Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurer SAML et SCIM avec un IAM Okta Identity Center
Okta
Vous pouvez automatiquement fournir ou synchroniser les informations des utilisateurs et des groupes depuis Okta IAM Identity Center à l'aide du protocole [SCIM (System for Cross-domain Identity Management) 2.0](scim-profile-saml.md#scim-profile). Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
Pour configurer cette connexionOkta, vous utilisez votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec Okta les attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center et votre Okta compte.
Oktaprend en charge les fonctionnalités de provisionnement suivantes lorsqu'il est connecté à IAM Identity Center via SCIM :
+ Créer des utilisateurs : les utilisateurs affectés à l'application IAM Identity Center dans Okta sont provisionnés dans IAM Identity Center.
+ Mettre à jour les attributs utilisateur : les modifications d'attributs pour les utilisateurs affectés à l'application IAM Identity Center Okta sont mises à jour dans IAM Identity Center.
+ Désactiver les utilisateurs : les utilisateurs qui ne sont pas affectés par l'application IAM Identity Center dans Okta sont désactivés dans IAM Identity Center.
+ Push de groupe : les groupes (et leurs membres) Okta sont synchronisés avec IAM Identity Center.
**Note**
Pour minimiser les frais administratifs, tant Okta pour IAM Identity Center, que pour IAM Identity Center, nous vous recommandons d'attribuer et de *transférer* des groupes plutôt que des utilisateurs individuels.
+ Importer des utilisateurs : les utilisateurs peuvent être importés depuis IAM Identity Center versOkta.
**Objectif**
Dans ce didacticiel, vous allez découvrir comment configurer une connexion SAML avec Okta IAM Identity Center. Plus tard, vous synchroniserez les utilisateurs depuisOkta, à l'aide de SCIM. Dans ce scénario, vous gérez tous les utilisateurs et groupes dansOkta. Les utilisateurs se connectent via le Okta portail. Pour vérifier que tout est correctement configuré, une fois les étapes de configuration terminées, vous vous connecterez en tant qu'Oktautilisateur et vérifierez l'accès aux AWS ressources.
Les fonctionnalités suivantes sont prises en charge lors de la connexion Okta à IAM Identity Center via SAML :
+ Connexion SAML initiée par l'IDP : les utilisateurs se connectent via le Okta portail et ont accès à IAM Identity Center.
+ Connexion SAML initiée par le SP : les utilisateurs accèdent au portail d' AWS accès, qui les redirige pour qu'ils se connectent via le portail. Okta
**Note**
Vous pouvez créer un Okta compte ([essai gratuit](https://www.okta.com/free-trial/)) sur lequel l'application Okta's [IAM Identity Center est installée](https://www.okta.com/integrations/aws-single-sign-on/). Pour les Okta produits payants, vous devrez peut-être confirmer que votre Okta licence prend en charge la *gestion du cycle de vie ou des* fonctionnalités similaires permettant le provisionnement sortant. Ces fonctionnalités peuvent être nécessaires pour configurer le SCIM depuis Okta IAM Identity Center.
Si vous n'avez pas encore activé IAM Identity Center, consultez[Activer IAM Identity Center](enable-identity-center.md).
## Considérations
+ Avant de configurer le provisionnement SCIM entre Okta et IAM Identity Center, nous vous recommandons de procéder à un premier examen. [Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations)
+ Chaque Okta utilisateur doit avoir un **prénom, un nom de famille**, un **nom** **d'utilisateur** et une valeur de **nom d'affichage** spécifiés.
+ Chaque Okta utilisateur ne dispose que d'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.
+ Lors de l'utilisation Okta avec IAM Identity Center, IAM Identity Center est généralement configuré en tant qu'application dans. Okta Cela vous permet de configurer plusieurs instances d'IAM Identity Center en tant que plusieurs applications, prenant en charge l'accès à plusieurs AWS Organisations, au sein d'une seule instance duOkta.
+ Les droits et les attributs de rôle ne sont pas pris en charge et ne peuvent pas être synchronisés avec IAM Identity Center.
