Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Profil SCIM et implémentation de SAML 2.0
SCIM et SAML sont des éléments importants à prendre en compte lors de la configuration d'IAM Identity Center.
## Implémentation de SAML 2.0
IAM Identity Center prend en charge la fédération des identités avec le langage [SAML (Security Assertion Markup Language](https://wiki.oasis-open.org/security)) 2.0. Cela permet à IAM Identity Center d'authentifier les identités auprès de fournisseurs d'identité externes ()IdPs. SAML 2.0 est un standard ouvert utilisé pour échanger des assertions SAML en toute sécurité. SAML 2.0 transmet des informations sur un utilisateur entre une autorité SAML (appelée fournisseur d'identité ou IdP) et un consommateur SAML (appelé fournisseur de services ou SP). Le service IAM Identity Center utilise ces informations pour fournir une authentification unique fédérée. L'authentification unique permet aux utilisateurs d'accéder aux applications Comptes AWS et de les configurer en fonction de leurs informations d'identification de fournisseur d'identité existantes.
IAM Identity Center ajoute des fonctionnalités IDP SAML à votre boutique IAM Identity Center ou à un fournisseur AWS Managed Microsoft AD d'identité externe. Les utilisateurs peuvent ensuite se connecter de manière unique aux services qui prennent en charge le protocole SAML, y compris les applications tierces telles que Microsoft 365Concur, AWS Management Console et. Salesforce
Le protocole SAML ne permet toutefois pas d'interroger l'IdP pour en savoir plus sur les utilisateurs et les groupes. Par conséquent, vous devez informer IAM Identity Center de l'existence de ces utilisateurs et groupes en les configurant dans IAM Identity Center.
## profil SCIM
IAM Identity Center prend en charge la norme SCIM (System for Cross-Domain Identity Management) v2.0. Le SCIM synchronise les identités de votre IAM Identity Center avec celles de votre IdP. Cela inclut le provisionnement, les mises à jour et le déprovisionnement des utilisateurs entre votre fournisseur d’identité et IAM Identity Center.
Pour plus d'informations sur la mise en œuvre du SCIM, consultez[Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md). Pour plus de détails sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du [SCIM d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [Implémentation de SAML 2.0](#samlfederationconcept)
+ [profil SCIM](#scim-profile)
+ [Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md)
+ [Rotation des certificats SAML 2.0](managesamlcerts.md)
# Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis votre fournisseur d'identité (IdP) vers IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) v2.0. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage des attributs utilisateur de votre fournisseur d'identité (IdP) avec les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center et votre IdP. Vous configurez cette connexion dans votre IdP à l'aide de votre point de terminaison SCIM pour IAM Identity Center et d'un jeton porteur que vous créez dans IAM Identity Center.
**Topics**
+ [Considérations relatives à l'utilisation du provisionnement automatique](#auto-provisioning-considerations)
+ [Comment surveiller l'expiration des jetons d'accès](#access-token-expiry)
+ [Générer un jeton d'accès](generate-token.md)
+ [Activer le provisionnement automatique](how-to-with-scim.md)
+ [Supprimer un jeton d'accès](delete-token.md)
+ [Désactiver le provisionnement automatique](disable-provisioning.md)
+ [Faire pivoter un jeton d'accès](rotate-token.md)
+ [Auditez et réconciliez les ressources provisionnées automatiquement](reconcile-auto-provisioning.md)
+ [Approvisionnement manuel](#provision-manually)
## Considérations relatives à l'utilisation du provisionnement automatique
Avant de commencer à déployer le SCIM, nous vous recommandons de prendre d'abord en compte les considérations importantes suivantes concernant son fonctionnement avec IAM Identity Center. Pour d'autres considérations relatives au provisionnement, consultez la section [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) applicable à votre IdP.
