Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Applications gérées par le client
IAM Identity Center agit comme un service d'identité central pour les utilisateurs et les groupes de votre personnel. Si vous utilisez déjà un fournisseur d'identité (IdP), IAM Identity Center peut s'intégrer à votre IdP afin que vous puissiez configurer vos utilisateurs et vos groupes dans IAM Identity Center et utiliser votre IdP pour l'authentification. Avec une connexion unique, IAM Identity Center représente votre IdP devant Services AWS plusieurs et permet à OAuth vos applications 2.0 de demander l'accès aux données de ces services au nom de vos utilisateurs. Vous pouvez également utiliser IAM Identity Center pour attribuer à vos utilisateurs l'accès aux applications [SAML 2.0.](https://wiki.oasis-open.org/security) Cela inclut des AWS services tels qu'Amazon Connect et Amazon AWS Client VPN, qui s'intègrent à IAM Identity Center exclusivement à l'aide de SAML et sont donc classés dans la catégorie des applications gérées par le client.
+ Si votre application prend en charge les **jetons Web JSON (JWTs)**, vous pouvez utiliser la fonction de propagation d'identité sécurisée d'IAM Identity Center pour permettre à votre application de demander l'accès aux données Services AWS au nom de vos utilisateurs. La propagation fiable des identités repose sur le cadre d'autorisation OAuth 2.0 et inclut une option permettant aux applications d'échanger des jetons d'identité provenant d'un serveur d'autorisation OAuth 2.0 externe contre des jetons émis par IAM Identity Center et reconnus par Services AWS. Pour de plus amples informations, veuillez consulter [Cas d'utilisation de propagation d'identité fiables](trustedidentitypropagation-integrations.md).
+ Si votre application prend en charge le **protocole SAML 2.0**, vous pouvez la connecter à une [instance organisationnelle d'IAM Identity Center](identity-center-instances.md). Vous pouvez utiliser IAM Identity Center pour attribuer l'accès à votre application SAML 2.0.
**Note**
Lorsque vous intégrez des applications gérées par le client à une instance IAM Identity Center qui utilise une [clé KMS gérée par le client](encryption-at-rest.md), vérifiez si l'application invoque le service IAM Identity Center APIs pour confirmer si l'application a besoin d'autorisations relatives aux clés KMS. Suivez les instructions relatives à l'octroi d'autorisations clés KMS pour les flux de travail personnalisés figurant dans les [politiques clés KMS de base](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center) du guide de l'utilisateur d'IAM Identity Center.
**Topics**
+ [Accès par authentification unique aux applications SAML 2.0 et OAuth 2.0](customermanagedapps-saml2-oauth2.md)
+ [Configuration d'applications SAML 2.0 gérées par le client](customermanagedapps-saml2-setup.md)
# Accès par authentification unique aux applications SAML 2.0 et OAuth 2.0
IAM Identity Center vous permet de fournir à vos utilisateurs un accès par authentification unique aux applications SAML 2.0 ou OAuth 2.0. Les rubriques suivantes fournissent une présentation générale de SAML 2.0 et OAuth 2.0.
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2,0](#oidc-concept)
## SAML 2.0
SAML 2.0 est une norme industrielle utilisée pour échanger en toute sécurité des assertions SAML qui transmettent des informations sur un utilisateur entre une autorité SAML (appelée fournisseur d'identité ou IdP) et un consommateur SAML 2.0 (appelé fournisseur de services ou SP). IAM Identity Center utilise ces informations pour fournir un accès d'authentification unique fédéré aux utilisateurs autorisés à utiliser les applications du AWS portail d'accès.
**Note**
IAM Identity Center ne prend pas en charge la validation des signatures des demandes d'authentification SAML entrantes provenant d'applications SAML.
## OAuth 2,0
OAuth Le 2.0 est un protocole qui permet aux applications d'accéder aux données des utilisateurs et de les partager en toute sécurité sans partager de mots de passe. Cette fonctionnalité fournit aux utilisateurs un moyen sécurisé et standardisé d'autoriser les applications à accéder à leurs ressources. L'accès est facilité par différents flux de subventions OAuth 2.0.
