Jeton sso aws

Ce tutoriel décrit les étapes que vous devez effectuer à la fois dans AWS IAM Identity Center (successeur d’AWS Single Sign-On) et dans Microsoft Entra ID pour configurer le provisionnement automatique des utilisateurs. Lorsqu’il est configuré, Microsoft Entra ID provisionne et déprovisionne automatiquement des utilisateurs et des groupes dans AWS IAM Identity Center à l’aide du service de provisionnement Microsoft Entra. Pour plus d’informations sur ce que fait ce service, son fonctionnement et les questions fréquemment posées, consultez Automatiser le provisionnement et le déprovisionnement des utilisateurs vers des applications SaaS avec Microsoft Entra ID.

Fonctionnalités prises en charge

Conditions préalables

Le scénario décrit dans ce tutoriel suppose que vous disposez déjà des conditions préalables suivantes :

Étape 1 : Planifier le déploiement de votre mise en service

1. Découvrez le fonctionnement du service de mise en service.
2. Déterminez qui est dans le champ d’application du provisionnement.
3. Déterminez les données à mapper entre Microsoft Entra ID et AWS IAM Identity Center.

Étape 2 : Configurer AWS IAM Identity Center pour prendre en charge la mise en service avec Microsoft Entra

1. ID Ouvrez AWS IAM Identity Center.

2. Choisissez Paramètres dans le volet de navigation de gauche

3. Dans Paramètres , cliquez sur Activer dans la section Provisionnement automatique.

4. Dans la boîte de dialogue Provisionnement automatique entrant, copiez et enregistrez le point de terminaison SCIM et le jeton d’accès (visibles après avoir cliqué sur Afficher le jeton). Ces valeurs sont saisies dans le champ URL du locataire et jeton secret de l’onglet Provisionnement de votre application AWS IAM Identity Center.

Étape 3 : Ajouter AWS IAM Identity Center à partir de la galerie d’applications Microsoft Entra

Ajoutez AWS IAM Identity Center à partir de la galerie d’applications Microsoft Entra pour commencer à gérer la mise en service d’AWS IAM Identity Center. Si vous avez déjà configuré AWS IAM Identity Center pour l’authentification unique, vous pouvez utiliser la même application. Pour en savoir plus sur l’ajout d’une application à partir de la galerie, cliquez ici.

Étape 4 : Définir qui est dans l’étendue de l’approvisionnement

Le service d’approvisionnement Microsoft Entra vous permet d’étendre l’étendue de l’approvisionnement en fonction de l’attribution à l’application et/ou en fonction des attributs de l’utilisateur/du groupe. Si vous choisissez d’étendre l’étendue des personnes approvisionnées à votre application en fonction de l’attribution, vous pouvez utiliser les étapes suivantes pour attribuer des utilisateurs et des groupes à l’application. Si vous choisissez d’étendre l’étendue de l’utilisateur approvisionné en fonction uniquement des attributs de l’utilisateur ou du groupe, vous pouvez utiliser un filtre d’étendue comme décrit ici.

• Commencez petit. Testez auprès d’un petit nombre d’utilisateurs et de groupes avant de le déployer pour tout le monde. Lorsque l’étendue de l’approvisionnement est définie sur Utilisateurs et groupes attribués, vous pouvez contrôler cela en attribuant un ou deux utilisateurs ou groupes à l’application. Lorsque l’étendue est définie sur tous les utilisateurs et groupes, vous pouvez spécifier un filtre d’étendue basé sur les attributs.

• Si vous avez besoin de rôles supplémentaires, vous pouvez mettre à jour le pour ajouter de nouveaux rôles.

Étape 5 : Configurer le provisionnement automatique des utilisateurs dans AWS IAM Identity Center

Cette section vous guide tout au long des étapes de configuration du service de provisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs et/ou des groupes dans TestApp en fonction des attributions d’utilisateurs et/ou de groupes dans Microsoft Entra ID.

Pour configurer le provisionnement automatique d’utilisateurs pour AWS IAM Identity Center dans Microsoft Entra ID :

1. connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications cloud au moins.

2. Accédez à Applications de > d’identité > Applications

   d’entreprise

3. Dans la liste des applications, sélectionnez AWS IAM Identity Center .

4. Sélectionnez l’onglet Provisionnement.

5. Définissez le mode de provisionnement sur Automatique .

6. Dans la section Admin Credentials, saisissez l’URL du locataire et le jeton secret AWS IAM Identity Center récupérés précédemment à l’étape 2. Cliquez sur Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à AWS IAM Identity Center.

7. Dans le champ E-mail de notification, entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur de provisionnement et activez la case à cocher Envoyer une notification par e-mail en cas d’échec.

