# SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé
Pour les identités du personnel (employés et sous-traitants), faites confiance à un fournisseur d'identité qui vous permet de gérer les identités de manière centralisée. Cela facilite la gestion de l'accès entre plusieurs applications et systèmes, car vous créez, attribuez, gérez, révoquez et auditez l'accès depuis un seul emplacement.
**Résultat souhaité :** Vous disposez d'un fournisseur d'identité centralisé dans lequel vous gérez de manière centralisée les utilisateurs faisant partie du personnel, les politiques d'authentification (telles que l'exigence d'authentification multifactorielle (MFA)) et les autorisations accordées aux systèmes et aux applications (telles que l'attribution de l'accès en fonction de l'appartenance à un groupe ou des attributs d'un utilisateur). Les utilisateurs en interne se connectent au fournisseur d'identité central et se fédèrent (authentification unique) avec les applications internes et externes, ce qui leur évite d'avoir à mémoriser différentes informations d'identification. Votre fournisseur d'identité est intégré à vos systèmes de ressources humaines (RH) afin que les changements de personnel soient automatiquement synchronisés avec lui. Par exemple, si quelqu'un quitte votre organisation, vous pouvez automatiquement révoquer l'accès aux applications et systèmes fédérés (y compris AWS). Vous avez activé la journalisation détaillée des audits dans votre fournisseur d'identité et vous surveillez ces journaux pour détecter tout comportement inhabituel des utilisateurs.
**Anti-modèles courants :**
+ Vous n'utilisez pas la fédération ni l'authentification unique. Les utilisateurs en interne créent des comptes utilisateur et des informations d'identification distincts dans plusieurs applications et systèmes.
+ Vous n'avez pas automatisé le cycle de vie des identités pour les utilisateurs en interne, par exemple en intégrant votre fournisseur d'identité à vos systèmes RH. Lorsqu'un utilisateur quitte votre organisation ou change de rôle, vous suivez un processus manuel pour supprimer ou mettre à jour ses enregistrements dans plusieurs applications et systèmes.
**Avantages liés au respect de cette bonne pratique :** En utilisant un fournisseur d'identité centralisé, vous disposez d'un emplacement unique pour gérer les identités et les politiques des utilisateurs en interne, de la possibilité d'attribuer l'accès aux applications, aux utilisateurs et aux groupes, et de la capacité de surveiller l'activité de connexion des utilisateurs. Grâce à l'intégration du fournisseur d'identité dans vos systèmes de ressources humaines (RH), lorsqu'un utilisateur change de rôle, ces modifications sont synchronisées avec le fournisseur d'identité et mettent automatiquement à jour les applications et les autorisations qui lui ont été attribuées. Lorsqu'un utilisateur quitte votre organisation, son identité est automatiquement désactivée dans le fournisseur d'identité, révoquant ainsi son accès aux applications et systèmes fédérés.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée** : élevé
## Directives d'implémentation
**Conseils pour les utilisateurs en interne accédant à AWS**
Les utilisateurs en interne, tels que les employés et les sous-traitants de votre organisation, peuvent avoir besoin d'accéder à AWS avec la AWS Management Console ou AWS Command Line Interface (AWS CLI) pour exécuter leurs tâches. Vous pouvez accorder l'accès AWS aux utilisateurs en interne en les fédérant avec AWS à deux niveaux à partir de votre fournisseur d'identité centralisé : fédération directe vers chaque Compte AWS ou fédération vers plusieurs comptes dans votre [organisation AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Pour fédérer les utilisateurs en interne directement avec chaque Compte AWS, vous pouvez utiliser un fournisseur d'identité centralisé afin de les fédérer à [Gestion des identités et des accès AWS](https://aws.amazon.com/iam/) sur ce compte. La flexibilité d'IAM vous permet d'activer un fournisseur d'identité [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) ou [OpenID Connect (OIDC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html) distinct pour chaque Compte AWS et d'utiliser les attributs des utilisateurs fédérés pour le contrôle de l'accès. Les utilisateurs en interne utiliseront leur navigateur web pour se connecter au fournisseur d'identité en indiquant leurs informations d'identification (telles que des mots de passe et des codes de jeton MFA). Le fournisseur d'identité enverra à son navigateur une assertion SAML soumise à l'URL de connexion de la AWS Management Console pour permettre à l'utilisateur de s'authentifier de manière unique auprès de la [AWS Management Console en assumant un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). Vos utilisateurs peuvent également obtenir des informations d'identification d'API AWS temporaires à utiliser dans [AWS CLI](https://aws.amazon.com/cli/) ou [les kits SDK AWS](https://aws.amazon.com/developer/tools/) depuis [AWS STS](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) en [endossant le rôle IAM à l'aide d'une assertion SAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) auprès du fournisseur d'identité.