IAM Identity Center permet aux applications qui s'exécutent sur des clients publics de récupérer des informations d'identification temporaires pour accéder Comptes AWS et fournir des services par programmation au nom de leurs utilisateurs. Les clients publics sont généralement des ordinateurs de bureau, des ordinateurs portables ou d'autres appareils mobiles utilisés pour exécuter des applications localement. Les exemples d' AWS applications exécutées sur des clients publics incluent le AWS Command Line Interface (AWS CLI) et AWS Toolkit les kits de développement AWS logiciel (SDKs). Pour permettre à ces applications d'obtenir des informations d'identification, IAM Identity Center prend en charge certaines parties des flux OAuth 2.0 suivants :
+ [Octroi de code d'autorisation avec clé de preuve pour l'échange de code (PKCE) ([RFC 6749 et RFC 7636](https://www.rfc-editor.org/rfc/rfc6749#section-4.1))](https://www.rfc-editor.org/rfc/rfc7636)
+ Octroi d'autorisation d'appareil ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**Note**
Ces types de subventions ne peuvent être utilisés Services AWS que s'ils prennent en charge cette fonctionnalité. Il est possible que ces services ne prennent pas en charge ce type de subvention du tout Régions AWS. Reportez-vous à la documentation pertinente Services AWS pour les différences régionales.
OpenID Connect (OIDC) est un protocole d'authentification basé sur le OAuth framework 2.0. L'OIDC indique comment utiliser la OAuth version 2.0 pour l'authentification. Par le biais du [service IAM Identity Center OIDC APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), une application enregistre un client OAuth 2.0 et utilise l'un de ces flux pour obtenir un jeton d'accès qui fournit des autorisations à IAM Identity Center protected. APIs Une application définit les [étendues d'accès](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) pour déclarer l'utilisateur d'API auquel elle est destinée. Une fois que vous, en tant qu'administrateur du centre d'identité IAM, avez configuré votre source d'identité, les utilisateurs finaux de votre application doivent terminer un processus de connexion, s'ils ne l'ont pas déjà fait. Vos utilisateurs finaux doivent ensuite donner leur accord pour autoriser l'application à effectuer des appels d'API. Ces appels d'API sont effectués à l'aide des autorisations des utilisateurs. En réponse, IAM Identity Center renvoie un jeton d'accès à l'application contenant les étendues d'accès auxquelles les utilisateurs ont consenti.
### Utilisation d'un flux de subventions OAuth 2.0
OAuth Les flux de subventions 2.0 ne sont disponibles que par le biais d'applications AWS gérées qui les prennent en charge. Pour utiliser un flux OAuth 2.0, votre instance d'IAM Identity Center et toutes les applications AWS gérées prises en charge que vous utilisez doivent être déployées en une seule Région AWS fois. Reportez-vous à la documentation de chacune Service AWS pour déterminer la disponibilité régionale des applications AWS gérées et l'instance d'IAM Identity Center que vous souhaitez utiliser.
Pour utiliser une application qui utilise un flux OAuth 2.0, l'utilisateur final doit saisir l'URL à laquelle l'application se connectera et s'enregistrera auprès de votre instance d'IAM Identity Center. Selon l'application, en tant qu'administrateur, vous devez fournir à vos utilisateurs l'URL du **portail AWS d'accès ou l'URL** de l'**émetteur** de votre instance d'IAM Identity Center. **Vous trouverez ces deux paramètres sur la page des paramètres de la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).** Pour plus d'informations sur la configuration d'une application cliente, reportez-vous à la documentation de cette application.
L'expérience de l'utilisateur final en matière de connexion à une application et de fourniture de son consentement varie selon que l'application utilise le [Octroi de code d'autorisation avec PKCE](#auth-code-grant-pkce) ou[Octroi d'autorisation d'appareil](#device-auth-grant).
#### Octroi de code d'autorisation avec PKCE
Ce flux est utilisé par les applications qui s'exécutent sur un appareil doté d'un navigateur.