8. Sélectionnez Enregistrer .

9. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec AWS IAM Identity Center .

10. Passez en revue les attributs utilisateur synchronisés entre Microsoft Entra ID et AWS IAM Identity Center dans la section Mappage d’attributs. Les attributs sélectionnés en tant que propriétés correspondantes sont utilisés pour faire correspondre les comptes utilisateur dans AWS IAM Identity Center pour les opérations de mise à jour. Si vous choisissez de modifier l’attribut cible correspondant, vous devez vous assurer que l’API AWS IAM Identity Center prend en charge le filtrage des utilisateurs en fonction de cet attribut. Sélectionnez le bouton Enregistrer pour valider les modifications.

    Type	d’attribut	pris en charge pour le filtrage
    userName	String	✓
    actif	Booléen
    displayName	Titre de la chaîne
    	String
    emails[type eq « work"].value	String
    preferredLanguage	String
    name.givenName	String
    nom.familleNom	Chaîne
    nom.formaté	Chaîne
    adresses[type eq « work"].formatted	String
    addresses[type eq « work"].streetAddress	String
    addresses[type eq « work"].locality	Chaîne
    addresses[type eq « work"].region	String
    addresses[type eq « work"].postalCode	String
    addresses[type eq « work"].country	String
    phoneNumbers[type eq « work"].value	String
    externalId	String
    locale	String
    timezone	String
    urn :ietf :params :scim :schemas :extension :enterprise :2.0 :User :employeeNumber	String
    urn :ietf :params :scim :schemas :extension :enterprise :2.0 :User :department	String
    urn :ietf :params :scim :schemas :extension :enterprise :2.0 :User :division	String
    urn :ietf :params :scim :schemas :extension :enterprise :2.0 :User :costCenter	String
    urn :ietf :params :scim :schemas :extension :enterprise :2.0 :User :organization	String
    urn :ietf :params :scim :schemas :extension :enterprise :2.0 :User :manager	Reference

11. Sous la section Mappings, sélectionnez Synchronisez les groupes Microsoft Entra avec AWS IAM Identity Center .

12. Passez en revue les attributs de groupe synchronisés entre Microsoft Entra ID et AWS IAM Identity Center dans la section Mappage d’attributs. Les attributs sélectionnés en tant que propriétés correspondantes sont utilisés pour faire correspondre les groupes dans AWS IAM Identity Center pour les opérations de mise à jour. Sélectionnez l’icône Enregistrer pour valider les modifications.

    Type d’attribut		pris en charge pour le filtrage
    displayName	String	✓
    externalId
    String members	Référence

13. Pour configurer les filtres d’étendue, reportez-vous aux instructions suivantes fournies dans le tutoriel sur les filtres d’étendue.

14. Pour activer le service de provisionnement Microsoft Entra pour AWS IAM Identity Center, définissez le statut de provisionnement sur Activé dans la section Paramètres.

15. Définissez les utilisateurs et/ou les groupes que vous souhaitez provisionner à AWS IAM Identity Center en choisissant les valeurs souhaitées dans Étendue dans la section Paramètres.

16. Lorsque vous êtes prêt à provisionner, cliquez sur Enregistrer .

Cette opération démarre le cycle de synchronisation initial de tous les utilisateurs et groupes définis dans Étendue dans la section Paramètres. L’exécution du cycle initial est plus longue que celle des cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service d’approvisionnement Microsoft Entra est en cours d’exécution.

Étape 6 : Surveiller votre déploiement

Une fois que vous avez configuré l’approvisionnement, utilisez les ressources suivantes pour surveiller votre déploiement :

1. Utilisez les journaux d’approvisionnement pour déterminer quels utilisateurs ont été provisionnés avec succès ou avec échec
2. Consultez la barre de progression pour voir l’état du cycle d’approvisionnement et à quel point il est proche de l’achèvement
3. Si la configuration d’approvisionnement semble être dans un état non sain, l’application est mise en quarantaine. Pour en savoir plus sur les États de quarantaine, cliquez ici.

Accès juste-à-temps aux applications (JIT) avec PIM pour les groupes

Avec PIM pour les groupes, vous pouvez fournir un accès juste-à-temps aux groupes dans Amazon Web Services et réduire le nombre d’utilisateurs disposant d’un accès permanent aux groupes privilégiés dans AWS.

Configurez votre application d’entreprise pour l’authentification unique et la mise en service

1. Ajoutez AWS IAM Identity Center à votre locataire, configurez-le pour la mise en service comme décrit dans le didacticiel ci-dessus et démarrez la mise en service.
2. Configurez l’authentification unique pour AWS IAM Identity Center.
3. Créez un groupe qui permettra à tous les utilisateurs d’accéder à la application.
4. Attribuez le groupe à l’application AWS Identity Center.
5. Attribuez votre utilisateur test en tant que membre direct du groupe créé à l’étape précédente ou fournissez-lui l’accès au groupe par le biais d’un package d’accès. Ce groupe peut être utilisé pour un accès persistant non administrateur dans AWS.