+ L'utilisation du même Okta groupe pour les devoirs et le transfert de groupe n'est actuellement pas prise en charge. Pour maintenir des appartenances de groupe cohérentes entre IAM Identity Center Okta et IAM Identity Center, créez un groupe distinct et configurez-le pour transférer des groupes vers IAM Identity Center.
+ Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et Comptes AWS via des régions supplémentaires. Pour plus de détails, notamment sur les prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md). Les étapes spécifiques à Okta sont décrites dans [Oktaconfiguration pour l'accès à des régions supplémentaires](#gs-okta-multi-region)
## Étape 1 Okta : Obtenir les métadonnées SAML de votre compte Okta
1. Connectez-vous auOkta admin dashboard, développez **Applications**, puis sélectionnez **Applications**.
1. Sur la page **Applications**, choisissez **Browse App Catalog** (Parcourir le catalogue d'applications).
1. Dans le champ de recherche, tapez ** AWS IAM Identity Center**, sélectionnez l'application pour ajouter l'application IAM Identity Center.
1. Sélectionnez l'**onglet Se connecter**.
1. Sous **Certificats de signature SAML**, sélectionnez **Actions**, puis **Afficher les métadonnées IdP**. Un nouvel onglet de navigateur s'ouvre et affiche l'arborescence du document d'un fichier XML. Sélectionnez tout le code XML de `` à `` et copiez-le dans un fichier texte.
1. Enregistrez le fichier texte sous`metadata.xml`.
Laissez la console Okta admin dashboard ouverte, vous continuerez à utiliser cette console dans les étapes ultérieures.
## Étape 2 : IAM Identity Center : configurer Okta en tant que source d'identité pour IAM Identity Center
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) en tant qu'utilisateur doté de privilèges administratifs.
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez **Actions**, puis **Modifier la source d'identité**.
1. Sous **Choisir une source d'identité**, sélectionnez **Fournisseur d'identité externe**, puis cliquez sur **Suivant**.
1. Sous **Configurer le fournisseur d'identité externe**, procédez comme suit :
1. Sous **Métadonnées du fournisseur** de services, copiez les éléments suivants dans un fichier texte pour y accéder facilement :
+ **URL du service ACS (IAM Identity Center Assertion Consumer Service) : vous avez le choix entre un ACS** IPv4 uniquement ou un ACS à double pile. URLs De plus, si votre instance IAM Identity Center est activée dans plusieurs régions, chaque région supplémentaire possède son propre ACS à double IPv4 pile uniquement. URLs Pour plus d'informations sur ACS URLs, voir[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
+ **URL de l'émetteur du IAM Identity Center**
Vous aurez besoin de ces valeurs plus loin dans ce didacticiel.
1. Sous **Métadonnées du fournisseur d'identité**, sous **Métadonnées IDP SAML**, sélectionnez **Choisir un fichier**, puis sélectionnez le `metadata.xml` fichier que vous avez créé à l'étape précédente.
1. Choisissez **Suivant**.
1. Une fois que vous avez lu la clause de non-responsabilité et que vous êtes prêt à continuer, entrez **ACCEPT**.
1. Choisissez **Modifier la source d'identité**.
Laissez la AWS console ouverte, vous continuerez à l'utiliser à l'étape suivante.
1. Revenez à Okta admin dashboard l'onglet **Connexion de l'** AWS IAM Identity Center application et sélectionnez-le, puis sélectionnez **Modifier**.
1. Dans **Paramètres de connexion avancés, entrez les** informations suivantes :
+ Pour **l'URL ACS**, entrez la ou les valeurs que vous avez copiées pour l'**URL IAM Identity Center Assertion Consumer Service (ACS)**. Vous pouvez utiliser l'URL ACS de la région principale comme URL par défaut afin que les utilisateurs soient redirigés vers la région principale lorsqu'ils lancent l'application Amazon Web ServicesOkta.