1. Une fenêtre de navigateur s'ouvre.
1. Si l'utilisateur ne s'est pas authentifié, le navigateur le redirige pour terminer l'authentification utilisateur.
1. Après authentification, l'utilisateur s'affiche sur un écran de consentement qui affiche les informations suivantes :
+ Le nom de l'application
+ Les étendues d'accès que l'application demande le consentement pour utiliser
1. L'utilisateur peut annuler le processus de consentement ou donner son consentement et l'application procède à l'accès en fonction des autorisations de l'utilisateur.
#### Octroi d'autorisation d'appareil
Ce flux peut être utilisé par les applications qui s'exécutent sur un appareil avec ou sans navigateur. Lorsque l'application lance le flux, elle présente une URL et un code utilisateur que l'utilisateur doit vérifier ultérieurement dans le flux. Le code utilisateur est nécessaire car l'application qui initie le flux est peut-être exécutée sur un appareil différent de celui sur lequel l'utilisateur donne son consentement. Le code garantit que l'utilisateur consent au flux qu'il a initié sur l'autre appareil.
**Note**
Si des clients l'utilisent`device.sso.region.amazonaws.com`, vous devez mettre à jour votre flux d'autorisation afin d'utiliser Proof Key for Code Exchange (PKCE). Pour plus d'informations, consultez [la section Configuration de l'authentification IAM Identity Center AWS CLIà l'aide du](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) *guide de l'AWS Command Line Interface utilisateur*.
1. Lorsque le flux est lancé à partir d'un appareil doté d'un navigateur, une fenêtre de navigateur s'ouvre. Lorsque le flux est lancé à partir d'un appareil sans navigateur, l'utilisateur doit ouvrir un navigateur sur un autre appareil et accéder à l'URL présentée par l'application.
1. Dans les deux cas, si l'utilisateur ne s'est pas authentifié, le navigateur le redirige pour terminer l'authentification de l'utilisateur.
1. Après authentification, l'utilisateur s'affiche sur un écran de consentement qui affiche les informations suivantes :
+ Le nom de l'application
+ Les étendues d'accès que l'application demande le consentement pour utiliser
+ Le code utilisateur que l'application a présenté à l'utilisateur
1. L'utilisateur peut annuler le processus de consentement ou donner son consentement et l'application procède à l'accès en fonction des autorisations de l'utilisateur.
### Étendue d'accès
Une *étendue* définit l'accès à un service accessible via un flux OAuth 2.0. Les étendues permettent au service, également appelé serveur de ressources, de regrouper les autorisations liées aux actions et aux ressources du service, et elles spécifient les opérations grossières que OAuth les clients 2.0 peuvent demander. Lorsqu'un client OAuth 2.0 s'enregistre auprès du [service IAM Identity Center OIDC](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), il précise les limites dans lesquelles il doit déclarer les actions prévues, pour lesquelles l'utilisateur doit donner son consentement.
OAuth Les clients 2.0 utilisent `scope` les valeurs définies dans [la section 3.3 de OAuth 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) pour spécifier les autorisations demandées pour un jeton d'accès. Les clients peuvent spécifier un maximum de 25 étendues lorsqu'ils demandent un jeton d'accès. Lorsqu'un utilisateur donne son consentement lors d'une attribution de code d'autorisation avec PKCE ou Device Authorization Grant flow, IAM Identity Center encode les étendues dans le jeton d'accès qu'il renvoie.
AWS ajoute des champs d'application à IAM Identity Center pour qu'ils soient pris en charge. Services AWS Le tableau suivant répertorie les étendues prises en charge par le service IAM Identity Center OIDC lorsque vous enregistrez un client public.
