FAQ AWS IAM Identity Center

Questions d'ordre général

IAM Identity Center est créé à partir d'AWS Identity and Access Management (IAM) pour faciliter la gestion des accès à plusieurs comptes AWS, aux applications AWS et à d'autres applications cloud compatibles avec SAML. Dans IAM Identity Center, vous créez ou connectez les utilisateurs de votre personnel pour les utiliser dans AWS. Vous pouvez choisir de limiter l'accès à vos comptes AWS, à vos applications cloud ou aux deux. Vous pouvez créer des utilisateurs directement dans IAM Identity Center, ou les apporter depuis votre répertoire de personnel existant. IAM Identity Center vous permet de bénéficier d'une expérience d'administration unifiée permettant de définir, personnaliser et attribuer des accès précis. Votre personnel bénéficie d'un portail utilisateur pour accéder aux comptes AWS et applications cloud qui ont été attribués.

IAM Identity Center facilite les procédures administratives visant à fédérer et à gérer les autorisations séparément pour chaque compte AWS. Il vous permet de configurer des applications AWS à partir d'une interface unique, et d'attribuer l'accès à vos applications cloud à partir d'un seul endroit.

IAM Identity Center contribue également à améliorer la visibilité de l'accès en s'intégrant à AWS CloudTrail et en fournissant un lieu central pour l'audit de l'accès par authentification unique aux comptes AWS et aux applications cloud basées sur SAML comme Microsoft 365, Salesforce et Box.

IAM Identity Center est la porte d'entrée dans AWS que nous recommandons. Il devrait être votre principal outil de gestion d'accès au système AWS pour les utilisateurs de votre personnel. Il vous permet de gérer vos identités dans votre source d'identité préférée, de les connecter une seule fois pour les utiliser dans AWS, de définir des autorisations précises et de les appliquer de manière cohérente à tous les comptes. À mesure que le nombre de vos comptes augmente, IAM Identity Center vous offre la possibilité de l'utiliser comme un lieu unique pour gérer l'accès des utilisateurs à toutes vos applications cloud.

IAM Identity Center s'adresse aux administrateurs qui gèrent plusieurs comptes AWS et applications métier, qui souhaitent gérer de façon centralisée l'accès des utilisateurs à ces services cloud et qui désirent mettre à disposition des employés un endroit unique pour leur permettre d'accéder à ces comptes et applications sans qu'ils aient besoin de mémoriser un nouveau mot de passe.

En tant que nouvel utilisateur d'IAM Identity Center :

Connectez-vous à la console de gestion AWS depuis le compte de gestion de votre compte AWS et accédez à la console IAM Identity Center.

Sélectionnez le répertoire que vous utilisez pour stocker les identités de vos utilisateurs et groupes dans la console IAM Identity Center. IAM Identity Center vous fournit par défaut un répertoire que vous pouvez utiliser pour gérer les utilisateurs et les groupes dans IAM Identity Center. Vous pouvez également changer de répertoire pour vous connecter à un répertoire Microsoft AD en cliquant sur une liste d'instances Microsoft AD et AD Connector gérées qu'IAM Identity Center découvre automatiquement dans votre compte. Si vous désirez vous connecter à un répertoire Microsoft AD, reportez-vous à Premiers pas avec AWS Directory Service.

Accordez aux utilisateurs un accès par authentification unique aux comptes AWS de votre organisation en sélectionnant les comptes AWS dans une liste pré-remplie par IAM Identity Center, puis en choisissant les utilisateurs ou groupes dans votre répertoire, ainsi que les autorisations que vous souhaitez leur accorder.

Accordez aux utilisateurs un accès aux applications métier basées sur le cloud en :

a. Sélectionnant l'une des applications de la liste des applications pré-intégrées prises en charge dans IAM Identity Center.

b. Configurant l'application en suivant les instructions appropriées ;

c. Sélectionnant les utilisateurs ou groupes qui doivent pouvoir accéder à cette application.

Communiquez à vos utilisateurs l'adresse de connexion web IAM Identity Center générée lorsque vous avez configuré le répertoire. Il en ont besoin pour se connecter à IAM Identity Center ainsi que pour accéder aux comptes et aux applications métiers.

