Configuration de la synchronisation des e-mails pour les utilisateurs fédérés dans Quick Suite - Amazon Quick Suite
Étape 1 : Mettre à jour la relation d’approbation du rôle IAMÉtape 2 : Ajouter un attribut SAML ou un jeton OIDCÉtape 3 : Activer la synchronisation des e-mails

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la synchronisation des e-mails pour les utilisateurs fédérés dans Quick Suite

 S’applique à : édition Enterprise 
   Public cible : administrateurs système et administrateurs Amazon Quick Suite 
Note

La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick Suite.

Dans l'édition Amazon Quick Suite Enterprise, en tant qu'administrateur, vous pouvez empêcher les nouveaux utilisateurs d'utiliser des adresses e-mail personnelles lorsqu'ils fournissent des informations via leur fournisseur d'identité (IdP) directement à Quick Suite. Quick Suite utilise ensuite les adresses e-mail préconfigurées transmises via l'IdP lors de l'attribution de nouveaux utilisateurs à votre compte. Par exemple, vous pouvez faire en sorte que seules les adresses e-mail attribuées à l'entreprise soient utilisées lorsque les utilisateurs sont connectés à votre compte Amazon Quick Suite via votre IdP.

Note

Assurez-vous que vos utilisateurs se fédèrent directement vers Amazon Quick Suite via leur IdP. Le fait de se fédérer AWS Management Console via leur IdP puis de cliquer sur Amazon Quick Suite entraîne une erreur et ils ne pourront pas accéder à Amazon Quick Suite.

Lorsque vous configurez la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick Suite, les utilisateurs qui se connectent à votre compte Amazon Quick Suite pour la première fois ont des adresses e-mail préattribuées. Celles-ci sont utilisées pour enregistrer leurs comptes. Avec cette approche, les utilisateurs peuvent contourner manuellement en saisissant une adresse e-mail. En outre, les utilisateurs ne peuvent pas utiliser une adresse e-mail qui pourrait différer de l’adresse e-mail prescrite par vous, l’administrateur.

Amazon Quick Suite prend en charge le provisionnement via un IdP qui prend en charge l'authentification SAML ou OpenID Connect (OIDC). Pour configurer les adresses e-mail des nouveaux utilisateurs lors du provisionnement via un IdP, vous devez mettre à jour la relation d’approbation du rôle IAM qu’ils utilisent avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Ensuite, ajoutez un attribut SAML ou un jeton OIDC dans leur IdP. Enfin, vous activez la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick Suite.

Les procédures suivantes décrivent ces étapes en détail.

Étape 1 : Mettre à jour la relation d’approbation du rôle IAM avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity

Vous pouvez configurer les adresses e-mail que vos utilisateurs utiliseront lors du provisionnement via votre IdP vers Amazon Quick Suite. Pour ce faire, ajoutez l’action sts:TagSession à la relation d’approbation du rôle IAM que vous utilisez avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Ce faisant, vous pouvez transmettre des balises principal lorsque les utilisateurs assument le rôle.

L’exemple suivant illustre un rôle IAM mis à jour où l’IdP est Okta. Pour utiliser cet exemple, mettez à jour l’Amazon Resource Name (ARN) Federated avec l’ARN de votre fournisseur de services. Vous pouvez remplacer les éléments en rouge par vos informations AWS et celles spécifiques au service IdP.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Étape 2 : Ajouter un attribut SAML ou un jeton OIDC pour la balise principale IAM dans votre IdP

Après avoir mis à jour la relation d’approbation du rôle IAM comme décrit dans la section précédente, ajoutez un attribut SAML ou un jeton OIDC pour la balise Principal IAM dans votre IdP.

Les exemples suivants illustrent un attribut SAML et un jeton OIDC. Pour utiliser ces exemples, remplacez l’adresse e-mail par une variable dans votre IdP qui pointe vers l’adresse e-mail d’un utilisateur. Vous pouvez remplacer les éléments surlignés en rouge par vos informations.

  • Attribut SAML : l’exemple suivant illustre un attribut SAML. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    Note

    Si vous utilisez Okta comme IdP, assurez-vous d’activer un indicateur de fonctionnalité dans votre compte utilisateur Okta pour utiliser le protocole SAML. Pour plus d'informations, consultez Okta et AWS son partenariat pour simplifier l'accès via des balises de session sur le blog d'Okta.

  • Jeton OIDC : l’exemple suivant illustre un exemple de jeton OIDC. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Étape 3 : activer la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick Suite

Comme décrit précédemment, mettez à jour la relation d’approbation du rôle IAM et ajoutez un attribut SAML ou un jeton OIDC pour la balise Principal IAM dans votre IdP. Activez ensuite la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick Suite, comme décrit dans la procédure suivante.

Activation de la synchronisation des e-mails pour les utilisateurs fédérés

  1. Sur n'importe quelle page d'Amazon Quick Suite, choisissez votre nom d'utilisateur en haut à droite, puis sélectionnez Gérer Amazon Quick Suite.

  2. Choisissez Authentification unique (fédération IAM) dans le menu de gauche.

  3. Sur la page Fédération IAM initiée par le fournisseur de services, pour Synchronisation des e-mails pour les utilisateurs fédérés, choisissez Activé.

    Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est activée, Amazon Quick Suite utilise les adresses e-mail que vous avez configurées aux étapes 1 et 2 lors de l'attribution de nouveaux utilisateurs à votre compte. Les utilisateurs ne peuvent pas saisir leur propre adresse e-mail.

    Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est désactivée, Amazon Quick Suite demande aux utilisateurs de saisir leur adresse e-mail manuellement lors de l'attribution de nouveaux utilisateurs à votre compte. Ils peuvent utiliser toutes les adresses e-mail qu’ils souhaitent.