+ (Facultatif) Si vous avez répliqué IAM Identity Center dans d'autres régions, vous pouvez également créer une application de favoris Okta pour le portail AWS d'accès de chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deOkta. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansOkta. Consultez [Oktala documentation](https://support.okta.com/help/s/article/create-a-bookmark-app) pour plus de détails. Si vous prévoyez de répliquer IAM Identity Center dans d'autres régions ultérieurement, consultez la page [Oktaconfiguration pour l'accès à des régions supplémentaires](#gs-okta-multi-region) pour savoir comment activer l'accès aux régions supplémentaires après cette configuration initiale.
+ Pour **URL de l'émetteur**, entrez la valeur que vous avez copiée pour l'URL de l'émetteur d'**IAM Identity Center**
+ Pour le **format du nom d'utilisateur de l'application**, sélectionnez l'une des options du menu.
Assurez-vous que la valeur que vous choisissez est unique pour chaque utilisateur. Pour ce didacticiel, sélectionnez le nom d'**utilisateur Okta**
1. Choisissez **Enregistrer**.
Vous êtes maintenant prêt à approvisionner les utilisateurs depuis Okta IAM Identity Center. Laissez le champ Okta admin dashboard ouvert et revenez à la console IAM Identity Center pour passer à l'étape suivante.
## Étape 3 : IAM Identity Center et Okta Okta provisionnement des utilisateurs
1. **Dans la console IAM Identity Center, sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez Activer.** Cela permet le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. **Dans la boîte de dialogue de provisionnement automatique entrant**, copiez chacune des valeurs des options suivantes :
1. Point de **terminaison SCIM** : le format du point de terminaison dépend de votre configuration :
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
+ Double pile : https://scim. *us-east-2*.api .aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique Okta plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
1. Retournez à l'application IAM Identity Center Okta admin dashboard et naviguez vers celle-ci.
1. **Sur la page de l'**application IAM Identity Center**, choisissez l'onglet **Provisioning**, puis dans le menu de navigation de gauche, sous **Paramètres**, choisissez Integration.**
1. Choisissez **Modifier**, puis cochez la case à côté de **Activer l'intégration des API** pour activer le provisionnement automatique.
1. Configurez Okta avec les valeurs de provisionnement SCIM AWS IAM Identity Center que vous avez copiées plus tôt dans cette étape :
1. Dans le champ **URL de base**, entrez la valeur du point de **terminaison SCIM**.
1. Dans le champ **API Token**, entrez la valeur du **jeton d'accès**.
1. Choisissez **Test API Credentials** pour vérifier que les informations d'identification saisies sont valides.
Le message **AWS IAM Identity Center a été vérifié avec succès \$1** écrans.
1. Choisissez **Enregistrer**. Vous êtes redirigé vers la section **Paramètres**, où **l'option Intégration** est sélectionnée.
1. Sous **Paramètres**, choisissez **Vers l'application**, puis cochez la case **Activer** pour chacune des fonctionnalités de **provisionnement vers l'application** que vous souhaitez activer. Pour ce didacticiel, sélectionnez toutes les options.
1. Choisissez **Enregistrer**.
Vous êtes maintenant prêt à synchroniser vos utilisateurs depuis Okta IAM Identity Center.
## Étape 4 Okta : Synchroniser les utilisateurs depuis Okta IAM Identity Center
Par défaut, aucun groupe ou utilisateur n'est attribué à votre application Okta IAM Identity Center. Les groupes de provisionnement provisionnent les utilisateurs membres du groupe. Procédez comme suit pour synchroniser les groupes et les utilisateurs avec AWS IAM Identity Center.
1. Sur la page de l'**application Okta IAM Identity Center**, choisissez l'onglet **Assignments**. Vous pouvez attribuer à la fois des personnes et des groupes à l'application IAM Identity Center.
1. Pour affecter des personnes :
+ Sur la page **Attributions**, choisissez **Attribuer**, puis **Attribuer à des personnes**.
+ Choisissez les Okta utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez **Attribuer**, puis **Enregistrer et revenir en arrière**, puis cliquez sur **Terminé**.