IAM Identity Center est disponible sans frais supplémentaires.

Reportez-vous au tableau des Régions AWS pour connaître la disponibilité d'IAM Identity Center par région.

Prise en charge des sources d'identités et des applications

Non. Vous ne pouvez avoir qu'un seul répertoire ou un seul fournisseur d'identité SAML 2.0 connecté à IAM Identity Center à la fois. Cependant, vous pouvez remplacer la source d'identité qui est connectée par une autre.

Vous pouvez connecter IAM Identity Center à la plupart des fournisseurs d'identité SAML 2.0, tels que Okta Universal Directory ou Microsoft Entra ID (anciennement Azure AD). Pour plus d'informations, voir le guide de l'utilisateur d'IAM Identity Center.

Non, IAM Identity Center ne modifie aucune police, utilisateur ou rôle IAM existant dans vos comptes AWS. IAM Identity Center crée de nouveaux rôles et politiques spécifiquement destinés à être utilisés par le biais d'IAM Identity Center.

Après avoir activé IAM Identity Center, tous les utilisateurs ou rôles IAM existants continueront à fonctionner tels quels. Cela signifie que vous pouvez migrer vers IAM Identity Center selon une approche progressive sans perturber l'accès existant à AWS.

IAM Identity Center fournit de nouveaux rôles à utiliser dans vos comptes AWS. Vous pouvez associer les mêmes politiques que celles que vous utilisez avec vos rôles IAM existants aux nouveaux rôles utilisés avec IAM Identity Center.

IAM Identity Center ne crée pas de groupes ou d'utilisateurs IAM. Il possède son propre magasin d'identité spécialement conçu pour conserver les informations des utilisateurs. Lorsque vous utilisez un fournisseur d'identité externe, Identity Center conserve une copie synchronisée des attributs utilisateur et de l'appartenance au groupe, mais aucun matériel d'authentification tel que les mots de passe ou les dispositifs MFA. Votre fournisseur d'identité externe reste la source fiable des informations et des attributs des utilisateurs.

Oui. Si vous utilisez Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD), OneLogin ou PingFederate, vous pouvez utiliser SCIM pour synchroniser automatiquement les informations d'utilisateurs et de groupes à partir de votre fournisseur d'identité dans IAM Identity Center. Pour plus d'informations, voir le Guide de l'utilisateur d'IAM Identity Center.

Vous pouvez connecter IAM Identity Center à votre répertoire Active Directory (AD) sur site ou à un répertoire AD Microsoft géré par AWS en utilisant AWS Directory Service. Pour plus d'informations, voir le guide de l'utilisateur d'IAM Identity Center.

Vous avez deux options pour vous connecter à l'annuaire Active Directory hébergé sur site à IAM Identity Center : (1) utiliser AD Connector, ou (2) utiliser une relation de confiance AD Microsoft gérée par AWS. AD Connector connecte simplement votre Active Directory existant sur site à AWS. AD Connector est une passerelle d'annuaire avec laquelle vous pouvez rediriger les demandes d'annuaire vers votre Microsoft Active Directory sur site sans mettre en cache aucune information dans le cloud. Pour connecter un annuaire sur site à l'aide d'AD Connector, reportez-vous au guide d'administration d'AWS Directory Service. AWS Managed Microsoft AD permet de configurer et d'exécuter facilement Microsoft Active Directory dans AWS. Il peut être utilisé pour configurer une relation d'approbation de forêt entre votre annuaire sur site et AWS Managed Microsoft AD. Pour configurer une relation d'approbation, reportez-vous au guide d'administration d'AWS Directory Service.

Amazon Cognito est un service qui vous permet de gérer les identités pour vos applications client ; il ne s'agit pas d'une source d'identité prise en charge dans IAM Identity Center. Vous pouvez créer et gérer les identités de vos employés dans IAM Identity Center ou dans votre source d'identité externe, notamment Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD) ou un autre fournisseur d'identité pris en charge.