Activer PIM pour les groupes

1. Créez un deuxième groupe dans Microsoft Entra ID. Ce groupe fournira l’accès aux autorisations d’administrateur dans AWS.
2. Placez le groupe sous gestion dans Microsoft Entra PIM.
3. Attribuez à votre utilisateur test l’éligibilité du groupe dans PIM avec le rôle défini sur membre.
4. Attribuez le deuxième groupe à l’application AWS IAM Identity Center.
5. Utilisez la mise en service à la demande pour créer le groupe dans AWS IAM Identity Center.
6. Connectez-vous à AWS IAM Identity Center et attribuez le deuxième groupe les autorisations nécessaires pour effectuer des tâches d’administration.

Désormais, tout utilisateur final qui a été rendu éligible pour le groupe dans PIM peut obtenir un accès JIT au groupe dans AWS en activant son appartenance au groupe.

• Combien de temps faut-il pour qu’un utilisateur soit approvisionné dans l’application ? :
  • Lorsqu’un utilisateur est ajouté à un groupe dans Microsoft Entra ID en dehors de l’activation de son appartenance à un groupe à l’aide de Microsoft Entra ID Privileged Identity Management (PIM) :
    • l’appartenance au groupe est provisionnée dans l’application au cours du cycle de synchronisation suivant. Le cycle de synchronisation s’exécute toutes les 40 minutes.
  • Lorsqu’un utilisateur active son appartenance à un groupe dans Microsoft Entra ID PIM :
    • l’appartenance au groupe est provisionnée en 2 à 10 minutes. Lorsqu’il y a un taux élevé de demandes à la fois, les demandes sont limitées à raison de cinq requêtes par 10 secondes.
    • Pour les cinq premiers utilisateurs au cours d’une période de 10 secondes activant leur appartenance au groupe pour une application spécifique, l’appartenance au groupe est provisionnée dans l’application dans un délai de 2 à 10 minutes.
    • Pour le sixième utilisateur et au-dessus dans une période de 10 secondes activant son appartenance au groupe pour une application spécifique, l’appartenance au groupe est provisionnée à l’application lors du cycle de synchronisation suivant. Le cycle de synchronisation s’exécute toutes les 40 minutes. Les limites de limitation sont par application d’entreprise.
• Si l’utilisateur ne parvient pas à accéder au groupe nécessaire dans AWS, consultez les conseils de dépannage ci-dessous, les journaux PIM et les journaux d’approvisionnement pour vous assurer que l’appartenance au groupe a été mise à jour avec succès. Selon la façon dont l’application cible a été architecturée, l’appartenance au groupe peut prendre plus de temps effet dans l’application.
• Vous pouvez créer des alertes en cas d’échec à l’aide d’Azure Monitor.
• La désactivation se fait pendant le cycle incrémentiel régulier. Il n’est pas traité immédiatement par le provisionnement à la demande.

Conseils de dépannage Attributs

manquants

Lors de la mise en service d’un utilisateur sur AWS, il doit disposer des attributs suivants

• firstName
• lastName
• displayName
• userName

Les utilisateurs qui ne disposent pas de ces attributs échoueront avec l’erreur

suivante

Attributs à valeurs multiples

AWS ne prend pas en charge les attributs à valeurs multiples suivants :

Tentative de L’application ci-dessus en tant qu’attributs à valeurs multiples entraînera le message

d’erreur suivant

: Il existe deux façons de résoudre ce problème

1. : assurez-vous que l’utilisateur ne dispose que d’une seule valeur pour phoneNumber/email
2. : supprimez les attributs en double. Par exemple, le fait que deux attributs différents soient mappés à partir de Microsoft Entra ID, tous deux mappés à « phoneNumber___ » du côté AWS, entraînerait l’erreur si les deux attributs ont des valeurs dans Microsoft Entra ID. Le fait qu’un seul attribut soit associé à un attribut « phoneNumber____ » résoudrait l’erreur.

Actuellement

, AWS IAM Identity Center n’autorise pas certains autres caractères pris en charge par Microsoft Entra ID, tels que la tabulation (\t), la nouvelle ligne (\n), le chariot de retour (\r) et les caractères tels que « <|>| ;| :% ».

Pour en savoir plus, vous pouvez également consulter les conseils de dépannage d’AWS IAM Identity Center ici Conseils de dépannage

Ressources supplémentaires

Étapes suivantes