Cela lance le processus de mise en service des utilisateurs dans IAM Identity Center.
1. Pour attribuer des groupes :
+ Sur la page **Attributions**, choisissez **Attribuer**, puis **Attribuer aux groupes**.
+ Choisissez les Okta groupes auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez **Attribuer**, puis **Enregistrer et revenir en arrière**, puis cliquez sur **Terminé**.
Cela lance le processus de mise en service des utilisateurs du groupe dans IAM Identity Center.
**Note**
Vous devrez peut-être spécifier des attributs supplémentaires pour le groupe s'ils ne figurent pas dans tous les enregistrements utilisateur. Les attributs spécifiés pour le groupe remplaceront toute valeur d'attribut individuelle.
1. Choisissez l'onglet **Push Groups**. Choisissez le Okta groupe que vous souhaitez synchroniser avec IAM Identity Center. Choisissez **Enregistrer**.
Le statut du groupe passe à **Actif** une fois que le groupe et ses membres ont été transférés vers IAM Identity Center.
1. Retournez à l'onglet **Affectations**.
1. Pour ajouter des Okta utilisateurs individuels à IAM Identity Center, procédez comme suit :
1. Sur la page **Attributions**, choisissez **Attribuer**, puis **Attribuer à des personnes**.
1. Choisissez les Okta utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez **Attribuer**, puis **Enregistrer et revenir en arrière**, puis cliquez sur **Terminé**.
Cela lance le processus de mise en service des utilisateurs individuels dans IAM Identity Center.
**Note**
Vous pouvez également attribuer des utilisateurs et des groupes à l' AWS IAM Identity Center application, depuis la page **Applications** duOkta admin dashboard. Pour ce faire, sélectionnez l'icône **Paramètres**, puis choisissez **Attribuer aux utilisateurs** ou **Attribuer aux groupes**, puis spécifiez l'utilisateur ou le groupe.
1. Retournez à la console IAM Identity Center. Dans le volet de navigation de gauche, sélectionnez **Utilisateurs**. Vous devriez voir la liste des utilisateurs renseignée par vos Okta utilisateurs.
**Félicitations \$1**
Vous avez correctement configuré une connexion SAML entre Okta et AWS et vous avez vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans **IAM Identity Center**. Dans le cadre de ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur du IAM Identity Center en lui accordant des autorisations administratives sur le compte de gestion.
## Transmission d'attributs pour le contrôle d'accès - *Facultatif*
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Attribuez l'accès à Comptes AWS
Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.
**Note**
Pour effectuer cette étape, vous aurez besoin d'une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
### Étape 1 : IAM Identity Center : accordez aux Okta utilisateurs l'accès aux comptes
1. Dans le volet de navigation d'IAM Identity Center, sous **Autorisations multi-comptes**, sélectionnez. **Comptes AWS**
1. Sur la **Comptes AWS**page, la **structure organisationnelle affiche la** racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez **Attribuer des utilisateurs ou des groupes**.
1. Le flux de travail **Attribuer des utilisateurs et des groupes** s'affiche. Il se compose de trois étapes :
1. Pour **l'étape 1 : Sélectionnez les utilisateurs et les groupes**, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez **Suivant**.
1. Pour **l'étape 2 : sélectionner des ensembles d'autorisations**, choisissez **Créer un ensemble d'autorisations** pour ouvrir un nouvel onglet qui vous guide à travers les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.
1. Pour **l'étape 1 : Sélectionnez le type d'ensemble d'autorisations**, procédez comme suit :
+ Dans **Type d'ensemble d'autorisations**, choisissez **Ensemble d'autorisations prédéfini**.
+ Dans **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez **AdministratorAccess**.
Choisissez **Suivant**.
1. Pour **l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations**, conservez les paramètres par défaut et choisissez **Next**.
Les paramètres par défaut créent un ensemble d'autorisations nommé *AdministratorAccess* avec une durée de session fixée à une heure.
