Fournisseurs d'identité et fédération
En guise de pratique exemplaire, nous vous recommandons de demander aux utilisateurs humains d’utiliser la fédération avec un fournisseur d’identité pour accéder aux ressources AWS au lieu de créer des utilisateurs IAM individuels dans votre Compte AWS. Un fournisseur d'identité (IdP) vous permet de gérer vos identités utilisateur en dehors d'AWS et de donner à ces identités utilisateur externes les autorisations nécessaires pour utiliser les ressources AWS de votre compte. Ceci est utile si votre organisation dispose déjà de son propre système d'identité, par exemple un répertoire d'utilisateurs d'entreprise. Il en est de même si vous créez une application web ou mobile devant accéder aux ressources AWS.
Note
Vous pouvez également gérer les utilisateurs humains dans l’IAM Identity Center avec un fournisseur d’identité SAML externe plutôt que d’utiliser la fédération SAML dans IAM. La fédération IAM Identity Center avec un fournisseur d’identité vous permet de donner aux utilisateurs l’accès à plusieurs comptes AWS de votre organisation et à plusieurs applications AWS. Pour en savoir plus sur les situations spécifiques dans lesquelles un utilisateur IAM est nécessaire, veuillez consulter Quand créer un utilisateur IAM (au lieu d'un rôle).
Si vous préférez utiliser un seul compte AWS sans activer IAM Identity Center, vous pouvez utiliser IAM avec un IdP externe qui fournit des informations d’identité à AWS en utilisant OpenID Connect (OIDC)
Lorsque vous utilisez un fournisseur d'identité , vous n'avez pas à créer de code de connexion personnalisé ni à gérer vos propres identités utilisateur. L'IdP prévoit cela pour vous. Vos utilisateurs externes se connectent par l'intermédiaire d'un IdP et vous pouvez accorder à ces identités externes des autorisations leur permettant d'utiliser les ressources AWS de votre compte. Les fournisseurs d'identité vous permettent de mieux sécuriser votre Compte AWS, car vous n'avez pas à distribuer ou intégrer d'informations d'identification de sécurité à long terme comme des clés d'accès dans votre application.
Consultez le tableau suivant pour déterminer le type de fédération IAM le mieux adapté à votre cas d’utilisation : IAM, IAM Identity Center ou Amazon Cognito. Les résumés et le tableau suivants fournissent une vue d'ensemble des méthodes que vos utilisateurs peuvent utiliser pour obtenir un accès fédéré aux ressources AWS.
| Type de fédération IAM | Account type (Type de compte) | Gestion de l'accès de… | Source d'identité prise en charge |
|---|---|---|---|
|
Fédération avec IAM Identiy Center |
Plusieurs comptes gérés par AWS Organizations |
Les utilisateurs humains de votre personnel |
|
|
Fédération avec IAM |
Compte unique et autonome |
|
|
|
Fédération avec les réserves d'identités Amazon Cognito |
N’importe quel compte |
Les utilisateurs d'applications qui nécessitent une autorisation IAM pour accéder aux ressources |
|
Fédération avec IAM Identiy Center
Pour une gestion centralisée des accès des utilisateurs humains, nous vous recommandons d'utiliser IAM Identity Center pour gérer l'accès à vos comptes et les autorisations au sein de ceux-ci. Les utilisateurs dans IAM Identity Center se voient attribuer des informations d'identification à court terme pour accéder à vos ressources AWS. Vous pouvez utiliser Active Directory, un fournisseur d'identité (IdP) externe ou un répertoire IAM Identity Center comme source d'identité pour les utilisateurs et les groupes afin d'attribuer l'accès à vos ressources AWS.
IAM Identity Center prend en charge la fédération d'identité avec SAML (Security Assertion Markup Language) 2.0 afin de fournir un accès d'authentification unique fédéré aux utilisateurs autorisés à utiliser les applications dans le portail d'accès AWS. Les utilisateurs peuvent ensuite se connecter avec une authentification unique aux services qui prennent en charge SAML, notamment à AWS Management Console et aux applications tierces, par exemple Microsoft 365, SAP Concur et Salesforce.
Fédération avec IAM
Bien que nous recommandions fortement de gérer les utilisateurs humains dans IAM Identity Center, vous pouvez activer l’accès principal fédéré avec IAM pour les utilisateurs humains dans le cadre de déploiements à court terme et à petite échelle. IAM vous permet d’utiliser des IdP SAML 2.0 et Open ID Connect (OIDC) distincts et d’utiliser des attributs de principaux fédérés pour le contrôle d’accès. Avec IAM, vous pouvez transmettre des attributs utilisateur, tels que le centre de coûts, le titre ou les paramètres régionaux, de vos IdP à AWS, et mettre en œuvre des autorisations d'accès détaillées en fonction de ces attributs.
Une charge de travail est un ensemble de ressources et de code qui fournit une valeur business, par exemple une application destinée au client ou un processus de backend. Votre charge de travail peut nécessiter une identité IAM pour envoyer des demandes aux services, aux applications, aux outils opérationnels et aux composants AWS. Ces identités incluent les machines qui s'exécutent dans vos environnements AWS, tels que les instances Amazon EC2 ou les fonctions AWS Lambda.
Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. Pour donner accès aux identités des machines, vous pouvez utiliser des rôles IAM. Les rôles IAM disposent d'autorisations spécifiques et permettent d'accéder à AWS en s'appuyant sur des informations d'identification de sécurité temporaires avec une session de rôle. De plus, vous pouvez avoir des machines en dehors de AWS qui ont besoin d'accéder à vos environnements AWS. Pour les machines qui fonctionnent en dehors de AWS vous pouvez utiliser Rôles Anywhere IAM. Pour plus d'informations sur les rôles , consultez Rôles IAM. Pour plus d'informations sur la façon d'utiliser les rôles pour déléguer l'accès à travers Comptes AWS, voir Didacticiel IAM : déléguer l'accès entre des comptes AWS à l'aide des rôles IAM.
Pour associer un IdP directement à IAM, vous créez une entité de fournisseur d'identité afin d'établir une relation de confiance entre votre Compte AWS et l'IdP. IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC)
Fédération avec les réserves d'identités Amazon Cognito
Amazon Cognito est conçu pour les développeurs qui souhaitent authentifier et autoriser les utilisateurs dans leurs applications mobiles et Web. Les groupes d'utilisateurs Amazon Cognito ajoutent des fonctionnalités de connexion et d'inscription à votre application, et les réserves d'identités fournissent des informations d'identification IAM qui permettent à vos utilisateurs d'accéder aux ressources protégées que vous gérez dans AWS. Les réserves d'identités obtiennent des informations d'identification pour les sessions temporaires par le biais de l'opération API AssumeRoleWithWebIdentity.
Amazon Cognito travaille avec des fournisseurs d'identité externes qui prennent en charge SAML et OpenID Connect, ainsi qu'avec des fournisseurs d'identité sociaux tels que Facebook, Google et Amazon. Votre application peut connecter un utilisateur appartenant à un groupe d'utilisateurs ou à un IdP externe, puis récupérer des ressources en son nom grâce à des sessions temporaires personnalisées dans un rôle IAM.
Ressources supplémentaires
-
Pour une démonstration sur la façon de créer un proxy de fédération personnalisé qui permet l’authentification unique (SSO) dans la AWS Management Console à l’aide du système d’authentification de votre organisation, consultez Activation de l’accès du fournisseur d’identité personnalisé à la console AWS.
