Configurer AWS IAM Identity Center comme fournisseur d’identité (préversion)
Si vous êtes un client Amazon Web Services (AWS) et que vous utilisez AWS IAM Identity Center, vous pouvez configurer Identity Center en tant que fournisseur d’identité dans la Gestion des autorisations. En configurant vos informations AWS IAM Identity Center, vous pouvez recevoir des données plus précises pour vos identités dans la Gestion des autorisations.
Notes
La configuration d’AWS IAM Identity Center en tant que fournisseur d’identité est une étape facultative. En configurant les informations du fournisseur d’identité, la Gestion des autorisations peut lire l’accès d’utilisateur et de rôle configuré dans AWS IAM Identity Center. Les administrateurs peuvent voir la vue enrichie des autorisations attribuées aux identités. Vous pouvez à tout moment reprendre ces étapes pour configurer un IdP.
Comment configurer AWS IAM Identity Center en tant que fournisseur d’identité
Si le tableau de bord Data Collectors (Collecteurs de données) ne s’affiche pas au lancement de la Gestion des autorisations, sélectionnez Settings (Paramètres) (icône d’engrenage), puis sélectionnez le sous-onglet Data Collectors (Collecteurs de données).
Dans le tableau de bord Data Collectors, sélectionnez AWS, puis Create Configuration. S’il existe déjà un collecteur de données dans votre compte AWS et que vous souhaitez ajouter l’intégration AWS IAM, procédez comme suit :
- Sélectionnez le collecteur de données pour lequel vous voulez configurer AWS IAM.
- Cliquez sur les points de suspension en regard de Authorization Systems Status (Statut des systèmes d’autorisation).
- Sélectionnez Integrate Identity Provider (Intégrer un fournisseur d’identité).
Dans la page Integrate Identity provider (IdP) [Intégrer un fournisseur d’identité (IdP)], cochez la case AWS IAM Identity Center.
Remplissez les champs suivants :
- Région AWS IAM Identity Center. Spécifiez la région où AWS IAM Identity Center est installé. Toutes les données configurées dans IAM Identity Center
sont stockées dans la région où IAM Identity Center est installé. - Votre ID de compte AWS Management
- Votre Rôle de compte AWS Management
- Région AWS IAM Identity Center. Spécifiez la région où AWS IAM Identity Center est installé. Toutes les données configurées dans IAM Identity Center
Sélectionnez Launch Management Account Template (Lancer le modèle de compte de gestion). Le modèle s'ouvre dans une nouvelle fenêtre.
Si la pile du compte de gestion est créée avec le modèle Cloud Formation lors des étapes d’intégration précédentes, mettez-la à jour en exécutant
EnableSSO
avec la valeur true. Exécuter cette commande créé une nouvelle pile pendant l’exécution du modèle de compte de gestion.
L’exécution du modèle a pour effet d’attacher la politique gérée AWS AWSSSOReadOnly
et la politique personnalisée nouvellement créée SSOPolicy
au rôle AWS IAM qui permet à la Gestion des autorisations Microsoft Entra de collecter des informations d’organisation. Les détails suivants sont demandés dans le modèle. Tous les champs sont préremplis, et vous pouvez modifier les données si nécessaire :
Nom de la pile : nom de la pile AWS permettant de créer les ressources AWS dont a besoin la gestion des autorisations pour collecter les informations d’organisation. La valeur par défaut est
mciem-org-<tenant-id>
.CFT Parameters (Paramètres CFT)
OIDC Provider Role Name (Nom du rôle du fournisseur OIDC) – Nom du rôle IAM que peut endosser le fournisseur OIDC. La valeur par défaut est le rôle de compte OIDC (tel qu’il est entré dans la Gestion des autorisations).
Org Account Role Name(Nom du rôle du compte d’organisation) – Nom du rôle IAM. La valeur par défaut est préremplie avec le nom du rôle de compte de gestion (tel qu’entré dans la gestion des autorisations Microsoft Entra).
true – Active AWS SSO. La valeur par défaut est
true
lorsque le modèle est lancé à partir de la page Configure Identity Provider (IdP) [Configurer le fournisseur d’identité (IdP)]. Sinon, la valeur par défaut estfalse
.OIDC Provider Account ID (ID du compte du fournisseur OIDC) – ID du compte où le fournisseur OIDC est créé. La valeur par défaut est l’ID du compte du fournisseur OIDC (tel qu’il est entré dans la Gestion des autorisations).
Tenant ID (ID du locataire) – ID du locataire où l’application est créée. La valeur par défaut est
tenant-id
(le locataire configuré).
Cliquez sur Next (Suivant) pour vérifier et confirmer les informations que vous avez entrées.
Cliquez sur Vérifier maintenant et enregistrer.
Étapes suivantes
- Pour plus d’informations sur la façon d’attacher et de détacher des autorisations pour les identités AWS, consultez Attacher et détacher des stratégies pour les identités AWS.