Oui. Vous pouvez utiliser IAM Identity Center pour contrôler l'accès à la console de gestion AWS et à la CLI v2. IAM Identity Center permet à vos utilisateurs d'accéder à la CLI et la console de gestion AWS à travers une expérience d'authentification unique. L'application AWS Mobile Console prend également en charge IAM Identity Center, ce qui vous permet de bénéficier d'une expérience de connexion cohérente dans les interfaces de navigateur, de mobile et de ligne de commande.

Vous pouvez connecter les applications suivantes à IAM Identity Center :

Applications intégrées à IAM Identity Center : les applications intégrées à IAM Identity Center comme SageMaker Studio et IoT SiteWise utilisent IAM Identity Center pour l'authentification et fonctionnent avec les identités que vous avez dans IAM Identity Center. Aucune configuration supplémentaire n'est nécessaire pour synchroniser les identités dans ces applications ou pour configurer la fédération séparément.

Applications SAML pré-intégrées : IAM Identity Center est pré-intégré avec les applications métier courantes. Pour obtenir une liste complète, référez-vous à la console IAM Identity Center.

Applications SAML personnalisées : IAM Identity Center prend en charge les applications qui permettent la fédération d'identité en utilisant SAML 2.0. Vous pouvez activer IAM Identity Center pour prendre en charge ces applications à l'aide de l'assistant d'application personnalisé.

Accès par authentification unique (SSO) aux comptes AWS

Vous pouvez ajouter un compte AWS géré à IAM Identity Center en utilisant AWS Organizations. Vous devez activer toutes les fonctionnalités de vos organisations pour gérer vos comptes à authentification unique.

Vous pouvez sélectionner des comptes au sein de l'organisation ou filtrer des comptes par UO.

La propagation fiable d'identité est principalement utilisée pour permettre aux applications d'informatique décisionnelle d'interroger les services d'analyse AWS, tels qu'Amazon Redshift ou Amazon Quicksight, au sujet des données requises par les utilisateurs professionnels se connectant via une authentification unique par le biais du fournisseur d'identité existant du client, tout en gardant connaissance de l'identité de l'utilisateur. Cette fonctionnalité prend en charge différents types d'applications courantes d'informatique décisionnelle et utilise différents mécanismes pour diffuser l'identité de l'utilisateur entre les services.

Lorsque vous accordez l'accès à vos utilisateurs, vous pouvez limiter leurs autorisations en sélectionnant un ensemble d'autorisations. Les jeux d'autorisations sont un groupe d'autorisations que vous pouvez créer dans IAM Identity Center, en les modélisant en fonction de politiques gérées par AWS pour les fonctions professionnelles ou de toute autre stratégie gérée par AWS. Les stratégies gérées par AWS pour les fonctions professionnelles sont conçues de manière à s'aligner étroitement sur les tâches courantes du secteur de l'informatique. Si nécessaire, vous pouvez entièrement personnaliser l'ensemble d'autorisations pour répondre à vos exigences en matière de sécurité. IAM Identity Center applique automatiquement ces autorisations aux comptes sélectionnés. Lorsque vous apportez des modifications aux ensembles d'autorisations, IAM Identity Center vous permet d'appliquer facilement ces dernières aux comptes concernés. Lorsque les utilisateurs accèdent aux comptes sur le portail d'accès AWS, ces autorisations limitent leurs activités au sein de ces comptes. Vous pouvez également accorder plusieurs jeux d'autorisations aux utilisateurs. Lorsqu'ils accèdent au compte sur le portail utilisateur, ils peuvent choisir le jeux d'autorisations qu'ils souhaitent utiliser pour cette séance.

IAM Identity Center fournit des API et le prise en charge d'AWS CloudFormation pour automatiser la gestion des autorisations dans les environnements multi-comptes et récupérer les autorisations par programme à des fins d'audit et de gouvernance.

Pour implémenter ABAC, vous pouvez sélectionner des attributs dans le magasin d'identités d'IAM Identity Center pour les utilisateurs d'IAM Identity Center et les utilisateurs synchronisés depuis Microsoft AD ou des fournisseurs d'identité SAML 2.0 externes, notamment Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD), OneLogin ou PingFederate. Lorsque vous utilisez un fournisseur d'identité comme source d'identité, vous avez la possibilité d'envoyer les attributs dans le cadre d'une assertion SAML 2.0.

Vous pouvez obtenir des informations d'identification pour AWS CLI pour toutes les autorisations de compte et d'utilisateur AWS que votre administrateur IAM Identity Center vous a attribuées. Ces informations d'identification pour la CLI peuvent être utilisées pour un accès par programmation au compte AWS.

Les informations d'identification pour AWS CLI récupérées par IAM Identity Center sont valides pendant 60 minutes. Vous pouvez obtenir de nouvelles informations d'identification aussi souvent que nécessaire.

Authentification unique sur les applications métier

Dans la console IAM Identity Center, accédez au volet des applications, choisissez « Configure new application » (Configurer de nouvelles applications) et sélectionnez une application dans la liste des applications cloud pré-intégrées à IAM Identity Center. Suivez les instructions à l'écran pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Oui. Si votre application prend en charge le protocole SAML 2.0, vous pouvez la configurer en tant qu'application SAML 2.0 personnalisée. Dans la console IAM Identity Center, accédez au volet des applications et choisissez l'option « Configure new application » (Configurer les applications), puis « Custom SAML 2.0 application » (Application SAML 2.0 personnalisée). Suivez les instructions pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Non. IAM Identity Center prend uniquement en charge les applications basées sur le protocole SAML 2.0.

Non. IAM Identity Center prend en charge l'authentification unique pour les applications métier uniquement depuis un navigateur web.

Divers

Le centre d'identité IAM stockera des données sur les comptes AWS et les applications cloud attribués à des utilisateurs et des groupes, ainsi que sur les autorisations accordées pour accéder aux comptes AWS. IAM Identity Center créera et gérera également les rôles IAM dans les comptes AWS individuels pour chaque jeux d'autorisations auquel vous accordez l'accès à vos utilisateurs.

Avec IAM Identity Center, vous pouvez activer de fortes capacités d'authentification reposant sur des normes pour tous vos utilisateurs dans toutes les sources d'identité. Si vous utilisez un fournisseur d'identité SAML 2.0 pris en charge comme source d'identité, vous pouvez activer les capacités d'authentification MFA de votre fournisseur. Lorsque vous utilisez IAM Identity Center ou Active Directory comme source d'identité, IAM Identity Center prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications métier avec des clés de sécurité compatibles FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP) telles que Google Authenticator ou Twilio Authy.

Vous pouvez également utiliser votre configuration MFA RADIUS (Service d'authentification à distance des utilisateurs) existante avec IAM Identity Center et AWS Directory Services pour authentifier vos utilisateurs en tant que forme secondaire de vérification. Pour en savoir plus sur la configuration de MFA avec IAM Identity Center, référez-vous au guide de l'utilisateur d'IAM Identity Center.

Oui. Pour les identités d'utilisateur dans le magasin d'identités d'IAM Identity Center et Active Directory, IAM Identity Center prend en charge la spécification Web Authentification (WebAuthn) pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications métier avec des clés de sécurité compatibles FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP) telles que Google Authenticator ou Twilio Authy.

Les employés peuvent commencer à utiliser IAM Identity Center en visitant le portail d'accès qui est généré lorsque vous configurez votre source d'identité dans IAM Identity Center. Si vous gérez vos utilisateurs dans IAM Identity Center, vos employés peuvent utiliser leur adresse e-mail et leur mot de passe configurés avec IAM Identity Center pour se connecter au portail utilisateur. Si vous connectez IAM Identity Center à Microsoft Active Directory ou à un fournisseur d'identité SAML 2.0, vos employés peuvent se connecter au portail utilisateur avec leurs informations d'identification d'entreprise existantes, puis voir les comptes et applications qui leur sont attribués. Pour accéder à un compte ou à une application, les employés sélectionnent l'icône correspondante dans le portail d'accès.

Oui. IAM Identity Center fournit des API d'affectation de compte pour vous aider à automatiser la gestion des autorisations dans les environnements multi-comptes, et récupérer les autorisations par programme à des fins d'audit et de gouvernance.