#### Étendue d'accès prise en charge par le service IAM Identity Center OIDC lors de l'enregistrement d'un client public
****
| Scope | Description | Services pris en charge par |
| --- | --- | --- |
| sso:account:access | Accédez aux comptes gérés par IAM Identity Center et aux ensembles d'autorisations. | IAM Identity Center |
| codewhisperer:analysis | Activez l'accès à l'analyse du code Kiro. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:completions | Activez l'accès aux suggestions de code en ligne de Kiro. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:conversations | Activez l'accès au chat Kiro. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:taskassist | Activez l'accès à Kiro Agent pour le développement de logiciels. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:transformations | Activez l'accès à l'agent Kiro pour la transformation du code. | ID de constructeur AWS et IAM Identity Center |
| codecatalyst:read\$1write | Lisez et écrivez sur vos CodeCatalyst ressources Amazon pour accéder à toutes vos ressources existantes. | ID de constructeur AWS et IAM Identity Center |
| verified\$1access:application:connect | Activer Accès vérifié par AWS | Accès vérifié par AWS |
| redshift:connect | Connect à Amazon Redshift | Amazon Redshift |
| datazone:domain:access | Accédez à votre rôle d'exécution de DataZone domaine | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Création et lecture de modèles de données | NoSQL Workbench |
| transform:read\$1write | Permettre l'accès à l'agent de AWS transformation pour la transformation du code | AWS Transformation |
# Configuration d'applications SAML 2.0 gérées par le client
Si vous utilisez des applications gérées par le client qui prennent en charge le [protocole SAML 2.0](https://wiki.oasis-open.org/security), vous pouvez fédérer votre IdP à IAM Identity Center via SAML 2.0 et utiliser IAM Identity Center pour gérer l'accès des utilisateurs à ces applications. Vous pouvez sélectionner une application SAML 2.0 dans un catalogue d'applications couramment utilisées dans la console IAM Identity Center, ou vous pouvez configurer votre propre application SAML 2.0.
**Note**
Si vous avez des applications gérées par le client compatibles avec la OAuth version 2.0 et que vos utilisateurs doivent y accéder depuis ces applications Services AWS, vous pouvez utiliser la propagation d'identité sécurisée. Grâce à la propagation sécurisée des identités, un utilisateur peut se connecter à une application, et cette application peut transmettre l'identité de l'utilisateur dans les demandes d'accès aux données Services AWS.
**Topics**
+ [Configuration d'une application à partir du catalogue d'applications IAM Identity Center](saasapps.md)
+ [Configurez votre propre application SAML 2.0](customermanagedapps-set-up-your-own-app-saml2.md)
# Configuration d'une application à partir du catalogue d'applications IAM Identity Center
Vous pouvez utiliser le catalogue d'applications de la console IAM Identity Center pour ajouter de nombreuses applications SAML 2.0 couramment utilisées qui fonctionnent avec IAM Identity Center. Les exemples incluent Salesforce, Box et Microsoft 365.
La plupart des applications fournissent des informations détaillées sur la façon de configurer la confiance entre IAM Identity Center et le fournisseur de services de l'application. Ces informations sont disponibles sur la page de configuration de l'application, une fois que vous l'avez sélectionnée dans le catalogue. Après avoir configuré l'application, vous pouvez attribuer l'accès à des utilisateurs ou à des groupes dans IAM Identity Center selon vos besoins.
Utilisez cette procédure pour configurer une relation de confiance SAML 2.0 entre IAM Identity Center et le fournisseur de services de votre application.
Avant de commencer cette procédure, il est utile de disposer du fichier d'échange de métadonnées du fournisseur de services afin de configurer plus efficacement la confiance. Si vous ne possédez pas ce fichier, vous pouvez toujours utiliser cette procédure pour le configurer manuellement.
**Pour ajouter et configurer une application à partir du catalogue d'applications**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Choisissez l’onglet **Gérée par le client**.
1. Choisissez **Add application** (Ajouter une application).
1. Sur la page **Sélectionner le type d'application**, sous **Préférences de configuration**, choisissez **Je souhaite sélectionner une application dans le catalogue**.
1. Sous **Catalogue d'applications**, commencez à taper le nom de l'application que vous souhaitez ajouter dans le champ de recherche.
1. Choisissez le nom de l'application dans la liste lorsqu'elle apparaît dans les résultats de recherche, puis cliquez sur **Suivant**.
1. Sur la page **Configurer l'application**, les champs **Nom d'affichage** et **Description** sont préremplis avec les informations pertinentes pour l'application. Vous pouvez modifier ces informations.
1. Sous les **métadonnées du IAM Identity Center**, procédez comme suit :
1. Dans le **fichier de métadonnées SAML d'IAM Identity Center**, choisissez **Télécharger pour télécharger** les métadonnées du fournisseur d'identité.
1. Sous le **certificat IAM Identity Center**, choisissez **Télécharger le certificat** pour télécharger le certificat du fournisseur d'identité.