1. Pour **l'étape 3 : révision et création**, vérifiez que le **type d'ensemble d'autorisations** utilise la politique AWS gérée **AdministratorAccess**. Choisissez **Créer**. Sur la page **Ensembles d'autorisations**, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.
Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, vous êtes toujours à l'**étape 2 : sélectionnez les ensembles d'autorisations** à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.
Dans la zone **Ensembles d'autorisations**, cliquez sur le bouton **Actualiser**. L'ensemble *AdministratorAccess* d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez **Next**.
1. Pour **l'étape 3 : Révision et envoi**, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez **Soumettre**.
La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.
Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le *AdministratorAccess* rôle.
### Étape 2 Okta : Confirmer l'accès Okta des utilisateurs aux AWS ressources
1. Connectez-vous à l'aide d'un compte de test auOkta dashboard.
1. Sous **Mes applications**, sélectionnez l'AWS IAM Identity Centericône.
1. Vous devriez voir l' Compte AWS icône. Développez cette icône pour voir la liste des Comptes AWS objets auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.
1. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble **AdministratorAccess**d'autorisations.
1. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez spécifié l'accès à la fois à l'accès programmatique AWS Management Console et à l'accès programmatique. Sélectionnez **Console de gestion** pour ouvrir le AWS Management Console.
1. L'utilisateur est connecté au AWS Management Console.
Vous pouvez également utiliser le portail AWS d'accès. Cela vous redirige pour vous connecter via le Okta portail avant d' AWS accéder au portail d'accès. Ce chemin suit le flux de connexion SAML initié par le SP.
## Oktaconfiguration pour l'accès à des régions supplémentaires d'IAM Identity Center - Facultatif
Oktaconfiguration pour l'accès à des régions supplémentaires
Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et Comptes AWS via les régions supplémentaires. Les étapes ci-dessous vous guident tout au long de la procédure. Pour plus de détails sur cette rubrique, y compris les prérequis, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
1. Récupérez l'ACS URLs pour les régions supplémentaires à partir de la console IAM Identity Center, comme indiqué dans[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
1. Dans le volet de navigation du tableau de bord de l'Oktaadministrateur, sélectionnez **Applications**, puis à nouveau **Applications** dans la liste étendue.
1. Choisissez l'application **AWS IAM Identity Center**.
1. Choisissez l'onglet **Sign On** (Se connecter).
1. Sous **Paramètres de connexion avancés et autre authentification unique** **requise URLs, choisissez **Ajouter une autre** URL ACS** pour chaque région supplémentaire, puis collez l'URL ACS dans le champ de texte.
1. Lorsque vous avez terminé d'ajouter l'ACS URLs, enregistrez l'**AWS IAM Identity Center**application.
1. Vous pouvez créer une application de favoris Okta pour le portail AWS d'accès dans chaque région supplémentaire. Cela permet à vos utilisateurs d'accéder au portail AWS d'accès dans des régions supplémentaires à partir deOkta. Assurez-vous d'autoriser vos utilisateurs à accéder aux applications de favoris dansOkta. Consultez [Oktala documentation](https://support.okta.com/help/s/article/create-a-bookmark-app) pour plus de détails.
1. Vérifiez que vous pouvez vous connecter au portail AWS d'accès dans chaque région supplémentaire. Accédez au [portail AWS d'accès URLs](multi-region-workforce-access.md#portal-endpoints) ou lancez les applications de favoris à partir deOkta.
## Étapes suivantes
Maintenant que vous avez configuré Okta en tant que fournisseur d'identité et que vous avez configuré les utilisateurs dans IAM Identity Center, vous pouvez :
+ Accorder l'accès à Comptes AWS, voir[Attribuer l'accès d'un utilisateur ou d'un groupe à Comptes AWS](assignusers.md).
+ Accordez l'accès aux applications cloud, voir[Attribuer un accès utilisateur aux applications dans la console IAM Identity Center](assignuserstoapp.md).
+ Configurez les autorisations en fonction des fonctions de la tâche, voir [Création d'un ensemble d'autorisations](howtocreatepermissionset.md).