+ Pour fédérer les utilisateurs en interne disposant de plusieurs comptes dans votre organisation AWS, vous pouvez utiliser [https://aws.amazon.com/single-sign-on/](https://aws.amazon.com/single-sign-on/) afin de gérer de manière centralisée l'accès des utilisateurs en interne aux Comptes AWS et aux applications. Activez Identity Center pour votre organisation et configurez votre source d'identité. IAM Identity Center fournit un annuaire source d'identités par défaut que vous pouvez utiliser pour gérer vos utilisateurs et vos groupes. Vous pouvez également choisir une source d'identité externe en [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) à l'aide de SAML 2.0 et [en approvisionnant automatiquement](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) les utilisateurs et les groupes avec SCIM, ou [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) avec [Directory Service](https://aws.amazon.com/directoryservice/). Une fois qu'une source d'identité est configurée, vous pouvez attribuer aux utilisateurs et aux groupes l'accès aux Comptes AWS en définissant des politiques de moindre privilège dans vos [ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html). Les utilisateurs en interne peuvent s'authentifier par le biais de votre fournisseur d'identité central pour se connecter au [portail d'accès AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html) et s'authentifier de manière unique aux Comptes AWS et aux applications cloud qui leur sont attribués. Vos utilisateurs peuvent configurer [AWS CLI v2](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) pour s'authentifier auprès d'Identity Center et obtenir des informations d'identification pour exécuter des commandes AWS CLI. Identity Center permet également l'accès par authentification unique à des applications AWS comme [Amazon SageMaker AI Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-sso-users.html) et [les portails AWS IoT Sitewise Monitor](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/monitor-getting-started.html).
Une fois que vous aurez suivi les instructions précédentes, vos utilisateurs en interne n'auront plus besoin d'utiliser des IAM users et des groupes pour les opérations normales lors de la gestion des charges de travail sur AWS. Au lieu de cela, vos utilisateurs et vos groupes seront gérés en dehors d'AWS, et les utilisateurs pourront accéder aux ressources AWS en tant *qu'identité fédérée*. Les identités fédérées utilisent les groupes définis par votre fournisseur d'identité centralisé. Vous devez identifier et supprimer les groupes IAM, les IAM users et les informations d'identification utilisateur de longue durée (mots de passe et clés d'accès) dont vous n'avez plus besoin dans vos Comptes AWS. Vous pouvez [trouver les informations d'identification non utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) avec [des rapports sur les informations d'identification IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), [supprimer les IAM users correspondants](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html) et [supprimer les groupes IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) Vous pouvez appliquer une [politique de contrôle des services (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) à votre organisation afin d'empêcher la création d'autres groupes et IAM users, en vous assurant que cet accès à AWS se fasse via des identités fédérées.