**Note**
Vous aurez besoin de ces fichiers ultérieurement lorsque vous configurerez l'application sur le site Web du fournisseur de services. Suivez les instructions de ce fournisseur.
1. (Facultatif) Sous **Propriétés de l'application**, vous pouvez spécifier l'**URL de démarrage de l'application**, **l'état du relais** et **la durée de la session**. Pour de plus amples informations, veuillez consulter [Comprendre les propriétés de l'application dans la console IAM Identity Center](appproperties.md).
1. Sous **Métadonnées de l'application**, effectuez l'une des opérations suivantes :
1. Si vous avez un fichier de métadonnées, choisissez **Télécharger le fichier de métadonnées SAML de l'application**. Sélectionnez ensuite **Choisir un fichier** pour rechercher et sélectionner le fichier de métadonnées.
1. Si vous n'avez pas de fichier de métadonnées, choisissez **Tapez manuellement vos valeurs de métadonnées**, puis fournissez l'**URL de l'application ACS** et les valeurs d'**audience SAML de l'application**.
1. Sélectionnez **Soumettre**. Vous êtes redirigé vers la page de détails de l'application que vous venez d'ajouter.
# Configurez votre propre application SAML 2.0
Vous pouvez configurer vos propres applications qui autorisent la fédération d'identités à l'aide de SAML 2.0 et les ajouter à IAM Identity Center. La plupart des étapes de configuration de vos propres applications SAML 2.0 sont identiques à celles de configuration d'une application SAML 2.0 à partir du catalogue d'applications de la console IAM Identity Center. Toutefois, vous devez également fournir des mappages d'attributs SAML supplémentaires pour vos propres applications SAML 2.0. Ces mappages permettent à IAM Identity Center de remplir correctement l'assertion SAML 2.0 pour votre application. Vous pouvez fournir ce mappage d'attributs SAML supplémentaire lorsque vous configurez l'application pour la première fois. Vous pouvez également fournir des mappages d'attributs SAML 2.0 sur la page de détails de l'application dans la console IAM Identity Center.
Utilisez la procédure suivante pour configurer une relation de confiance SAML 2.0 entre IAM Identity Center et le fournisseur de services de votre application SAML 2.0. Avant de commencer cette procédure, vérifiez que vous avez le certificat et les fichiers d'échange de métadonnées du fournisseur de services afin de finaliser la configuration de l'approbation.
**Pour configurer votre propre application SAML 2.0**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Choisissez l’onglet **Gérée par le client**.
1. Choisissez **Add application** (Ajouter une application).
1. Sur la page **Sélectionner le type d’application**, sous **Préférence de configuration**, choisissez **J’ai une application que je souhaite configurer**.
1. Sous **Type d'application**, choisissez **SAML 2.0.**
1. Choisissez **Suivant**.
1. Sur la page **Configurer l'application**, sous **Configurer l'application**, entrez un **nom d'affichage** pour l'application, tel que**MyApp**. Entrez ensuite une **description**.
1. Sous les **métadonnées du IAM Identity Center**, procédez comme suit :
1. Dans le **fichier de métadonnées SAML d'IAM Identity Center**, choisissez **Télécharger pour télécharger** les métadonnées du fournisseur d'identité.
1. Sous le **certificat IAM Identity Center**, choisissez **Télécharger pour télécharger** le certificat du fournisseur d'identité.
**Note**
Vous aurez besoin de ces fichiers par la suite pour configurer l'application personnalisée sur le site web du fournisseur de services.
1. (Facultatif) Sous **Propriétés de l'application**, vous pouvez également spécifier l'**URL de démarrage de l'application**, **l'état du relais** et **la durée de la session**. Pour de plus amples informations, veuillez consulter [Comprendre les propriétés de l'application dans la console IAM Identity Center](appproperties.md).
1. Sous **Métadonnées de l'application**, choisissez **Tapez manuellement vos valeurs de métadonnées**. Indiquez ensuite l'**URL ACS de l'application** **et les valeurs d'audience SAML** de l'application.
1. Sélectionnez **Soumettre**. Vous êtes redirigé vers la page de détails de l'application que vous venez d'ajouter.