## Résolution des problèmes
Pour le dépannage général des systèmes SCIM et SAML avecOkta, consultez les sections suivantes :
+ [Reprovisionnement des utilisateurs et des groupes supprimés d'IAM Identity Center](#reprovisioning-deleted-users-groups)
+ [Erreur de provisionnement automatique dans Okta](#okta-auto-provisioning-error)
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ [Ressources supplémentaires](#gs-okta-troubleshooting-resources)
### Reprovisionnement des utilisateurs et des groupes supprimés d'IAM Identity Center
+ Le message d'erreur suivant peut s'afficher dans la Okta console si vous essayez de modifier un utilisateur ou un groupe Okta qui a déjà été synchronisé puis supprimé d'IAM Identity Center :
+ Le transfert automatique du profil de l'utilisateur *Jane Doe* vers l'application AWS IAM Identity Center a échoué : erreur lors de la tentative de transfert de la mise à jour du profil pour *jane\$1doe@example.com* : aucun utilisateur n'a été renvoyé pour l'utilisateur *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Le groupe lié est absent dans AWS IAM Identity Center. Modifiez le groupe lié pour recommencer à envoyer des adhésions à des groupes.
+ Vous pouvez également recevoir le message d'erreur suivant dans les Okta journaux des systèmes pour les utilisateurs ou les groupes IAM Identity Center synchronisés et supprimés :
+ Erreur Okta : Eventfailed application.provision.user.push\$1profile : aucun utilisateur renvoyé pour l'utilisateur *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Erreur Okta : application.provision.group\$1push.mapping.update.or.delete.failed.with.error : le groupe lié est absent dans. AWS IAM Identity Center Modifiez le groupe lié pour recommencer à envoyer des adhésions à des groupes.
**Avertissement**
Les utilisateurs et les groupes doivent être supprimés de IAM Identity Center Okta plutôt que d'IAM Identity Center si vous avez synchronisé Okta IAM Identity Center à l'aide de SCIM.
**Résolution des problèmes liés à la suppression des utilisateurs d'IAM Identity Center**
Pour résoudre ce problème concernant les utilisateurs supprimés de l'IAM Identity Center, ceux-ci doivent être supprimés deOkta. Si nécessaire, ces utilisateurs devront également être recréés dansOkta. Lorsque l'utilisateur est recréé dansOkta, il est également reprovisionné dans le IAM Identity Center via SCIM. Pour plus d'informations sur la suppression d'un utilisateur, consultez [Oktala documentation](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm).
**Note**
Si vous devez supprimer l'accès Okta d'un utilisateur à IAM Identity Center, vous devez d'abord le supprimer de son groupe Push, puis de son groupe d'affectation. Okta Cela garantit que l'utilisateur est retiré de son appartenance au groupe associé dans IAM Identity Center. Pour plus d'informations sur la résolution des problèmes liés à Group Push, consultez [Oktala documentation](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
**Résolution des problèmes liés à la suppression de groupes IAM Identity Center**
Pour résoudre ce problème avec les groupes IAM Identity Center supprimés, le groupe doit être supprimé d'Okta. Si nécessaire, ces groupes devront également être recréés dans Okta à l'aide de Group Push. Lorsque l'utilisateur est recréé dans Okta, il est également reprovisionné dans le IAM Identity Center via SCIM. Pour plus d'informations sur la suppression d'un groupe, consultez la [documentation Okta](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
### Erreur de provisionnement automatique dans Okta
Si le message d'erreur suivant s'affiche dans Okta :
Le provisionnement automatique de l'utilisateur Jane Doe vers l'application AWS IAM Identity Center a échoué : l'utilisateur correspondant est introuvable
Consultez [Oktala documentation](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US) pour plus d'informations.
### Ressources supplémentaires
+ Pour obtenir des conseils généraux de résolution des problèmes liés au SCIM, consultez[Résolution des problèmes liés à IAM Identity Center](troubleshooting.md).
Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique