Ce guide décrit la nouvelle console d'administration AWS Wickr, publiée le 13 mars 2025. Pour obtenir de la documentation sur la version classique de la console d'administration AWS Wickr, consultez le [Guide d'administration classique](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de l'authentification unique pour AWS Wickr
<a name="sso-configuration"></a>

Dans AWS Management Console for Wickr, vous pouvez configurer Wickr pour qu'il utilise un système d'authentification unique pour s'authentifier. Le SSO fournit une couche de sécurité supplémentaire lorsqu'il est associé à un système d'authentification multifactorielle (MFA) approprié. Wickr prend en charge les fournisseurs SSO qui utilisent uniquement OpenID Connect (OIDC). Les fournisseurs qui utilisent le langage SAML (Security Assertion Markup Language) ne sont pas pris en charge.

**Topics**
+ [Afficher les détails du SSO dans AWS Wickr](view-sso-details.md)
+ [Configuration de l'authentification unique dans AWS Wickr](configure-sso.md)
+ [Période de grâce pour l'actualisation des jetons](token-refresh.md)

# Afficher les détails du SSO dans AWS Wickr
<a name="view-sso-details"></a>

Vous pouvez consulter les détails de votre configuration d'authentification unique pour votre réseau Wickr et le point de terminaison du réseau.

Effectuez la procédure suivante pour afficher la configuration d'authentification unique actuelle pour votre réseau Wickr, le cas échéant.

1. Ouvrez le AWS Management Console pour Wickr à l'adresse [https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/).

1. Sur la page **Réseaux**, sélectionnez le nom du réseau pour accéder à ce réseau.

1. Dans le volet de navigation, sélectionnez **Gestion des utilisateurs**.

   Sur la page **Gestion des utilisateurs**, la section **Single Sign-On** affiche le point de terminaison de votre réseau Wickr et la configuration SSO actuelle.

# Configuration de l'authentification unique dans AWS Wickr
<a name="configure-sso"></a>

Pour garantir un accès sécurisé à votre réseau Wickr, vous pouvez configurer votre configuration d'authentification unique actuelle. Des guides détaillés sont disponibles pour vous aider dans ce processus.

**Important**  
Lorsque vous configurez le SSO, vous spécifiez un identifiant d'entreprise pour votre réseau Wickr. N'oubliez pas d'enregistrer cet identifiant d'entreprise. Vous devez le fournir à vos utilisateurs finaux lors de l'envoi d'e-mails d'invitation. Les utilisateurs finaux doivent spécifier l'identifiant de l'entreprise lorsqu'ils s'inscrivent à votre réseau Wickr.
En septembre 2025, AWS Wickr a introduit un système de connexion SSO amélioré et plus sécurisé. Pour tirer parti de ces améliorations de sécurité, les organisations utilisant le SSO doivent migrer vers une nouvelle URI de redirection avant le 9 mars 2026. Pour obtenir des instructions de migration, consultez l' AWS re:Post article suivant : [Migration vers la nouvelle URI de redirection SSO pour AWS Wickr](https://repost.aws/articles/ARwG2sEMHkShKNn77mc8pc8Q/migrating-to-the-new-sso-redirect-uri-for-aws-wickr).

Pour plus d'informations sur la configuration de l'authentification unique, consultez les guides suivants :
+ [Configuration de l'authentification unique (SSO) AWS Wickr avec Microsoft Entra (Azure AD)](https://docs.aws.amazon.com/wickr/latest/adminguide/entra-ad-sso.html)
+ [Configuration de l'authentification unique (SSO) AWS Wickr avec Okta](https://repost.aws/articles/ARqcPJ8MctR02Om4APlBEANw/aws-wickr-single-sign-on-sso-setup-with-okta)
+ [Configuration de l'authentification unique (SSO) AWS Wickr avec Amazon Cognito](https://repost.aws/articles/ARIOjROyJDTfutje_DJW9wWg/aws-wickr-single-sign-on-sso-setup-with-amazon-cognito)

# Configurer AWS Wickr avec l'authentification unique Microsoft Entra (Azure AD)
<a name="entra-ad-sso"></a>

AWS Wickr peut être configuré pour utiliser Microsoft Entra (Azure AD) en tant que fournisseur d'identité. Pour ce faire, suivez les procédures suivantes dans Microsoft Entra et dans la console d'administration AWS Wickr.

**Avertissement**  
Une fois le SSO activé sur un réseau, les utilisateurs actifs seront déconnectés de Wickr et les obligeront à s'authentifier à nouveau à l'aide du fournisseur SSO.

## Étape 1 : enregistrer AWS Wickr en tant qu'application dans Microsoft Entra
<a name="step-1-entra-wickr-application"></a>

Suivez la procédure suivante pour enregistrer AWS Wickr en tant qu'application dans Microsoft Entra.

**Note**  
Reportez-vous à la documentation Microsoft Entra pour obtenir des captures d'écran détaillées et un dépannage. Pour plus d'informations, voir [Enregistrer une application auprès de la plateforme d'identité Microsoft](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)

1. Dans le volet de navigation, choisissez **Applications**, puis cliquez sur **Inscriptions d'applications**.

1. Sur la page **Inscriptions d'applications**, choisissez **Enregistrer une application**, puis entrez le nom de l'application.