+ Si vous fournissez une adresse e-mail principale, cette valeur d'attribut doit être unique pour chaque utilisateur. Dans certains IdPs cas, l'adresse e-mail principale peut ne pas être une adresse e-mail réelle. Par exemple, il peut s'agir d'un nom principal universel (UPN) qui ressemble uniquement à un e-mail. Ils IdPs peuvent avoir une adresse e-mail secondaire ou « autre » contenant la véritable adresse e-mail de l'utilisateur. Vous devez configurer le SCIM dans votre IdP pour associer l'adresse e-mail unique non NULL à l'attribut d'adresse e-mail principale du IAM Identity Center. Et vous devez associer l'identifiant de connexion unique non NULL de l'utilisateur à l'attribut de nom d'utilisateur IAM Identity Center. Vérifiez si votre IdP possède une valeur unique qui est à la fois l'identifiant de connexion et le nom e-mail de l'utilisateur. Dans ce cas, vous pouvez mapper ce champ IdP à la fois à l'adresse e-mail principale et au nom d'utilisateur de l'IAM Identity Center.
+ Pour que la synchronisation SCIM fonctionne, chaque utilisateur doit avoir un **prénom, un nom de famille**, un **nom** **d'utilisateur** et une valeur de **nom d'affichage** spécifiés. Si l'une de ces valeurs est absente pour un utilisateur, celui-ci ne sera pas approvisionné.
+ Si vous devez utiliser des applications tierces, vous devez d'abord mapper l'attribut de sujet SAML sortant à l'attribut de nom d'utilisateur. Si l'application tierce a besoin d'une adresse e-mail routable, vous devez fournir l'attribut e-mail à votre IdP.
+ Les intervalles de mise en service et de mise à jour du SCIM sont contrôlés par votre fournisseur d'identité. Les modifications apportées aux utilisateurs et aux groupes de votre fournisseur d'identité ne sont reflétées dans IAM Identity Center qu'une fois que votre fournisseur d'identité a envoyé ces modifications à IAM Identity Center. Consultez votre fournisseur d'identité pour plus de détails sur la fréquence des mises à jour des utilisateurs et des groupes.
+ Actuellement, les attributs à valeurs multiples (tels que plusieurs e-mails ou numéros de téléphone pour un utilisateur donné) ne sont pas fournis avec SCIM. Les tentatives de synchronisation d'attributs à valeurs multiples dans IAM Identity Center avec SCIM échoueront. Pour éviter les échecs, assurez-vous qu'une seule valeur est transmise pour chaque attribut. Si vous avez des utilisateurs dotés d'attributs à valeurs multiples, supprimez ou modifiez les mappages d'attributs dupliqués dans SCIM sur votre IdP pour la connexion à IAM Identity Center.
+ Vérifiez que le mappage `externalId` SCIM de votre IdP correspond à une valeur unique, toujours présente et peu susceptible de changer pour vos utilisateurs. Par exemple, votre IdP peut fournir un identifiant garanti `objectId` ou autre qui n'est pas affecté par les modifications apportées aux attributs utilisateur tels que le nom et l'adresse e-mail. Si tel est le cas, vous pouvez mapper cette valeur au `externalId` champ SCIM. Cela garantit que vos utilisateurs ne perdront pas leurs AWS droits, attributions ou autorisations si vous devez modifier leur nom ou leur adresse e-mail.
+ Utilisateurs qui n'ont pas encore été affectés à une application ou qui Compte AWS ne peuvent pas être approvisionnés dans IAM Identity Center. Pour synchroniser les utilisateurs et les groupes, assurez-vous qu'ils sont affectés à l'application ou à une autre configuration représentant la connexion de votre IdP à IAM Identity Center.
+ Le comportement de déprovisionnement des utilisateurs est géré par le fournisseur d'identité et peut varier en fonction de sa mise en œuvre. Renseignez-vous auprès de votre fournisseur d'identité pour en savoir plus sur le déprovisionnement des utilisateurs.
+ Après avoir configuré le provisionnement automatique avec SCIM pour votre IdP, vous ne pouvez plus ajouter ni modifier d'utilisateurs dans la console IAM Identity Center. Si vous devez ajouter ou modifier un utilisateur, vous devez le faire à partir de votre IdP externe ou de votre source d'identité.
Pour plus d'informations sur la mise en œuvre du SCIM par IAM Identity Center, consultez le guide du développeur de mise en œuvre du [SCIM d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Comment surveiller l'expiration des jetons d'accès
Les jetons d'accès SCIM sont générés avec une validité d'un an. Lorsque votre jeton d'accès SCIM doit expirer dans 90 jours ou moins, il vous AWS envoie des rappels dans la console IAM Identity Center et via le tableau de AWS Health bord pour vous aider à faire pivoter le jeton. En faisant pivoter le jeton d'accès SCIM avant son expiration, vous sécurisez en permanence le provisionnement automatique des informations sur les utilisateurs et les groupes. Si le jeton d'accès SCIM expire, la synchronisation des informations relatives aux utilisateurs et aux groupes entre votre fournisseur d'identité et IAM Identity Center s'arrête, de sorte que le provisionnement automatique ne peut plus effectuer de mises à jour ni créer et supprimer des informations. L'interruption du provisionnement automatique peut entraîner des risques de sécurité accrus et avoir un impact sur l'accès à vos services.
Les rappels de la console Identity Center sont conservés jusqu'à ce que vous fassiez pivoter le jeton d'accès SCIM et que vous supprimiez tous les jetons d'accès inutilisés ou expirés. Les événements du tableau de AWS Health bord sont renouvelés chaque semaine entre 90 et 60 jours, deux fois par semaine de 60 à 30 jours, trois fois par semaine de 30 à 15 jours et tous les jours pendant 15 jours jusqu'à l'expiration des jetons d'accès SCIM.
# Générer un jeton d'accès
Utilisez la procédure suivante pour générer un nouveau jeton d'accès dans la console IAM Identity Center.
**Note**
Cette procédure nécessite que vous ayez préalablement activé le provisionnement automatique. Pour de plus amples informations, veuillez consulter [Activer le provisionnement automatique](how-to-with-scim.md).
**Pour générer un nouveau jeton d'accès**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, choisissez **Générer un jeton**.
1. Dans la boîte de dialogue **Générer un nouveau jeton** d'accès, copiez le nouveau jeton d'accès et enregistrez-le en lieu sûr.
1. Choisissez **Fermer**.
# Activer le provisionnement automatique
Utilisez la procédure suivante pour activer le provisionnement automatique des utilisateurs et des groupes depuis votre IdP vers IAM Identity Center à l'aide du protocole SCIM.
**Note**
Avant de commencer cette procédure, nous vous recommandons de passer d'abord en revue les considérations de provisionnement applicables à votre IdP. Pour plus d'informations, consultez le correspondant [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) à votre IdP.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Une fois cette procédure terminée, vous devez configurer le provisionnement automatique dans votre IdP. Pour plus d'informations, consultez le correspondant [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) à votre IdP.
# Supprimer un jeton d'accès
Utilisez la procédure suivante pour supprimer un jeton d'accès existant dans la console IAM Identity Center.
**Pour supprimer un jeton d'accès existant**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, sélectionnez le jeton d'accès que vous souhaitez supprimer, puis choisissez **Supprimer**.
1. Dans la boîte de dialogue **Supprimer le jeton d'accès**, passez en revue les informations, tapez **DELETE**, puis choisissez **Supprimer le jeton d'accès**.
# Désactiver le provisionnement automatique
Utilisez la procédure suivante pour désactiver le provisionnement automatique dans la console IAM Identity Center.
**Important**
Vous devez supprimer le jeton d'accès avant de commencer cette procédure. Pour de plus amples informations, veuillez consulter [Supprimer un jeton d'accès](delete-token.md).
