Client a été configuré pour le mode tunnel partagé. En mode full-tunnel (canal complet), l'accès au VPC appairé est autorisé par défaut.

![\[VPN Client accédant à un VPC appairé\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/client-vpn-scenario-peer-vpc.png)


Avant de commencer, vous devez exécuter les actions suivantes :
+ Créez ou identifiez un VPC avec au moins un sous-réseau. Identifiez le sous-réseau du VPC à associer au point de terminaison VPN du Client et notez IPv4 ses plages d'adresses CIDR.
+ Identifiez une plage CIDR appropriée pour les adresses IP du client qui ne recouvre pas le CIDR du VPC. 
+ Examinez les règles et limitations pour les points de terminaison VPN Client dans [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).

**Pour mettre en œuvre cette configuration**

1. Établissez la connexion d'appairage VPC entre les. VPCs Suivez les étapes de la page [Création et acceptation d'une connexion d'appairage de VPC](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html) dans le *Guide d'appairage Amazon VPC*. Vérifiez que les instances du VPC A peuvent communiquer avec les instances du VPC B via la connexion appairage.

1. Créez un point de terminaison VPN Client dans la même région que le VPC cible. Dans le diagramme, il s'agit du VPC A. Effectuez les étapes décrites dans [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Associez le sous-réseau que vous avez identifié avec le point de terminaison VPN Client que vous avez créé. Pour y arriver, effectuez les étapes décrites dans [Associer un réseau cible à un AWS Client VPN point de terminaison](cvpn-working-target-associate.md), puis sélectionnez le VPC et le sous-réseau. Par défaut, nous associons le groupe de sécurité par défaut du VPC au point de terminaison VPN Client. Vous pouvez associer un autre groupe de sécurité en suivant les étapes décrites dans [Appliquer un groupe de sécurité à un réseau cible dans AWS Client VPN](cvpn-working-target-apply.md).

1. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC cible. Pour y arriver, effectuez les étapes décrites dans [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md). Pour que le **réseau de destination soit activé**, entrez la plage d' IPv4 adresses CIDR du VPC.

1. Ajoutez une route pour diriger le trafic vers le VPC appairé. Dans le diagramme, il s'agit du VPC B. Pour ce faire, effectuez les étapes décrites dans [Création d'un itinéraire de point de AWS Client VPN terminaison](cvpn-working-routes-create.md). Pour **Destination de l'itinéraire**, entrez la plage IPv4 CIDR du VPC apparenté. Pour **ID du sous-réseau VPC cible**, sélectionnez le sous-réseau associé au point de terminaison VPN Client.

1. Ajoutez une règle d'autorisation pour donner aux clients l'accès au VPC appairé. Pour y arriver, effectuez les étapes décrites dans [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md). Pour **Réseau de destination**, entrez la plage d' IPv4 adresses CIDR du VPC apparenté.

1. Ajoutez une règle aux groupes de sécurité pour vos instances dans le VPC A et le VPC B pour autoriser le trafic en provenance du groupe de sécurité qui a été appliqué au point de terminaison VPN Client à l'étape 3. Pour de plus amples informations, veuillez consulter [Groupes de sécurité](client-authorization.md#security-groups).

### Accès à un réseau sur site avec Client VPN
<a name="scenario-onprem"></a>

La AWS Client VPN configuration de ce scénario inclut uniquement l'accès à un réseau local. Nous vous recommandons cette configuration si vous devez permettre aux clients d’accéder aux ressources d’un réseau sur site uniquement.

![\[VPN Client accédant à un réseau sur site\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/client-vpn-scenario-on-premises.png)


Avant de commencer, vous devez exécuter les actions suivantes :
+ Créez ou identifiez un VPC avec au moins un sous-réseau. Identifiez le sous-réseau du VPC à associer au point de terminaison VPN du Client et notez IPv4 ses plages d'adresses CIDR.
+ Identifiez une plage CIDR appropriée pour les adresses IP du client qui ne recouvre pas le CIDR du VPC. 
+ Examinez les règles et limitations pour les points de terminaison VPN Client dans [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).

**Pour mettre en œuvre cette configuration**

1. Activez la communication entre le VPC et votre propre réseau local via une AWS Site-to-Site connexion VPN. Pour y arriver, exécutez les étapes décrites dans la section [Démarrage](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html) du *Guide de l'utilisateur AWS Site-to-Site VPN *. 
**Note**  
Vous pouvez également implémenter ce scénario en utilisant une Direct Connect connexion entre votre VPC et votre réseau sur site. Pour plus d’informations, consultez le [Guide de l’utilisateur Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/).

1. Testez la connexion AWS Site-to-Site VPN que vous avez créée à l'étape précédente. Pour ce faire, suivez les étapes décrites dans la section [Test de la connexion Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/HowToTestEndToEnd_Linux.html) dans le *Guide de AWS Site-to-Site VPN l'utilisateur*. Si la connexion VPN fonctionne comme prévu, passez à l'étape suivante.

1. Créez un point de terminaison VPN Client dans la même région que le VPC. Pour y arriver, effectuez les étapes décrites dans [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Associez le sous-réseau que vous avez identifié précédemment au point de terminaison VPN Client. Pour y arriver, effectuez les étapes décrites dans [Associer un réseau cible à un AWS Client VPN point de terminaison](cvpn-working-target-associate.md), puis sélectionnez le VPC et le sous-réseau.

1. Ajoutez un itinéraire qui permet d'accéder à la connexion AWS Site-to-Site VPN. Pour ce faire, effectuez les étapes décrites dans [Création d'un itinéraire de point de AWS Client VPN terminaison](cvpn-working-routes-create.md) : pour **Destination de la route**, entrez la plage IPv4 CIDR de la connexion AWS Site-to-Site VPN, et pour l'ID de sous-réseau **VPC cible, sélectionnez le sous-réseau** que vous avez associé au point de terminaison VPN du Client.

1. Ajoutez une règle d'autorisation pour permettre aux clients d'accéder à la connexion AWS Site-to-Site VPN. Pour ce faire, effectuez les étapes décrites dans [Ajouter une règle d'autorisation à un AWS Client VPN point de terminaison](cvpn-working-rule-authorize-add.md) ; pour **Réseau de destination**, entrez la plage IPv4 CIDR de la connexion AWS Site-to-Site VPN.

### Accès à Internet avec Client VPN
<a name="scenario-internet"></a>

La AWS Client VPN configuration de ce scénario inclut un VPC cible unique et un accès à Internet. Nous recommandons cette configuration si vous devez donner aux clients l'accès aux ressources d'un seul VPC cible et autoriser également l'accès à Internet.

Si vous avez effectué le didacticiel [Commencez avec AWS Client VPN](cvpn-getting-started.md), vous avez déjà implémenté ce scénario.

![\[VPN Client accédant à Internet\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/client-vpn-scenario-igw.png)


Avant de commencer, vous devez exécuter les actions suivantes :
+ Créez ou identifiez un VPC avec au moins un sous-réseau. Identifiez le sous-réseau du VPC à associer au point de terminaison VPN du Client et notez IPv4 ses plages d'adresses CIDR.
+ Identifiez une plage CIDR appropriée pour les adresses IP du client qui ne recouvre pas le CIDR du VPC. 
+ Examinez les règles et limitations pour les points de terminaison VPN Client dans [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).

**Pour mettre en œuvre cette configuration**

1. Assurez-vous que le groupe de sécurité que vous allez utiliser pour le point de terminaison VPN Client autorise le trafic sortant vers Internet. Pour y arriver, ajouter des règles sortantes pour autoriser le trafic vers 0.0.0.0/0 pour le trafic HTTP et HTTPS.

1. Créez une passerelle Internet et attachez-la à votre VPC. Pour plus d'informations, consultez [Création et attachement d’une passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway) dans le *Guide de l’utilisateur Amazon VPC*.

1. Rendez public votre sous-réseau en ajoutant une route vers la passerelle Internet à sa table de routage. Dans la console VPC, choisir **Sous-réseaux**, sélectionnez le sous-réseau que vous souhaitez associer au point de terminaison VPN Client, choisir **Table de routage**, puis sélectionnez l’ID de la table de routage. Choisir **Actions**, **Modifier les routes**, puis **Ajouter un acheminement**. Pour **Destination**, saisir `0.0.0.0/0`, et pour **Cible**, choisir la passerelle Internet de l'étape précédente.

1. Créez un point de terminaison VPN Client dans la même région que le VPC. Pour y arriver, effectuez les étapes décrites dans [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Associez le sous-réseau que vous avez identifié précédemment au point de terminaison VPN Client. Pour y arriver, effectuez les étapes décrites dans [Associer un réseau cible à un AWS Client VPN point de terminaison](cvpn-working-target-associate.md), puis sélectionnez le VPC et le sous-réseau.

1. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC. Pour ce faire, effectuez les étapes décrites dans [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md) ; et pour que le **réseau de destination soit activé**, entrez la plage d' IPv4 adresses CIDR du VPC.

1. Ajoutez une route qui autorise le trafic vers Internet. Pour y arriver, effectuez les étapes décrites dans [Création d'un itinéraire de point de AWS Client VPN terminaison](cvpn-working-routes-create.md). Pour **Destination de l’acheminement**, saisir `0.0.0.0/0`, et pour **ID de sous-réseau de VPC cible**, sélectionnez le sous-réseau que vous avez associé au point de terminaison VPN Client.

1. Ajoutez une règle d'autorisation pour permettre aux clients d'accéder à Internet. Pour y arriver, exécutez les étapes décrites dans [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md). Pour **Réseau de destination**, saisir `0.0.0.0/0`.

1. Assurez-vous que les groupes de sécurité pour les ressources de votre VPC disposent d'une règle qui autorise l'accès à partir du groupe de sécurité associé au point de terminaison VPN client. Cela permet à vos clients d'accéder aux ressources de votre VPC.

### Client-to-client accès à l'aide du Client VPN
<a name="scenario-client-to-client"></a>

La AWS Client VPN configuration de ce scénario permet aux clients d'accéder à un seul VPC et aux clients d'acheminer le trafic les uns vers les autres. Nous recommandons cette configuration si les clients qui se connectent au même point de terminaison VPN Client doivent également communiquer entre eux. Les clients peuvent communiquer entre eux à l'aide de l'adresse IP unique qui leur est attribuée à partir de la plage d’adresses CIDR client lorsqu'ils se connectent au point de terminaison VPN Client.

![\[Client-to-client accès\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/client-vpn-scenario-client-to-client.png)


Avant de commencer, vous devez exécuter les actions suivantes :
+ Créez ou identifiez un VPC avec au moins un sous-réseau. Identifiez le sous-réseau du VPC à associer au point de terminaison VPN du Client et notez IPv4 ses plages d'adresses CIDR.
+ Identifiez une plage CIDR appropriée pour les adresses IP du client qui ne recouvre pas le CIDR du VPC. 
+ Examinez les règles et limitations pour les points de terminaison VPN Client dans [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).

**Note**  
Les règles d'autorisation réseau utilisant des groupes Active Directory ou des groupes d'IdP basés sur SAML ne sont pas prises en charge dans ce scénario.

**Pour mettre en œuvre cette configuration**

1. Créez un point de terminaison VPN Client dans la même région que le VPC. Pour y arriver, effectuez les étapes décrites dans [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Associez le sous-réseau que vous avez identifié précédemment au point de terminaison VPN Client. Pour y arriver, effectuez les étapes décrites dans [Associer un réseau cible à un AWS Client VPN point de terminaison](cvpn-working-target-associate.md), puis sélectionnez le VPC et le sous-réseau.

1. Ajouter un acheminement au réseau local dans la table de routage. Pour y arriver, effectuez les étapes décrites dans [Création d'un itinéraire de point de AWS Client VPN terminaison](cvpn-working-routes-create.md). Pour la **Destination de l’acheminement**, saisissez la plage d’adresse CIDR client et, pour **ID de sous-réseau VPC cible**, spécifiez `local`.

1. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC. Pour y arriver, effectuez les étapes décrites dans [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md). Pour que le **réseau de destination soit activé**, entrez la plage d' IPv4 adresses CIDR du VPC.

1. Ajoutez une règle d'autorisation pour permettre aux clients d'accéder à la plage d’adresse CIDR client. Pour y arriver, effectuez les étapes décrites dans [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md). Pour **Activer le réseau de destination**, saisissez la plage d’adresse CIDR client.

### Restriction de l'accès à votre réseau avec Client VPN
<a name="scenario-restrict"></a>

Vous pouvez configurer votre AWS Client VPN point de terminaison pour restreindre l'accès à des ressources spécifiques de votre VPC. Pour l'authentification basée sur l'utilisateur, vous pouvez également restreindre l'accès à des parties de votre réseau, en fonction du groupe d'utilisateurs qui accède au point de terminaison VPN Client.

#### Restreindre l'accès à l'aide des groupes de sécurité
<a name="scenario-restrict-security-groups"></a>

Vous pouvez accorder ou rejeter l'accès à certaines ressources spécifiques dans votre VPC en ajoutant ou en supprimant des règles de groupe de sécurité qui font référence au groupe de sécurité qui a été appliqué à l'association de réseau cible (le groupe de sécurité VPN Client). Cette configuration s'appuie sur le scénario décrit dans [Accès à un VPC avec Client VPN](#scenario-vpc). Cette configuration s’applique en complément de la règle d'autorisation configurée dans ce scénario.

Pour accorder l'accès à une ressource spécifique, identifiez le groupe de sécurité associé à l'instance sur laquelle votre ressource s'exécute. Ensuite, créez une règle qui autorise le trafic à partir du groupe de sécurité VPN Client. 

Dans le schéma suivant, le groupe de sécurité A est le groupe de sécurité VPN du Client, le groupe de sécurité B est associé à une EC2 instance et le groupe de sécurité C est associé à une EC2 instance. Si vous ajoutez une règle au groupe de sécurité B qui autorise l'accès depuis le groupe de sécurité A, les clients peuvent accéder à l'instance associée au groupe de sécurité B. Si le groupe de sécurité C ne dispose pas d'une règle autorisant l'accès depuis le groupe de sécurité A, les clients ne peuvent pas accéder à l'instance associée au groupe de sécurité C.

![\[Restriction de l'accès aux ressources dans un VPC\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/client-vpn-scenario-security-groups.png)


Avant de commencer, vérifier si le groupe de sécurité VPN Client est associé à d'autres ressources de votre VPC. Si vous ajoutez ou supprimez des règles qui font référence au groupe de sécurité VPN Client, vous pouvez également accorder ou rejeter l'accès aux autres ressources associées. Pour éviter cela, utilisez un groupe de sécurité spécialement créé pour une utilisation avec votre point de terminaison VPN Client.

**Pour créer un groupe de sécurité**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Choisissez le groupe de sécurité associé à l'instance sur laquelle votre ressource s'exécute.

1. Choisissez **Actions**, **Modifier les règles entrantes**.

1. Choisissez **Ajouter une règle** et procédez comme suit :
   + Dans **Type**, choisissez **Tout le trafic** ou choisissez un type de trafic spécifique que vous souhaitez autoriser.
   + Pour **Source**, choisir **Personnalisé**, puis saisir ou choisissez l'ID du groupe de sécurité VPN Client.

1. Choisir **Enregistrer les règles**.

Pour supprimer l'accès à une ressource spécifique, vérifiez le groupe de sécurité associé à l'instance sur laquelle votre ressource s'exécute. S'il existe une règle qui autorise le trafic à partir du groupe de sécurité VPN Client, supprimez-la.

**Pour vérifier les règles de votre groupe de sécurité**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Choisissez **Règles entrantes**.

1. Passez en revue la liste des règles. S'il existe une règle dans laquelle **Source** est le groupe de sécurité VPN Client, choisir **Modifier les règles** et choisir **Supprimer** (icône x) pour la règle. Sélectionnez **Enregistrer les règles**.

#### Restreindre l'accès en fonction des groupes d'utilisateurs
<a name="scenario-restrict-groups"></a>

Si votre point de terminaison VPN Client est configuré pour l'authentification basée sur l'utilisateur, vous pouvez accorder à des groupes spécifiques d'utilisateurs d’accéder à des parties spécifiques de votre réseau. Pour y arriver, exécutez les étapes suivantes.

1. Configurez les utilisateurs et les groupes dans Directory Service votre IdP. Pour plus d’informations, consultez les rubriques suivantes :
   + [Authentification Active Directory dans le VPN client](ad.md)
   + [Les exigences et les observations relatives à l'authentification fédérée basée sur SAML](federated-authentication.md#saml-requirements)

1. Créez une règle d'autorisation pour votre point de terminaison VPN Client qui permet à un groupe spécifié d'accéder à tout ou partie de votre réseau. Pour de plus amples informations, veuillez consulter [AWS Client VPN règles d'autorisation](cvpn-working-rules.md).

Si votre point de terminaison VPN Client est configuré pour l'authentification mutuelle, vous ne pouvez pas configurer de groupes d'utilisateurs. Lorsque vous créez une règle d'autorisation, vous devez accorder l'accès à tous les utilisateurs. Pour permettre à des groupes d'utilisateurs spécifiques d'accéder à certaines parties spécifiques de votre réseau, vous pouvez créer plusieurs points de terminaison VPN Client. Par exemple, pour chaque groupe d'utilisateurs qui accède à votre réseau, procédez comme suit :

1. Créez un ensemble de certificats et de clés de serveur et de client pour ce groupe d'utilisateurs. Pour plus informations, veuillez consulter [Authentification mutuelle dans AWS Client VPN](mutual.md).

1. Créez un point de terminaison VPN Client. Pour plus informations, veuillez consulter [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Créez une règle d'autorisation qui accorde l'accès à tout ou partie de votre réseau. Par exemple, pour un point de terminaison VPN Client utilisé par les administrateurs, vous pouvez créer une règle d'autorisation d’accéder à l'ensemble du réseau. Pour de plus amples informations, veuillez consulter [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md).

# Authentification du client dans AWS Client VPN
<a name="client-authentication"></a>

L'authentification du client est mise en œuvre dès le premier point d'entrée dans le AWS Cloud. Elle est utilisée pour déterminer si les clients sont autorisés à se connecter au point de terminaison VPN Client. Si l'authentification aboutit, les clients se connectent au point de terminaison VPN Client et établissent une session VPN. Si l'authentification échoue, la connexion est refusée et le client n'est pas autorisé à établir une session VPN.

Le VPN Client offre les types d'authentification client suivants: 
+ [Authentification Active Directory](ad.md) (basée sur l'utilisateur)
+ [Authentification mutuelle](mutual.md) (basée sur un certificat)
+ [Authentification unique (authentification fédérée basée sur SAML)](federated-authentication.md) (basée sur l'utilisateur)

Vous pouvez utiliser l'une des méthodes précédentes seule ou combiner l'authentification mutuelle avec une méthode basée sur l'utilisateur, telle que la suivante :
+ Authentification mutuelle et authentification fédérée
+ Authentification mutuelle et authentification Active Directory

**Important**  
Pour créer un point de terminaison Client VPN, vous devez fournir un certificat de serveur AWS Certificate Manager, quel que soit le type d'authentification que vous utilisez. Pour plus d'informations sur la création et le provisionnement d'un certificat de serveur, consultez les étapes de la section dans [Authentification mutuelle dans AWS Client VPN](mutual.md).
Si vous utilisez une combinaison d'authentification mutuelle et d'authentification basée sur l'utilisateur, les deux méthodes doivent alors être utilisées pour vous authentifier correctement dans le VPN. 

# Authentification Active Directory dans le VPN client
<a name="ad"></a>

Client VPN fournit un support Active Directory en s'intégrant à Directory Service. Avec l'authentification Active Directory, les clients sont authentifiés par rapport aux groupes Active Directory existants. Grâce à Directory Service cela, le Client VPN peut se connecter à des Active Directory existants approvisionnés dans AWS ou dans votre réseau local. Cette option vous permet d'utiliser votre infrastructure d'authentification client existante. Si vous utilisez un Active Directory local et que vous ne possédez pas de Microsoft AD AWS géré existant, vous devez configurer un connecteur Active Directory (AD Connector). Vous pouvez utiliser un serveur Active Directory pour authentifier les utilisateurs. Pour plus d'informations sur l'intégration d'Active Directory, consultez le [AWS Directory Service Guide de l'administrateur](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

Le VPN Client prend en charge l'authentification multi-facteur (MFA) lorsqu'elle est activée pour AWS Microsoft AD administré ou le connecteur AD Connector. Si la fonction MFA est activée, les clients doivent entrer un nom d'utilisateur, un mot de passe et un code MFA lorsqu'ils se connectent à un point de terminaison VPN Client. Pour plus d'informations sur l'activation de l'authentification MFA, veuillez consulter[ Activer l'authentification multi-facteurs pour AWS Microsoft AD administré](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) et [Activer l'authentification multi-facteurs pour AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) dans le *Guide de l'administrateur AWS Directory Service *. 

Pour connaître les quotas et les règles de configuration des utilisateurs et des groupes dans Active Directory, consultez [Quotas d'utilisateurs et de groupes](limits.md#quotas-users-groups).

# Authentification mutuelle dans AWS Client VPN
<a name="mutual"></a>

Avec l'authentification mutuelle, le VPN Client utilise des certificats pour procéder à l'authentification entre le client et le serveur. Les certificats constituent une forme numérique d'identification émise par une autorité de certification (AC). Le serveur utilise des certificats de client pour authentifier les clients lorsque ces derniers essaient de se connecter au point de terminaison VPN Client. Vous devez créer un certificat et une clé de serveur, et au moins un certificat client et une clé.

Vous devez télécharger le certificat de serveur sur AWS Certificate Manager (ACM) et le spécifier lorsque vous créez un point de terminaison Client VPN. Lorsque vous chargez le certificat du serveur sur ACM, vous spécifiez également l'autorité de certification (AC). Vous n'avez besoin de charger le certificat du client vers ACM que lorsque l'autorité de certification du certificat client est différente de celle du certificat serveur. Pour plus d'informations sur ACM, consultez le [Guide de l'utilisateur AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/). 

Vous pouvez créer un certificat client distinct et une clé pour chaque client qui se connectera au point de terminaison VPN Client. Cette étape vous permet de révoquer un certificat client spécifique si un utilisateur quitte votre organisation. Dans ce cas, lorsque vous créez le point de terminaison VPN Client, vous pouvez spécifier l'ARN du certificat de serveur pour le certificat client, à condition que le certificat client ait été émis par la même autorité de certification que le certificat de serveur.

Les certificats utilisés dans le VPN du client AWS doivent respecter la [RFC 5280 : profil de certificat d'infrastructure à clé publique Internet X.509 et liste de révocation des certificats (CRL)](https://datatracker.ietf.org/doc/html/rfc5280), y compris les extensions de certificat spécifiées dans la section 4.2 du mémo.

**Note**  
Un point de terminaison VPN Client prend en charge uniquement les tailles de clés RSA 1024-bits et 2048-bits. De plus, le certificat client doit comporter l'attribut CN dans le champ Objet.  
Lorsque les certificats utilisés avec le service VPN du Client sont mis à jour, que ce soit par le biais de la rotation automatique d'ACM, de l'importation manuelle d'un nouveau certificat ou de mises à jour des métadonnées dans IAM Identity Center, le service VPN client met automatiquement à jour le point de terminaison VPN du client avec le nouveau certificat. Il s'agit d'un processus automatisé qui peut prendre jusqu'à 5 heures. 

**Topics**
+ [Activer l'authentification mutuelle](client-auth-mutual-enable.md)
+ [Renouvelez votre certificat de serveur](mutual-renew.md)

# Activez l'authentification mutuelle pour AWS Client VPN
<a name="client-auth-mutual-enable"></a>

Vous pouvez activer l'authentification mutuelle dans le Client VPN sous Windows Linux/MacOS ou sous Windows.

------
#### [ Linux/macOS ]

La procédure suivante utilise easy-rsa OpenVPN pour générer les certificats et les clés du serveur et du client, puis charge le certificat et la clé de serveur dans ACM. Pour plus d'informations, consultez le document [Easy-RSA 3 Quickstart README](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md).

**Pour générer les certificats et les clés de serveur et de client et les charger dans ACM**

1. Clonez le référentiel OpenVPN easy-rsa sur votre ordinateur individuel et accédez au dossier `easy-rsa/easyrsa3`.

   ```
   $ git clone https://github.com/OpenVPN/easy-rsa.git
   ```

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Initialisez un nouvel environnement PKI (infrastructure à clés publiques).

   ```
   $ ./easyrsa init-pki
   ```

1. Pour créer une nouvelle autorité de certification, exécutez cette commande et suivez les invites.

   ```
   $ ./easyrsa build-ca nopass
   ```

1. Générez le certificat et la clé du serveur.

   ```
   $ ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Générez le certificat et la clé du client.

   Assurez-vous de conserver le certificat du client et la clé privée du client, car vous en aurez besoin pour configurer le client.

   ```
   $ ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Vous pouvez facultativement répéter cette étape pour chaque client (utilisateur final) qui nécessite un certificat et une clé client.

1. Copiez le certificat et la clé du serveur ainsi que le certificat et la clé du client dans un dossier personnalisé, puis accédez au dossier personnalisé.

   Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de `mkdir` la commande . L'exemple suivant crée un dossier personnalisé dans votre répertoire personnel.

   ```
   $ mkdir ~/custom_folder/
   $ cp pki/ca.crt ~/custom_folder/
   $ cp pki/issued/server.crt ~/custom_folder/
   $ cp pki/private/server.key ~/custom_folder/
   $ cp pki/issued/client1.domain.tld.crt ~/custom_folder
   $ cp pki/private/client1.domain.tld.key ~/custom_folder/
   $ cd ~/custom_folder/
   ```

1. Chargez le certificat et la clé du serveur ainsi que le certificat et la clé client vers ACM. Veillez à les charger dans la même région que celle dans laquelle vous prévoyez de créer le point de terminaison VPN Client. Les commandes suivantes utilisent AWS CLI pour charger les certificats. Pour charger les certificats à l'aide de la console ACM, consultez [Importer un certificat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) dans le *AWS Certificate Manager Guide de l'utilisateur *.

   ```
   $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
   ```

   ```
   $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
   ```

   Vous n'avez pas nécessairement besoin de charger le certificat client sur ACM. Si les certificats du serveur et du client ont été émis par la même autorité de certification (AC), vous pouvez utiliser l'ARN du certificat du serveur pour le serveur et le client lorsque vous créez le point de terminaison VPN Client. Dans les étapes ci-dessus, la même autorité de certification a été utilisée pour créer les deux certificats. Toutefois, les étapes de téléchargement du certificat client sont incluses pour des fins d'exhaustivité.

------
#### [ Windows ]

La procédure suivante installe le logiciel Easy-RSA 3.x, puis l'utilise pour générer les certificats et clés du serveur et du client.

**Pour générer les certificats et les clés de serveur et de client et les charger dans ACM**

1. Ouvrez la page des [versions EasyRSA](https://github.com/OpenVPN/easy-rsa/releases), téléchargez le fichier ZIP correspondant à votre version de Windows et procédez à son extraction.

1. Ouvrez une invite de commande et accédez à l'emplacement dans lequel le dossier `EasyRSA-3.x` a été extrait.

1. Exécutez la commande suivante pour ouvrir le shell EasyRSA 3.

   ```
   C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
   ```

1. Initialisez un nouvel environnement PKI (infrastructure à clés publiques).

   ```
   # ./easyrsa init-pki
   ```

1. Pour créer une nouvelle autorité de certification, exécutez cette commande et suivez les invites.

   ```
   # ./easyrsa build-ca nopass
   ```

1. Générez le certificat et la clé du serveur.

   ```
   # ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Générez le certificat et la clé du client.

   ```
   # ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Vous pouvez facultativement répéter cette étape pour chaque client (utilisateur final) qui nécessite un certificat client et une clé.

1. Quittez le shell EasyRSA 3.

   ```
   # exit
   ```

1. Copiez le certificat et la clé du serveur ainsi que le certificat et la clé du client dans un dossier personnalisé, puis accédez au dossier personnalisé.

   Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de la commande `mkdir`. L'exemple suivant crée un dossier personnalisé sur votre unité C:\$1.

   ```
   C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
   ```

1. Chargez le certificat et la clé du serveur ainsi que le certificat et la clé du client vers ACM. Veillez à les charger dans la même région que celle dans laquelle vous prévoyez de créer le point de terminaison VPN Client. Les commandes suivantes utilisent le AWS CLI pour télécharger les certificats. Pour charger les certificats à l'aide de la console ACM, consultez [Importer un certificat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) dans le *AWS Certificate Manager Guide de l'utilisateur *.

   ```
   aws acm import-certificate \
       --certificate fileb://server.crt \ 
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt
   ```

   ```
   aws acm import-certificate \
       --certificate fileb://client1.domain.tld.crt \
       --private-key fileb://client1.domain.tld.key \
       --certificate-chain fileb://ca.crt
   ```

   Vous n'avez pas nécessairement besoin de charger le certificat client sur ACM. Si les certificats du serveur et du client ont été émis par la même autorité de certification (AC), vous pouvez utiliser l'ARN du certificat du serveur pour le serveur et le client lorsque vous créez le point de terminaison VPN Client. Dans les étapes ci-dessus, la même autorité de certification a été utilisée pour créer les deux certificats. Toutefois, les étapes de téléchargement du certificat client sont incluses pour des fins d'exhaustivité.

------

# Renouvelez votre certificat de serveur pour AWS Client VPN
<a name="mutual-renew"></a>

Vous pouvez renouveler et réimporter un certificat de serveur Client VPN qui a expiré. Selon la version d'OpenVPN easy-rsa que vous utilisez, la procédure peut varier. Consultez la [documentation relative au renouvellement et à la révocation des certificats Easy-RSA 3](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md) pour plus de détails.

**Pour renouveler votre certificat de serveur**

1. Procédez de l'**une** des manières suivantes :
   + Version 3.1.x d'Easy-RSA

     1. Exécutez la commande de renouvellement de certificat.

       ```
       $ ./easyrsa renew server nopass
       ```
   + Version 3.2.x d'Easy-RSA

     1. Exécutez la commande expire.

        ```
        $ ./easyrsa expire server
        ```

     1. Signez un nouveau certificat.

        ```
        $ ./easyrsa --san=DNS:server sign-req server server
        ```

1. Créez un dossier personnalisé, copiez-y les nouveaux fichiers, puis accédez au dossier.

   ```
   $ mkdir ~/custom_folder2
   $ cp pki/ca.crt ~/custom_folder2/
   $ cp pki/issued/server.crt ~/custom_folder2/
   $ cp pki/private/server.key ~/custom_folder2/
   $ cd ~/custom_folder2/
   ```

1. Importez les nouveaux fichiers dans ACM. Veillez à les importer dans la même région que le point de terminaison VPN client. 

   ```
   $ aws acm import-certificate \
       --certificate fileb://server.crt \
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt \
       --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
   ```

# Authentification unique (authentification fédérée basée sur SAML 2.0) dans le VPN Client
<a name="federated-authentication"></a>

AWS Client VPN prend en charge la fédération d'identité avec le langage SAML 2.0 (Security Assertion Markup Language 2.0) pour les points de terminaison VPN du Client. Vous pouvez utiliser des fournisseurs d'identité (IdPs) qui prennent en charge le protocole SAML 2.0 pour créer des identités utilisateur centralisées. Vous pouvez ensuite configurer un point de terminaison VPN Client pour utiliser l'authentification fédérée basée sur SAML et l'associer à l'IdP. Les utilisateurs se connectent ensuite au point de terminaison VPN Client avec leurs informations d'identification centralisées.

**Topics**
+ [Activer SAML](client-auth-enable-saml.md)
+ [

## Flux de travail d'authentification
](#federated-authentication-workflow)
+ [

## Les exigences et les observations relatives à l'authentification fédérée basée sur SAML
](#saml-requirements)
+ [

## Ressources de configuration d'un IdP basé sur SAML
](#saml-config-resources)

# Activez SAML pour AWS Client VPN
<a name="client-auth-enable-saml"></a>

 Vous pouvez activer SAML pour l'authentification unique pour le Client VPN en effectuant les étapes suivantes. Sinon, si vous avez activé le portail libre-service pour votre point de terminaison VPN Client, demandez à vos utilisateurs d'accéder au portail en libre-service pour obtenir le fichier de configuration et le client fourni AWS . Pour de plus amples informations, veuillez consulter [AWS Client VPN accès au portail en libre-service](cvpn-self-service-portal.md).

**Pour permettre à votre IdP basé sur SAML de fonctionner avec un point de terminaison VPN Client, procédez comme suit.**

1. Créez une application basée sur SAML dans l'IdP de votre choix pour l'utiliser avec ou utiliser une AWS Client VPN application existante.

1. Configurez votre fournisseur d'identité pour établir une relation de confiance avec AWS. Pour les ressources, consultez [Ressources de configuration d'un IdP basé sur SAML](federated-authentication.md#saml-config-resources).

1. Dans votre fournisseur d'identité, générez et téléchargez un document de métadonnées de fédération qui décrit votre organisation en tant que fournisseur d'identité. 

   Ce document XML signé est utilisé pour établir la relation de confiance entre AWS et le fournisseur d'identité.

1. Créez un fournisseur d'identité IAM SAML sur le même AWS compte que le point de terminaison VPN du Client. 

   Le fournisseur d'identité IAM SAML définit la relation IdP avec AWS confiance de votre organisation à l'aide du document de métadonnées généré par l'IdP. Pour plus d'informations, consultez [Création de fournisseurs d'identité SAML IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) dans le *Guide de l'utilisateur IAM*. Si vous mettez à jour ultérieurement la configuration de l'application dans le fournisseur d'identité, générez un nouveau document de métadonnées et mettez à jour votre fournisseur d'identité SAML IAM.
**Note**  
Vous n'avez pas besoin de créer un rôle IAM pour utiliser le fournisseur d'identité SAML IAM.

1. Créez un point de terminaison VPN Client. 

   Spécifiez l'authentification fédérée comme type d'authentification et spécifiez le fournisseur d'identité SAML IAM que vous avez créé. Pour plus d'informations, consultez [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Exportez le [fichier de configuration du client](cvpn-working-endpoint-export.md) et distribuez-le à vos utilisateurs. Demandez à vos utilisateurs de télécharger la dernière version du [client fourni AWS](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html) et de l'utiliser pour charger le fichier de configuration et se connecter au point de terminaison VPN Client.

## Flux de travail d'authentification
<a name="federated-authentication-workflow"></a>

Le schéma suivant fournit une vue d'ensemble du flux de travail d'authentification pour un point de terminaison VPN Client qui utilise l'authentification fédérée basée sur SAML. Lorsque vous créez et configurez le point de terminaison VPN Client, vous spécifiez le fournisseur d'identité SAML IAM.

![\[Flux de travail d'authentification\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)


1. L'utilisateur ouvre le client AWS fourni sur son appareil et établit une connexion avec le point de terminaison VPN du Client.

1. Le point de terminaison VPN Client renvoie une URL de fournisseur d'identité et une demande d'authentification au client, en fonction des informations fournies dans le fournisseur d'identité SAML IAM.

1. Le client AWS fourni ouvre une nouvelle fenêtre de navigateur sur l'appareil de l'utilisateur. Le navigateur fait une demande au fournisseur d'identité et affiche une page de connexion.

1. L'utilisateur saisit ses informations d'identification sur la page de connexion et le fournisseur d'identité envoie une assertion SAML signée au client.

1. Le client AWS fourni envoie l'assertion SAML au point de terminaison VPN du Client.

1. Le point de terminaison VPN Client valide l'assertion et autorise ou refuse l'accès à l'utilisateur.

## Les exigences et les observations relatives à l'authentification fédérée basée sur SAML
<a name="saml-requirements"></a>

Voici les exigences et les considérations relatives à l'authentification fédérée basée sur SAML.
+ Pour connaître les quotas et les règles de configuration des utilisateurs et des groupes dans un IdP basé sur SAML, consultez [Quotas d'utilisateurs et de groupes](limits.md#quotas-users-groups).
+ L'assertion et la réponse SAML doivent être signées.
+ AWS Client VPN ne prend en charge que les conditions « » NotBefore et NotOnOrAfter « » dans les assertions SAML. AudienceRestriction
+ La taille maximale prise en charge pour les réponses SAML est de 128 Ko.
+ AWS Client VPN ne fournit pas de demandes d'authentification signées.
+ La déconnexion unique SAML n'est pas prise en charge. Les utilisateurs peuvent se déconnecter en se déconnectant du client AWS fourni, ou vous pouvez [mettre fin aux connexions](cvpn-working-connections-disassociate.md).
+ Un point de terminaison VPN Client prend uniquement en charge une seule IdP.
+ L'authentification multifacteur (MFA) est prise en charge lorsqu'elle est activée dans votre IdP.
+ Les utilisateurs doivent utiliser le client AWS fourni pour se connecter au point de terminaison VPN du Client. Ils doivent utiliser la version 1.2.0 ou une version ultérieure. Pour plus d'informations, voir [Connect à l'aide du client AWS fourni](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).
+ Les navigateurs suivants sont pris en charge pour l'authentification IdP: Apple Safari, Google Chrome, Microsoft Edge et Mozilla Firefox.
+ Le client AWS fourni réserve le port TCP 35001 sur les appareils des utilisateurs pour la réponse SAML.
+ La mise à jour du document de métadonnées du fournisseur d'identité SAML IAM avec une URL erronée ou malveillante peut entraîner des problèmes d'authentification pour les utilisateurs ou des attaques de phishing. Par conséquent, nous vous recommandons d'utiliser AWS CloudTrail pour surveiller les mises à jour du fournisseur d'identité SAML IAM. Pour plus d'informations, consultez [Journalisation des appels d'IAM et AWS STS avec AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) dans le *Guide de l'utilisateur IAM*.
+ AWS Client VPN envoie une requête AuthN à l'IdP via une liaison de redirection HTTP. Par conséquent, l'IdP doit prendre en charge la liaison de redirection HTTP et elle doit être présente dans le document de métadonnées de l'IdP.
+ Pour l'assertion SAML, vous devez utiliser un format d'adresse e-mail pour l'attribut `NameID`.
+ La longueur maximale du nom d'utilisateur (`NameID`) est de 1024 octets. Les connexions avec des noms d'utilisateur plus longs seront rejetées.
+ Lorsque les certificats utilisés avec le service Client VPN sont mis à jour, que ce soit par le biais de la rotation automatique d'ACM, de l'importation manuelle d'un nouveau certificat ou de mises à jour des métadonnées dans IAM Identity Center, le service VPN client met automatiquement à jour le point de terminaison VPN du Client avec le nouveau certificat. Il s'agit d'un processus automatisé qui peut prendre jusqu'à 5 heures.

## Ressources de configuration d'un IdP basé sur SAML
<a name="saml-config-resources"></a>

Le tableau suivant répertorie les solutions basées sur le protocole SAML IdPs que nous avons testées pour être utilisées AWS Client VPN, ainsi que les ressources qui peuvent vous aider à configurer l'IdP.


| IdP | Ressource | 
| --- | --- | 
| Okta | [Authentifier les AWS Client VPN utilisateurs avec SAML](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) | 
| Microsoft Entra ID (anciennement Azure Active Directory) | Pour plus d'informations, consultez [Tutoriel : Intégration de l'authentification unique (SSO) Microsoft Entra à AWS ClientVPN](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial) sur le site Web de documentation de Microsoft. | 
| JumpCloud | [Intégrez avec AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) | 
| AWS IAM Identity Center | [Utilisation d'IAM Identity Center AWS Client VPN pour l'authentification et l'autorisation](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/)  | 

### Informations sur le fournisseur de services pour la création d'une application
<a name="saml-config-service-provider-info"></a>

Pour créer une application basée sur SAML à l'aide d'un IdP qui n'est pas répertorié dans le tableau précédent, utilisez les informations suivantes pour configurer les informations du AWS Client VPN fournisseur de services.
+ URL Assertion Consumer Service (ACS) : `http://127.0.0.1:35001`
+ URI du public ciblé: `urn:amazon:webservices:clientvpn`

Au moins un attribut doit être inclus dans la réponse SAML de l'IdP. Voici quelques exemples d'attributs.


| Attribut | Description | 
| --- | --- | 
| FirstName | Le prénom de l'utilisateur. | 
| LastName | Le nom de famille de l'utilisateur. | 
| memberOf | Le ou les groupes dont fait partie l'utilisateur. | 

**Note**  
L'attribut `memberOf` est requis pour utiliser les règles d'autorisation basées sur des groupes Active Directory ou IdP SAML. Il est également sensible à la casse et doit être configuré exactement comme spécifié. Pour plus d'informations, consultez [Autorisation basée sur le réseau](client-authorization.md#auth-rules) et [AWS Client VPN règles d'autorisation](cvpn-working-rules.md).

### Prise en charge du portail en libre-service
<a name="saml-self-service-support"></a>

Si vous activez le portail en libre-service pour votre point de terminaison VPN Client, les utilisateurs se connectent au portail à l'aide de leurs informations d'identification IdP basées sur SAML.

Si votre IdP prend en charge plusieurs Assertions Consumer Service (ACS) URLs, ajoutez l'URL ACS suivante à votre application.

```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Si vous utilisez le point de terminaison Client VPN dans une GovCloud région, utilisez plutôt l'URL ACS suivante. Si vous utilisez la même application IDP pour vous authentifier à la fois pour la norme et pour les GovCloud régions, vous pouvez ajouter les deux. URLs

```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Si votre IdP ne prend pas en charge plusieurs ACS URLs, procédez comme suit : 

1. Créez une application SAML supplémentaire dans votre IdP et spécifiez l'URL ACS suivante.

   ```
   https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
   ```

1. Générez et téléchargez un document de métadonnées de fédération.

1. Créez un fournisseur d'identité IAM SAML sur le même AWS compte que le point de terminaison VPN du Client. Pour plus d'informations, consultez [Création de fournisseurs d'identité SAML IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) dans le *Guide de l'utilisateur IAM*. 
**Note**  
Vous créez ce fournisseur d'identité SAML IAM en plus de celui que vous [créez pour l'application principale](#federated-authentication).

1. [Créez le point de terminaison VPN Client](cvpn-working-endpoint-create.md) et spécifiez les deux fournisseurs d'identité SAML IAM que vous avez créés.

# Autorisation du client dans AWS Client VPN
<a name="client-authorization"></a>

Le VPN Client prend en charge deux types d'autorisation client : les autorisations de groupes de sécurité et les autorisations basées sur le réseau (utilisant des règles d’autorisation).

## Groupes de sécurité
<a name="security-groups"></a>

Lorsque vous créez un point de terminaison VPN Client, vous pouvez spécifier les groupes de sécurité d'un VPC spécifique à appliquer au point de terminaison VPN Client. Lorsque vous associez un sous-réseau à un point de terminaison VPN Client, nous appliquons automatiquement le groupe de sécurité par défaut du VPC. Vous pouvez modifier les groupes de sécurité après avoir créé le point de terminaison VPN Client. Pour plus d'informations, consultez [Appliquer un groupe de sécurité à un réseau cible dans AWS Client VPN](cvpn-working-target-apply.md). Les groupes de sécurité sont associés aux interfaces réseau VPN Client. 

Vous pouvez autoriser les utilisateurs VPN Client à accéder à vos applications dans un VPC en ajoutant une règle aux groupes de sécurité de votre application pour autoriser le trafic à partir du groupe de sécurité qui a été appliqué à l'association. 

À l’inverse, vous pouvez restreindre l'accès des utilisateurs Client VPN en ne spécifiant pas le groupe de sécurité qui a été appliqué à l'association, ou en supprimant la règle qui fait référence au groupe de sécurité du point de terminaison VPN Client. Les règles du groupe de sécurité dont vous avez besoin peuvent également dépendre du type d'accès VPN que vous souhaitez configurer. Pour plus d'informations, consultez [Scénarios et exemples pour Client VPN](how-it-works.md#scenario).

Pour plus d'informations sur les groupes de sécurité, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) dans le *Guide de l’utilisateur Amazon VPC*.

## Autorisation basée sur le réseau
<a name="auth-rules"></a>

L'autorisation basée sur le réseau est mise en œuvre à l'aide de règles d’autorisation. Pour chaque réseau dont vous souhaitez activer l'accès, vous devez configurer des règles d’autorisation qui limitent les utilisateurs y ayant accès. Pour un réseau spécifié, vous configurez le groupe Active Directory ou fournisseur d’identité (IdP) basé sur SAML qui est autorisé à accéder. Seuls les utilisateurs qui appartiennent au groupe spécifié peuvent accéder au réseau spécifié. Si vous n'utilisez pas Active Directory ou l’authentification fédérée basée sur SAML, ou si vous souhaitez ouvrir l'accès à tous les utilisateurs, vous pouvez spécifier une règle qui accorde l'accès à tous les clients. Pour de plus amples informations, veuillez consulter [AWS Client VPN règles d'autorisation](cvpn-working-rules.md).

**Topics**
+ [

## Groupes de sécurité
](#security-groups)
+ [

## Autorisation basée sur le réseau
](#auth-rules)
+ [Création d'une règle de groupe de sécurité des terminaux](client-auth-rule-create.md)

# Création d'une règle de groupe de sécurité des AWS Client VPN terminaux
<a name="client-auth-rule-create"></a>

Le groupe de sécurité par défaut pour le VPC appliqué lorsque vous associez un sous-réseau à un Client VPN peut restreindre le trafic par rapport au trafic du groupe de sécurité par défaut que vous souhaitez autoriser, tout en autorisant le trafic que vous ne souhaitez pas. Suivez les étapes ci-dessous pour créer une règle de groupe de sécurité de point de terminaison VPN client qui autorise ou restreint le trafic pour un groupe de sécurité de point de terminaison associé à une ressource ou à une application. Pour plus d'informations sur les règles des groupes de sécurité, consultez [la section Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) dans le guide de l'utilisateur Amazon *VPC*.

**Pour ajouter une règle qui autorise le trafic en provenance du groupe de sécurité du point de terminaison VPN Client**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Groupes de sécurité**.

1. Choisissez le groupe de sécurité associé à votre ressource ou votre application, puis choisissez **Actions**, **Modifier les règles entrantes**.

1. Choisissez **Ajouter une règle**.

1. Pour **Type**, sélectionnez **Tout le trafic**. Vous pouvez également restreindre l'accès à un type spécifique de trafic, par exemple **SSH**. 

   Pour **Source**, spécifiez l'ID du groupe de sécurité associé au réseau cible (sous-réseau) pour le point de terminaison VPN Client.

1. Sélectionnez **Enregistrer les règles**.

# Autorisation de connexion dans AWS Client VPN
<a name="connection-authorization"></a>

Vous pouvez configurer un *gestionnaire de connexion client* pour votre point de terminaison Client VPN. Ce gestionnaire vous permet d'exécuter une logique personnalisée qui autorise une nouvelle connexion, en fonction des attributs de périphérique, d'utilisateur et de connexion. Le gestionnaire de connexion client (Client Connect Handler) s'exécute une fois que le service Client VPN a authentifié le périphérique et l'utilisateur. 

Pour configurer un gestionnaire de connexion client pour votre point de terminaison Client VPN, créez une fonction AWS Lambda qui prend les attributs de périphérique, d'utilisateur et de connexion comme entrées, et renvoie la décision au service Client VPN d'autoriser ou de refuser une nouvelle connexion. Vous spécifiez la fonction Lambda dans votre point de terminaison Client VPN. Lorsque les périphériques se connectent à votre point de terminaison Client VPN, le service Client VPN appelle la fonction Lambda en votre nom. Seules les connexions autorisées par la fonction Lambda sont autorisées à se connecter au point de terminaison Client VPN.

**Note**  
Actuellement, le seul type de gestionnaire de connexion client pris en charge est une fonction Lambda. 

## Exigences et considérations
<a name="client-connect-handler-reqs"></a>

Voici les exigences et considérations relatives au gestionnaire de connexion client :
+ Le nom de la fonction Lambda doit commencer par le préfixe `AWSClientVPN-`.
+ Les fonctions Lambda qualifiées sont prises en charge. 
+ La fonction Lambda doit se trouver dans la même AWS région et sur le même AWS compte que le point de terminaison VPN du Client.
+ La fonction Lambda expire après 30 secondes. Cette valeur ne peut pas être modifiée.
+ La fonction Lambda est appelée de manière synchrone. Elle est appelée après l'authentification du périphérique et de l'utilisateur, et avant l'évaluation des règles d'autorisation.
+ Si la fonction Lambda est appelée pour une nouvelle connexion et que le service Client VPN n'obtient pas de réponse attendue de la fonction, le service Client VPN refuse la demande de connexion. Par exemple, ceci peut se produire si la fonction Lambda est limitée, expire ou rencontre d'autres erreurs inattendues, ou si la réponse de la fonction n'est pas dans un format valide.
+ Nous vous recommandons de configurer la [simultanéité allouée](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html) pour la fonction Lambda afin qu'elle puisse être mise à l'échelle sans fluctuations de latence.
+ Si vous mettez à jour votre fonction Lambda, les connexions existantes au point de terminaison Client VPN ne sont pas affectées. Vous pouvez résilier les connexions existantes, puis demander à vos clients d'établir de nouvelles connexions. Pour de plus amples informations, veuillez consulter [Mettre fin à une connexion AWS Client VPN clientMettre fin à une connexion client](cvpn-working-connections-disassociate.md).
+ Si les clients utilisent le client AWS fourni pour se connecter au point de terminaison VPN du Client, ils doivent utiliser la version 1.2.6 ou ultérieure pour Windows, et la version 1.2.4 ou ultérieure pour macOS. Pour plus d'informations, consultez [Se connecter à l'aide d'un client fourni par AWS](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).

## Interface Lambda
<a name="connection-authorization-lambda"></a>

La fonction Lambda prend les attributs de périphérique, les attributs utilisateur et les attributs de connexion comme entrées du service Client VPN. Elle doit ensuite renvoyer une décision au service Client VPN : autoriser ou refuser la connexion.

**Schéma de la demande**  
La fonction Lambda prend un blob JSON contenant les champs suivants en entrée.

```
{
    "connection-id": <connection ID>,
    "endpoint-id": <client VPN endpoint ID>,
    "common-name": <cert-common-name>,
    "username": <user identifier>,
    "platform": <OS platform>,
    "platform-version": <OS version>,
    "public-ip": <public IP address>,
    "client-openvpn-version": <client OpenVPN version>,
    "aws-client-version": <AWS client version>,
    "groups": <group identifier>,
    "schema-version": "v3"
}
```
+ `connection-id` — ID de la connexion client au point de terminaison Client VPN.
+ `endpoint-id` — ID du point de terminaison Client VPN.
+ `common-name` — Identifiant du périphérique. Dans le certificat client que vous créez pour le périphérique, le nom commun identifie le périphérique de manière unique.
+ `username` — Identifiant de l'utilisateur, le cas échéant. Pour l'authentification Active Directory, il s'agit du nom d'utilisateur. Pour l'authentification fédérée basée sur SAML, il s’agit de `NameID`. Pour l'authentification mutuelle, ce champ est vide.
+ `platform` — Plateforme du système d'exploitation client. 
+ `platform-version` — Version du système d’exploitation. Le service Client VPN fournit une valeur lorsque la directive `--push-peer-info` est présente dans la configuration du client OpenVPN, lorsque les clients se connectent à un point de terminaison Client VPN et lorsque le client exécute la plateforme Windows.
+ `public-ip` — Adresse IP publique du périphérique qui se connecte.
+ `client-openvpn-version` — Version OpenVPN utilisée par le client.
+ `aws-client-version`— La version AWS du client.
+ `groups` — Identifiant du groupe, le cas échéant. Pour l'authentification Active Directory, il s'agit d'une liste de groupes Active Directory. Pour l'authentification fédérée basée sur SAML, il s'agit d'une liste de groupes de fournisseurs d'identité (IdP). Pour l'authentification mutuelle, ce champ est vide.
+ `schema-version` — Version du schéma. La valeur par défaut est `v3`.

**Schéma de la réponse**  
La fonction Lambda doit renvoyer les champs suivants.

```
{
    "allow": boolean,
    "error-msg-on-denied-connection": "",
    "posture-compliance-statuses": [],
    "schema-version": "v3"
}
```
+ `allow` — Obligatoire. Booléen (`true` \$1 `false`) qui indique s'il faut autoriser ou refuser la nouvelle connexion.
+ `error-msg-on-denied-connection` — Obligatoire. Chaîne de 255 caractères maximum qui peut être utilisée pour fournir des étapes et des conseils aux clients si la connexion est refusée par la fonction Lambda. En cas de défaillance lors de l'exécution de la fonction Lambda (par exemple, en raison d'un étranglement), le message par défaut suivant est renvoyé aux clients par le service Client VPN.

  ```
  Error establishing connection. Please contact your administrator.
  ```
+ `posture-compliance-statuses` — Obligatoire. Si vous utilisez la fonction Lambda pour [évaluer la posture](#connection-authorization-posture-assessment), ceci est une liste des états pour le périphérique qui se connecte. Vous définissez les noms d'états en fonction de vos catégories d'évaluation de posture pour les périphériques, par exemple `compliant`, `quarantined`, `unknown`, etc. Chaque nom peut contenir jusqu'à 255 caractères. Vous pouvez spécifier jusqu'à 10 statuts.
+ `schema-version` — Obligatoire. Version du schéma. La valeur par défaut est `v3`.

Vous pouvez utiliser la même fonction Lambda pour plusieurs points de terminaison Client VPN dans la même région.

Pour plus d'informations sur la création d'une fonction Lambda, consultez [Mise en route avec AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started.html) dans le *Guide du développeur AWS Lambda *.

## Utiliser le gestionnaire de connexion client pour évaluer la posture
<a name="connection-authorization-posture-assessment"></a>

Vous pouvez utiliser le gestionnaire de connexion client pour intégrer votre point de terminaison Client VPN à votre solution existante de gestion de périphériques afin d'évaluer la conformité de posture des périphériques qui se connectent. Pour que la fonction Lambda fonctionne comme gestionnaire d'autorisation de périphérique, utilisez l'[authentification mutuelle](mutual.md) pour votre point de terminaison Client VPN. Créez un certificat client unique et une clé pour chaque client (périphérique) qui se connectera au point de terminaison Client VPN. La fonction Lambda peut utiliser le nom commun unique du certificat client (transmis par le service Client VPN) pour identifier le périphérique et récupérer son état de conformité de posture à partir de votre solution de gestion des périphériques. Vous pouvez utiliser l'authentification mutuelle combinée à l'authentification basée sur l'utilisateur. 

Vous pouvez également effectuer une évaluation de la posture de base dans la fonction Lambda elle-même. Par exemple, vous pouvez évaluer les champs `platform` et `platform-version` qui sont transmis à la fonction Lambda par le service Client VPN.

**Note**  
Bien que le gestionnaire de connexion puisse être utilisé pour imposer une version minimale de AWS Client VPN l'application, le champ `aws-client-version` du gestionnaire de connexion ne s'applique qu'à l' AWS Client VPN application et est renseigné à partir de variables d'environnement sur l'appareil utilisateur.

## Activer le gestionnaire de connexion client
<a name="enable-client-connect-handler"></a>

Pour activer le gestionnaire de connexion client, créez ou modifiez un point de terminaison Client VPN et spécifiez l’ARN (Amazon Resource Name) de la fonction Lambda. Pour de plus amples informations, veuillez consulter [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md) et [Modifier un AWS Client VPN point de terminaison](cvpn-working-endpoint-modify.md). 

## Rôle lié à un service
<a name="connection-authorization-slr"></a>

AWS Client VPN crée automatiquement un rôle lié au service dans votre compte appelé. **AWSServiceRoleForClientVPNConnections** Le rôle dispose des autorisations pour appeler la fonction Lambda lorsqu'une connexion est établie au point de terminaison Client VPN. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS Client VPN](using-service-linked-roles.md).

## Surveiller les échecs d'autorisation de connexion
<a name="connection-authorization-monitoring"></a>

Vous pouvez afficher l'état d'autorisation de connexion des connexions au point de terminaison Client VPN. Pour plus d'informations, consultez [Afficher les connexions AWS Client VPN clientAfficher les connexions client](cvpn-working-connections-view.md).

Lorsque le gestionnaire de connexion client est utilisé pour évaluer la posture, vous pouvez également afficher les états de conformité de posture des périphériques qui se connectent à votre point de terminaison Client VPN dans les journaux de connexion. Pour plus d'informations, consultez [Journalisation des connexions pour un AWS Client VPN point de terminaison](connection-logging.md). 

Si un périphérique échoue l'autorisation de connexion, le champ `connection-attempt-failure-reason` dans les journaux de connexion renvoie l'une des raisons d'échec suivantes :
+ `client-connect-failed` — La fonction Lambda a empêché l'établissement de la connexion.
+ `client-connect-handler-timed-out` — La fonction Lambda a expiré.
+ `client-connect-handler-other-execution-error` — La fonction Lambda a rencontré une erreur inattendue.
+ `client-connect-handler-throttled` — La fonction Lambda a été limitée.
+ `client-connect-handler-invalid-response` — La fonction Lambda a renvoyé une réponse non valide.
+ `client-connect-handler-service-error` — Une erreur côté service s'est produite lors de la tentative de connexion.

# Tunnel partagé sur les points de terminaison AWS Client VPN
<a name="split-tunnel-vpn"></a>

Par défaut, lorsque vous disposez d'un point de terminaison Client VPN, tout le trafic provenant des clients est acheminé via le tunnel Client VPN. Lorsque vous activez le tunnel partagé sur le point de terminaison Client VPN, nous poussons les routes sur la [table de routage des points de terminaison Client VPN](cvpn-working-routes.md) vers le périphérique connecté au point de terminaison Client VPN. Cela garantit que seul le trafic avec une destination vers le réseau correspondant à une route à partir de la table de routage du point de terminaison Client VPN est acheminé via le tunnel Client VPN. 

Vous pouvez utiliser un point de terminaison Client VPN à tunnel partagé lorsque vous ne souhaitez pas que tout le trafic utilisateur soit acheminé via le point de terminaison Client VPN. 

Dans l'exemple suivant, le tunnel partagé est activé sur le point de terminaison Client VPN. Seul le trafic destiné au VPC (`172.31.0.0/16`) est acheminé via le tunnel Client VPN. Le trafic destiné aux ressources sur site n'est pas acheminé via le tunnel Client VPN.

![\[Point de terminaison VPN client à tunnel partagé\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/client-vpn-split-tunnel.png)


## Avantages du tunnel partagé
<a name="split-tunnel-benefits"></a>

Les points de terminaison Client VPN à tunnel partagé offrent les avantages suivants :
+ Vous pouvez optimiser le routage du trafic provenant des clients en faisant en sorte que seul le trafic AWS destiné traverse le tunnel VPN.
+ Vous pouvez réduire le volume du trafic sortant AWS, réduisant ainsi le coût du transfert de données.

## Considérations relatives au routage
<a name="split-tunnel-routing"></a>
+ Lorsque vous activez le mode tunnel partagé, toutes les routes de la table de routage du point de terminaison VPN client sont ajoutées à la table de routage du client lorsque la connexion VPN est établie. Cette opération est différente du comportement par défaut, qui remplace la table de routage client par l'entrée `0.0.0.0/0` pour acheminer tout le trafic via le VPN.
**Note**  
L'ajout d'une route 0.0.0.0/0 à la table de routage du point de terminaison du Client VPN lors de l'utilisation du mode tunnel partagé peut entraîner une interruption de la connectivité et n'est pas recommandé
+ Lorsque le mode tunnel partagé est activé, toute modification apportée à la table de routage du point de terminaison Client VPN entraîne la réinitialisation de toutes les connexions client.

## Activation du split tunnel
<a name="split-tunnel-enable"></a>

Vous pouvez activer le tunnel partagé sur un point de terminaison Client VPN nouveau ou existant. Pour plus d’informations, consultez les rubriques suivantes :
+ [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md)
+ [Modifier un AWS Client VPN point de terminaison](cvpn-working-endpoint-modify.md)

# Journalisation des connexions pour un AWS Client VPN point de terminaison
<a name="connection-logging"></a>

La journalisation des connexions est une fonctionnalité AWS Client VPN qui vous permet de capturer les *journaux de connexion* pour le point de terminaison de votre Client VPN. 

Un journal de *connexion contient des entrées de journal* de connexion qui capturent des informations sur les événements de connexion, tels que lorsqu'un client (utilisateur final) se connecte, tente de se connecter ou se déconnecte de votre point de terminaison VPN client. Vous pouvez utiliser ces informations pour exécuter des analyses approfondies, analyser l'utilisation de votre point de terminaison VPN Client ou déboguer des problèmes de connexion.

La journalisation des connexions est disponible dans toutes les régions où AWS Client VPN elle est disponible. Les journaux de connexion sont publiés dans un groupe de CloudWatch journaux de votre compte.

**Note**  
Les tentatives d'authentification mutuelle qui ont échoué ne sont pas enregistrées.

## Entrées du journal de connexion
<a name="connection-log-entries"></a>

Une entrée de journal de connexion est un blob au format JSON de paires valeur-clé. Voici un exemple d'entrée de journal de connexion.

```
{
    "connection-log-type": "connection-attempt",
    "connection-attempt-status": "successful",
    "connection-reset-status": "NA",
    "connection-attempt-failure-reason": "NA",
    "connection-id": "cvpn-connection-abc123abc123abc12",
    "client-vpn-endpoint-id": "cvpn-endpoint-aaa111bbb222ccc33",
    "transport-protocol": "udp",
    "connection-start-time": "2020-03-26 20:37:15",
    "connection-last-update-time": "2020-03-26 20:37:15",
    "client-ip": "10.0.1.2",
    "common-name": "client1",
    "device-type": "mac",
    "device-ip": "98.247.202.82",
    "port": "50096",
    "ingress-bytes": "0",
    "egress-bytes": "0",
    "ingress-packets": "0",
    "egress-packets": "0",
    "connection-end-time": "NA",
    "username": "joe"
    }
```

Une entrée de journal de connexion contient les clés suivantes :
+ `connection-log-type` - Type d'entrée du journal de connexion (`connection-attempt` ou `connection-reset`).
+ `connection-attempt-status` - Statut de la demande de connexion (`successful`, `failed`, `waiting-for-assertion` ou `NA`).
+ `connection-reset-status` - État d'un événement de réinitialisation de connexion (`NA` ou `assertion-received`).
+ `connection-attempt-failure-reason` - Motif de l'échec de la connexion, le cas échéant.
+ `connection-id` - ID de la connexion.
+ `client-vpn-endpoint-id` - ID du point de terminaison VPN Client auquel la connexion a été établie.
+ `transport-protocol` - Protocole de transport utilisé pour la connexion.
+ `connection-start-time` - Heure de début de la connexion.
+ `connection-last-update-time` - Heure de la dernière mise à jour de la connexion. Cette valeur est périodiquement mise à jour dans les journaux.
+ `client-ip`— L'adresse IP du client, qui est attribuée à partir de la plage d'adresses IPv4 CIDR du client pour le point de terminaison VPN du client.
+ `common-name` - Nom commun du certificat utilisé pour l'authentification basée sur un certificat.
+ `device-type` - Type de périphérique utilisé pour la connexion par l'utilisateur final.
+ `device-ip` - Adresse IP publique du périphérique.
+ `port` - Numéro de port de la connexion.
+ `ingress-bytes` - Nombre d'octets entrants pour la connexion. Cette valeur est périodiquement mise à jour dans les journaux.
+ `egress-bytes` - Nombre d'octets sortants pour la connexion. Cette valeur est périodiquement mise à jour dans les journaux.
+ `ingress-packets` - Nombre de paquets entrants pour la connexion. Cette valeur est périodiquement mise à jour dans les journaux.
+ `egress-packets` - Nombre de paquets sortants pour la connexion. Cette valeur est périodiquement mise à jour dans les journaux.
+ `connection-end-time` - Heure de fin de la connexion. La valeur est `NA` si la connexion est toujours en cours ou si la tentative de connexion a échoué.
+ `posture-compliance-statuses` - Les statuts de conformité de posture renvoyés par le [gestionnaire de connexion client](connection-authorization.md), le cas échéant.
+ `username` — Le nom d'utilisateur est enregistré lorsque l'authentification basée sur l'utilisateur (AD ou SAML) est utilisée pour le point de terminaison.
+ `connection-duration-seconds` — Durée d'une connexion en secondes. Égal à la différence entre « connection-start-time » et « connection-end-time ».

Pour plus d’informations sur l'activation de la journalisation des connexions, consultez [AWS Client VPN journaux de connexion](cvpn-working-with-connection-logs.md).

# Considérations relatives à la mise à l'échelle Client VPN
<a name="scaling-considerations"></a>

Lorsque vous créez un point de terminaison Client VPN, tenez compte du nombre maximal de connexions VPN simultanées que vous envisagez de prendre en charge. Vous devez prendre en compte le nombre de clients que vous soutenez actuellement et déterminer si votre point de terminaison VPN client peut évoluer pour répondre à une demande supplémentaire si nécessaire. 

Les facteurs suivants influent sur le nombre maximal de connexions VPN simultanées pouvant être prises en charge sur un point de terminaison VPN Client :

**Taille de la plage CIDR client**  
Lorsque vous [créez un point de terminaison Client VPN](cvpn-working-endpoint-create.md), vous devez spécifier une plage d'adresses CIDR client, qui est un bloc d'adresse IPv4 CIDR compris entre un masque réseau /12 et /22. Chaque connexion VPN au point de terminaison Client VPN se voit attribuer une adresse IP unique à partir de la plage CIDR client. Un certain nombre d'adresses de la plage CIDR client sont également utilisées pour prendre en charge le modèle de disponibilité du point de terminaison Client VPN et ne peuvent pas être affectées aux clients. Vous ne pouvez pas modifier la plage CIDR client après avoir créé le point de terminaison Client VPN.  
En général, nous vous recommandons de spécifier une plage CIDR client contenant deux fois le nombre d'adresses IP (par conséquent, de connexions simultanées) que vous prévoyez de prendre en charge sur le point de terminaison Client VPN. 

**Nombre de sous-réseaux associés**  
Lorsque vous [associez un sous-réseau](cvpn-working-target.md) à un point de terminaison Client VPN, vous autorisez les utilisateurs à établir des séances VPN sur le point de terminaison Client VPN. Vous pouvez associer plusieurs sous-réseaux à un point de terminaison Client VPN pour une haute disponibilité et pour activer une capacité de connexion supplémentaire.   
Voici le nombre de connexions VPN simultanées prises en charge en fonction du nombre d'associations de sous-réseaux pour le point de terminaison Client VPN.      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/scaling-considerations.html)

Vous ne pouvez pas associer plusieurs sous-réseaux de la même zone de disponibilité à un point de terminaison Client VPN. Par conséquent, le nombre d'associations de sous-réseaux dépend également du nombre de zones de disponibilité disponibles dans une AWS région.

Par exemple, si vous prévoyez de prendre en charge 8 000 connexions VPN à votre point de terminaison Client VPN, spécifiez une taille minimale de plage CIDR client de `/18` (16 384 adresses IP) et associez au moins 2 sous-réseaux au point de terminaison Client VPN.

Si vous ne savez pas quel est le nombre de connexions VPN attendues pour votre point de terminaison Client VPN, nous vous recommandons de spécifier un bloc CIDR de taille `/16` ou plus élevée.

Pour en savoir plus sur les règles et limitations relatives à l'utilisation des plages CIDR clients et des réseaux cibles, consultez [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).

Pour en savoir sur les quotas de votre point de terminaison Client VPN, consultez [AWS Client VPN quotas](limits.md).