**Conseils pour les utilisateurs de vos applications**
Vous pouvez gérer l'identité des utilisateurs de vos applications, telles qu'une application mobile, en utilisant [https://aws.amazon.com/cognito/](https://aws.amazon.com/cognito/) en tant que fournisseur d'identité centralisé. Amazon Cognito permet l'authentification, l'autorisation et la gestion des utilisateurs pour vos applications web et mobiles. Amazon Cognito fournit une banque d'identités adaptée à des millions d'utilisateurs, prend en charge la fédération des identités sociales et d'entreprise et propose des fonctionnalités de sécurité avancées pour protéger vos utilisateurs et votre entreprise. Vous pouvez intégrer votre application web ou mobile personnalisée avec Amazon Cognito pour ajouter l'authentification des utilisateurs et le contrôle d'accès à vos applications en quelques minutes. Fondé sur des normes d'identité ouvertes telles que SAML et OpenID Connect (OIDC), Amazon Cognito prend en charge diverses réglementations de conformité et s'intègre aux ressources de développement frontend et backend.
### Étapes d'implémentation
**Étapes à suivre pour permettre aux utilisateurs en interne d'accéder à AWS**
+ Fédérez les utilisateurs en interne avec AWS pour qu'ils utilisent un fournisseur d'identité centralisé en utilisant l'une des approches suivantes :
+ Utilisez IAM Identity Center pour activer l'authentification unique à plusieurs Comptes AWS dans votre organisation AWS en vous fédérant avec votre fournisseur d'identité.
+ Utilisez IAM pour connecter votre fournisseur d'identité directement à chaque Compte AWS afin de permettre un accès fédéré précis.
+ Identifiez et supprimez les groupes et IAM users qui seront remplacés par des identités fédérées.
**Étapes à suivre pour les utilisateurs de vos applications**
+ Utilisez Amazon Cognito comme fournisseur d'identité centralisé pour vos applications.
+ Intégrez vos applications personnalisées à Amazon Cognito à l'aide d'OpenID Connect et d'OAuth. Vous pouvez développer vos applications personnalisées à l'aide des bibliothèques Amplify qui fournissent des interfaces simples à intégrer à divers services AWS, tels que l'authentification Amazon Cognito.
## Ressources
**Bonnes pratiques Well-Architected connexes :**
+ [SEC02-BP06 Utiliser des groupes d’utilisateurs et des attributs](sec_identities_groups_attributes.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP06 Gérer l’accès en fonction du cycle de vie](sec_permissions_lifecycle.md)
**Documents connexes :**
+ [Fédération d'identité dans AWS](https://aws.amazon.com/identity/federation/)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bonnes pratiques Gestion des identités et des accès AWS](https://aws.amazon.com/iam/resources/best-practices/)
+ [Commencer à utiliser l'administration déléguée IAM Identity Center](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/)
+ [Comment utiliser les politiques gérées par le client dans IAM Identity Center pour les cas d'utilisation avancés](https://aws.amazon.com/blogs/security/how-to-use-customer-managed-policies-in-aws-single-sign-on-for-advanced-use-cases/)
+ [AWS CLI v2 : fournisseur d'informations d'identification IAM Identity Center](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sso-credentials.html)
**Vidéos connexes :**
+ [AWS re:Inforce 2022 - Gestion des identités et des accès AWS (IAM) deep dive](https://youtu.be/YMj33ToS8cI)
+ [AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center](https://youtu.be/TvQN4OdR_0Y)
+ [AWS re:Invent 2018: Mastering Identity at Every Layer of the Cake](https://youtu.be/vbjFjMNVEpc)
**Exemples connexes :**
+ [Atelier : utiliser AWS IAM Identity Center pour assurer une gestion solide de l'identité](https://catalog.us-east-1.prod.workshops.aws/workshops/590f8439-42c7-46a1-8e70-28ee41498b3a/en-US)
+ [Atelier : identité sans serveur](https://identity-round-robin.awssecworkshops.com/serverless/)
**Outils associés :**
+ [Partenaires AWS disposant de la compétence Sécurité : gestion des identités et des accès](https://aws.amazon.com/security/partner-solutions/)
+ [saml2aws](https://github.com/Versent/saml2aws)