**Pour désactiver le provisionnement automatique dans la console IAM Identity Center**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, choisissez **Désactiver**.
1. Dans la boîte de dialogue **Désactiver le provisionnement automatique**, passez en revue les informations, tapez **DISABLE**, puis choisissez **Désactiver le provisionnement automatique**.
# Faire pivoter un jeton d'accès
Un annuaire IAM Identity Center prend en charge jusqu'à deux jetons d'accès à la fois. Pour générer un jeton d'accès supplémentaire avant toute rotation, supprimez tous les jetons d'accès expirés ou non utilisés.
Si votre jeton d'accès SCIM est sur le point d'expirer, vous pouvez utiliser la procédure suivante pour faire pivoter un jeton d'accès existant dans la console IAM Identity Center.
**Pour faire pivoter un jeton d'accès**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer le provisionnement**.
1. Sur la page **Provisionnement automatique**, sous **Jetons d'accès**, notez l'ID du jeton que vous souhaitez faire pivoter.
1. Suivez les étapes décrites [Générer un jeton d'accès](generate-token.md) pour créer un nouveau jeton. Si vous avez déjà créé le nombre maximum de jetons d'accès SCIM, vous devez d'abord supprimer l'un des jetons existants.
1. Accédez au site Web de votre fournisseur d'identité et configurez le nouveau jeton d'accès pour le provisionnement SCIM, puis testez la connectivité à IAM Identity Center à l'aide du nouveau jeton d'accès SCIM. Une fois que vous avez confirmé que le provisionnement fonctionne correctement à l'aide du nouveau jeton, passez à l'étape suivante de cette procédure.
1. Suivez les étapes décrites [Supprimer un jeton d'accès](delete-token.md) pour supprimer l'ancien jeton d'accès que vous avez indiqué précédemment. Vous pouvez également utiliser la date de création du jeton comme indication du jeton à supprimer.
# Auditez et réconciliez les ressources provisionnées automatiquement
SCIM vous permet de provisionner automatiquement des utilisateurs, des groupes et des adhésions à des groupes depuis votre source d'identité vers IAM Identity Center. Ce guide vous aide à vérifier et à réconcilier ces ressources afin de garantir une synchronisation précise.
## Pourquoi auditer vos ressources ?
Un audit régulier permet de garantir que vos contrôles d'accès restent précis et que votre fournisseur d'identité (IdP) reste correctement synchronisé avec IAM Identity Center. Cela est particulièrement important pour la conformité en matière de sécurité et la gestion des accès.
Ressources que vous pouvez auditer :
+ Utilisateurs
+ Groupes
+ Adhésions à des groupes
Vous pouvez utiliser les [commandes AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)ou CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) pour effectuer l'audit et le rapprochement. Les exemples suivants utilisent des AWS CLI commandes. Pour les alternatives à l'API, reportez-vous aux [opérations correspondantes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) dans la *référence de l'API Identity Store*.
## Comment auditer les ressources
Voici des exemples expliquant comment auditer ces ressources à l'aide de AWS CLI commandes.
Avant de commencer, assurez-vous de disposer des éléments suivants :
+ Accès administrateur à IAM Identity Center.
+ AWS CLI installé et configuré. Pour plus d'informations, consultez le [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Autorisations IAM requises pour les commandes Identity Store.
### Étape 1 : Répertorier les ressources actuelles
Vous pouvez consulter vos ressources actuelles à l'aide du AWS CLI.
**Note**
Lorsque vous utilisez le AWS CLI, la pagination est gérée automatiquement, sauf indication contraire de votre part. `--no-paginate` Si vous appelez directement l'API (par exemple, à l'aide d'un SDK ou d'un script personnalisé), gérez-le `NextToken` dans la réponse. Cela vous permet de récupérer tous les résultats sur plusieurs pages.
**Example pour les utilisateurs**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example pour les groupes**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example pour les adhésions à des groupes**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Étape 2 : comparer avec votre source d'identité
Comparez les ressources répertoriées avec votre source d'identité pour identifier les éventuelles incohérences, telles que :
+ Ressources manquantes qui devraient être provisionnées dans IAM Identity Center.
+ Ressources supplémentaires qui devraient être supprimées d'IAM Identity Center.
**Example pour les utilisateurs**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example pour les groupes**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example pour les adhésions à des groupes**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Considérations
+ Les commandes sont soumises à des [quotas de service et à une limitation des API](limits.md#ssothrottlelimits).
+ Lorsque vous constatez de nombreuses différences lors du rapprochement, apportez de petites modifications graduelles à AWS Identity Store. Cela vous permet d'éviter les erreurs qui affectent plusieurs utilisateurs.
+ La synchronisation SCIM peut annuler vos modifications manuelles. Vérifiez les paramètres de votre IdP pour comprendre ce comportement.
## Approvisionnement manuel
Certains IdPs ne sont pas compatibles avec le système de gestion des identités interdomaines (SCIM) ou ont une implémentation SCIM incompatible. Dans ces cas, vous pouvez configurer manuellement les utilisateurs via la console IAM Identity Center. Lorsque vous ajoutez des utilisateurs à IAM Identity Center, assurez-vous que le nom d'utilisateur est identique à celui que vous avez dans votre IdP. Au minimum, vous devez disposer d'une adresse e-mail et d'un nom d'utilisateur uniques. Pour de plus amples informations, veuillez consulter [Unicité du nom d'utilisateur et de l'adresse e-mail](users-groups-provisioning.md#username-email-unique).
Vous devez également gérer tous les groupes manuellement dans IAM Identity Center. Pour ce faire, vous devez créer les groupes et les ajouter à l'aide de la console IAM Identity Center. Ces groupes n'ont pas besoin de correspondre à ce qui existe dans votre IdP. Pour de plus amples informations, veuillez consulter [Groupes](users-groups-provisioning.md#groups-concept).
# Rotation des certificats SAML 2.0
IAM Identity Center utilise des certificats pour établir une relation de confiance SAML entre IAM Identity Center et votre fournisseur d'identité externe (IdP). Lorsque vous ajoutez un IdP externe dans IAM Identity Center, vous devez également obtenir au moins un certificat public SAML 2.0 X.509 auprès de l'IdP externe. Ce certificat est généralement installé automatiquement lors de l'échange de métadonnées IDP SAML lors de la création de la confiance.
En tant qu'administrateur du centre d'identité IAM, vous devrez parfois remplacer les anciens certificats IdP par des certificats plus récents. Par exemple, il se peut que vous deviez remplacer un certificat IdP lorsque la date d'expiration du certificat approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé rotation des certificats.
**Topics**
+ [Faire pivoter un certificat SAML 2.0](rotatesamlcert.md)
+ [Indicateurs du statut d'expiration des certificats](samlcertexpirationindicators.md)
# Faire pivoter un certificat SAML 2.0
Vous devrez peut-être importer des certificats périodiquement afin de remplacer les certificats non valides ou expirés émis par votre fournisseur d'identité. Cela permet d'éviter toute interruption ou interruption de l'authentification. Tous les certificats importés sont automatiquement actifs. Les certificats ne doivent être supprimés qu'après avoir vérifié qu'ils ne sont plus utilisés par le fournisseur d'identité associé.
Vous devez également tenir compte du fait que certains IdPs peuvent ne pas prendre en charge plusieurs certificats. Dans ce cas, le fait d'alterner les certificats avec ces derniers IdPs peut entraîner une interruption de service temporaire pour vos utilisateurs. Le service est rétabli lorsque la confiance avec cet IdP a été rétablie avec succès. Planifiez cette opération avec soin en dehors des heures de pointe si possible.
**Note**
Pour des raisons de sécurité, dès que des signes de compromission ou de mauvaise gestion d'un certificat SAML existant apparaissent, vous devez immédiatement le supprimer et le faire pivoter.
La rotation d'un certificat IAM Identity Center est un processus en plusieurs étapes qui implique les étapes suivantes :
+ Obtenir un nouveau certificat auprès de l'IdP
+ Importation du nouveau certificat dans IAM Identity Center
+ Activation du nouveau certificat dans l'IdP
+ Supprimer l'ancien certificat
Utilisez toutes les procédures suivantes pour terminer le processus de rotation des certificats tout en évitant toute interruption de l'authentification.
**Étape 1 : obtenir un nouveau certificat auprès de l'IdP**
Accédez au site Web de l'IdP et téléchargez leur certificat SAML 2.0. Assurez-vous que le fichier de certificat est téléchargé au format PEM codé. La plupart des fournisseurs vous permettent de créer plusieurs certificats SAML 2.0 dans l'IdP. Il est probable qu'ils soient marqués comme désactivés ou inactifs.
**Étape 2 : Importer le nouveau certificat dans IAM Identity Center**
Utilisez la procédure suivante pour importer le nouveau certificat à l'aide de la console IAM Identity Center.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer l'authentification**.
1. Sur la page **Gérer les certificats SAML 2.0**, choisissez **Importer le certificat**.
1. Dans la boîte de dialogue **Importer un certificat SAML 2.0**, **choisissez Choisir un fichier**, accédez à votre fichier de certificat et sélectionnez-le, puis choisissez **Importer un certificat**.
À ce stade, IAM Identity Center fera confiance à tous les messages SAML entrants signés à partir des deux certificats que vous avez importés.
**Étape 3 : activer le nouveau certificat dans l'IdP**
Retournez sur le site Web de l'IdP et marquez le nouveau certificat que vous avez créé précédemment comme principal ou actif. À ce stade, tous les messages SAML signés par l'IdP doivent utiliser le nouveau certificat.
**Étape 4 : Supprimer l'ancien certificat**
Suivez la procédure ci-dessous pour terminer le processus de rotation des certificats pour votre IdP. Il doit toujours y avoir au moins un certificat valide répertorié, et il ne peut pas être supprimé.
**Note**
Assurez-vous que votre fournisseur d'identité ne signe plus les réponses SAML avec ce certificat avant de le supprimer.
1. Sur la page **Gérer les certificats SAML 2.0**, sélectionnez le certificat que vous souhaitez supprimer. Sélectionnez **Delete (Supprimer)**.
1. Dans la boîte de dialogue **Supprimer le certificat SAML 2.0**, tapez **DELETE** pour confirmer, puis choisissez **Supprimer**.
1. Retournez sur le site Web de l'IdP et effectuez les étapes nécessaires pour supprimer l'ancien certificat inactif.
# Indicateurs du statut d'expiration des certificats
La page **Gérer les certificats SAML 2.0** affiche des icônes d'indicateur de statut colorées dans la colonne **Expire le** jour à côté de chaque certificat de la liste. Ce qui suit décrit les critères utilisés par IAM Identity Center pour déterminer quelle icône est affichée pour chaque certificat.
+ **Rouge** — Indique qu'un certificat a expiré.
+ **Jaune** — Indique qu'un certificat expire dans 90 jours ou moins.
+ **Vert** — Indique qu'un certificat est valide et le reste pendant au moins 90 jours supplémentaires.
**Pour vérifier l'état actuel d'un certificat**
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), sélectionnez **Paramètres.**
1. Sur la page **Paramètres**, choisissez l'onglet **Source d'identité**, puis sélectionnez **Actions > Gérer l'authentification**.
1. Sur la page **Gérer l'authentification SAML 2.0**, sous **Gérer les certificats SAML 2.0**, vérifiez le statut des certificats dans la liste, comme indiqué dans la colonne **Expire le**.