1. Sélectionnez **Comptes uniquement dans ce répertoire d'organisation (répertoire par défaut uniquement - Locataire unique)**.

1. Sous **URI de redirection**, sélectionnez **Web**, puis entrez l'URI de redirection disponible dans les paramètres de configuration SSO de la console d'administration AWS Wickr

1. Choisissez **S’inscrire**.

1. Après l'enregistrement, copy/save l'identifiant de l'application (client) est généré.  
![\[Image d'identifiant de l'application cliente.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/application-client-id.png)

1. Sélectionnez l'onglet **Endpoints** pour prendre note des points suivants :

   1. Point de terminaison d'autorisation Oauth 2.0 (v2) : Par exemple : `https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize` 

   1. Modifiez cette valeur pour supprimer « oauth2/ » et « authorize ». Par exemple, l'URL fixe ressemblera à ceci : `https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`

   1. Il sera référencé en tant qu'**émetteur SSO**.

## Étape 2 : Configuration de l'authentification
<a name="step-2-entra-setup-authentication"></a>

Suivez la procédure ci-dessous pour configurer l'authentification dans Microsoft Entra.

1. Dans le volet de navigation, choisissez **Authentication**.

1. Sur la page **d'authentification**, assurez-vous que l'**URI de redirection Web** est le même que celui saisi précédemment (dans *Enregistrer AWS Wickr en tant qu'application*).  
![\[Image d'authentification du client.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/authentication.png)

1. Sélectionnez les **jetons d'accès utilisés pour les flux implicites** et les **jetons d'identification utilisés pour les flux implicites et hybrides**.

1. Choisissez **Enregistrer**.  
![\[Demandez une image du jeton d'accès.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/access-tokens.png)

## Étape 3 : Configuration des certificats et des secrets
<a name="step-3-entra-setup-certificates"></a>

Suivez la procédure suivante pour configurer les certificats et les secrets dans Microsoft Entra.

1. Dans le volet de navigation, sélectionnez **Certificates & secrets**.

1. Sur la page **Certificats et secrets**, sélectionnez l'onglet **Secrets clients**.

1. Dans l'onglet **Secret client**, sélectionnez **Nouveau secret client**.

1. Entrez une description et sélectionnez une période d'expiration pour le secret.

1. Choisissez **Ajouter**.  
![\[Ajoutez une image secrète du client.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/entra-create-client-secret.png)

1. Une fois le certificat créé, copiez la **valeur secrète du client**.  
![\[Exemple de valeur secrète du client.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/entra-client-secret-value.png)
**Note**  
La valeur secrète du client (et non l'ID secret) sera requise pour le code de votre application client. Il se peut que vous ne puissiez pas afficher ou copier la valeur secrète après avoir quitté cette page. Si vous ne le copiez pas maintenant, vous devrez y retourner pour créer un nouveau secret client.

## Étape 4 : Configuration de la configuration du jeton
<a name="step-4-entra-setup-token"></a>

Suivez la procédure suivante pour configurer la configuration des jetons dans Microsoft Entra.

1. Dans le volet de navigation, choisissez **Configuration du jeton**.

1. Sur la page de **configuration du jeton**, choisissez **Ajouter une réclamation facultative**.

1. Sous **Réclamations facultatives**, sélectionnez le **type de jeton** comme **identifiant**.

1. Après avoir sélectionné **l'identifiant**, sous **Réclamer**, sélectionnez **e-mail** et **UPN.**

1. Choisissez **Ajouter**.  
![\[Image de type jeton.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/entra-token-type.png)

## Étape 5 : Configuration des autorisations d'API
<a name="step-5-entra-setup-api-permissions"></a>

Suivez la procédure suivante pour configurer les autorisations d'API dans Microsoft Entra.

1. Dans le panneau de navigation, choisissez **API permissions** (Autorisations d'API).

1. Sur la page **des autorisations de l'API**, choisissez **Ajouter une autorisation**.  
![\[Ajoutez une image d'autorisation.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/entra-api-permissions.png)

1. Sélectionnez **Microsoft Graph**, puis sélectionnez **Autorisations déléguées**.

1. ****Cochez la case pour **e-mail**, **offline\$1access, openid, profile**.****

1. Choisissez **Ajouter des autorisations**.

## Étape 6 : exposer une API
<a name="step-6-entra-expose-api"></a>

Effectuez la procédure suivante pour exposer une API pour chacun des 4 champs d'application de Microsoft Entra.

1. Dans le volet de navigation, choisissez **Exposer une API**.

1. Sur la page **Exposer une API**, choisissez **Ajouter une portée**.  
![\[Exposez une image d'API.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/entra-expose-an-api.png)

   L'**URI de l'ID de l'application** doit être renseignée automatiquement, et l'ID qui suit l'URI doit correspondre à l'**ID de l'application** (créé dans *Register AWS Wickr en tant qu'application*).  
![\[Ajoutez une image de scope.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/entra-add-scope.png)

1. Choisissez **Save and continue (Enregistrer et continuer)**.

1. Sélectionnez le tag **Admins and users**, puis entrez le nom de la portée sous la forme **offline\$1access**.

1. Sélectionnez **État**, puis sélectionnez **Activer**.

1. Choisissez **Ajouter un champ d'application**.

1. **Répétez les étapes 1 à 6 de cette section pour ajouter les champs d'application suivants : **e-mail**, **openid** et profile.**  
![\[Ajoutez une image de scopes.\]](http://docs.aws.amazon.com/fr_fr/wickr/latest/adminguide/images/entra-scopes-api.png)

1. Sous **Applications clientes autorisées**, sélectionnez **Ajouter une application client**.

1. Sélectionnez les quatre étendues créées à l'étape précédente.

1. Entrez ou vérifiez l'**ID de l'application (client)**.

1. Choisissez **Add application** (Ajouter une application).

## Étape 7 : configuration SSO d'AWS Wickr
<a name="step-7-wickr-sso-configuration"></a>

Effectuez la procédure de configuration suivante dans la console AWS Wickr.

1. Ouvrez le AWS Management Console pour Wickr à l'adresse [https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/).

1. Sur la **page Réseaux**, sélectionnez le nom du réseau pour accéder à ce réseau. 

1. Dans le volet de navigation, choisissez **Gestion des utilisateurs**, puis sélectionnez **Configurer l'authentification unique**.

1. Entrez les détails suivants :
   + **Émetteur** — Il s'agit du point de terminaison qui a été modifié précédemment (par exemple`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`).
   + **ID client** — Il s'agit de l'ID de **l'application (client) indiqué** dans le volet **Vue d'ensemble**.
   + **Secret client (facultatif)** — Il s'agit du **secret client indiqué** dans le volet **Certificats et secrets**.
   + Étendue : **il** s'agit des noms de portée exposés dans le volet **Exposer une API**. **Entrez **email**, **profile**, **offline\$1access** et openid.**
   + **Étendue du nom d'utilisateur personnalisée (facultatif)** — Entrez **upn.**
   + **Numéro d'entreprise** — Il peut s'agir d'une valeur de texte unique comprenant des caractères alphanumériques et des traits de soulignement. C'est cette phrase que vos utilisateurs saisiront lorsqu'ils s'enregistreront sur de nouveaux appareils.

   *Les autres champs sont facultatifs.*

1. Choisissez **Suivant**.

1. Vérifiez les informations dans la page **Réviser et enregistrer**, puis choisissez **Enregistrer les modifications**.

La configuration SSO est terminée. Pour vérifier, vous pouvez désormais ajouter un utilisateur à l'application dans Microsoft Entra et vous connecter avec cet utilisateur à l'aide de l'authentification unique et de l'identifiant d'entreprise.

Pour plus d'informations sur la façon d'inviter et d'intégrer des utilisateurs, voir [Créer et inviter des utilisateurs](https://docs.aws.amazon.com/wickr/latest/adminguide/getting-started.html#getting-started-step3).

## Résolution des problèmes
<a name="troubleshooting"></a>

Vous trouverez ci-dessous les problèmes courants que vous pourriez rencontrer et des suggestions pour les résoudre.
+ Le test de connexion SSO échoue ou ne répond pas : 
  + Assurez-vous que l'**émetteur SSO** est configuré comme prévu.
  + Assurez-vous que les champs obligatoires dans le **SSO Configuré** sont définis comme prévu.
+ Le test de connexion est réussi, mais l'utilisateur ne parvient pas à se connecter : 
  + Assurez-vous que l'utilisateur est ajouté à l'application Wickr que vous avez enregistrée dans Microsoft Entra.
  + Assurez-vous que l'utilisateur utilise le bon identifiant d'entreprise, y compris le préfixe. *Par exemple, UE1 DemoNetwork W\$1drqtva.*
  + Le **secret du client** n'est peut-être pas défini correctement dans la configuration **SSO d'AWS Wickr.** Réinitialisez-le en créant un autre **secret client** dans Microsoft Entra et définissez le nouveau **secret client** dans la configuration **SSO de Wickr.**

# Période de grâce pour l'actualisation des jetons
<a name="token-refresh"></a>

Il peut arriver que les fournisseurs d'identité soient confrontés à des interruptions temporaires ou prolongées, ce qui peut entraîner la déconnexion inattendue de vos utilisateurs en raison de l'échec d'un jeton d'actualisation pour leur session client. Pour éviter ce problème, vous pouvez établir une période de grâce qui permet à vos utilisateurs de rester connectés même si leur jeton d'actualisation client échoue lors de telles pannes.

Voici les options disponibles pour la période de grâce :
+ Aucune période de grâce (par défaut) : les utilisateurs seront déconnectés immédiatement après l'échec d'un jeton d'actualisation.
+ Période de grâce de 30 minutes : les utilisateurs peuvent rester connectés jusqu'à 30 minutes après l'échec d'un jeton d'actualisation.
+ Période de grâce de 60 minutes : les utilisateurs peuvent rester connectés pendant 60 minutes au maximum après l'échec d'un jeton d'actualisation.