Configurer AWS IAM Identity Center (successeur d’AWS Single Sign-On) pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer AWS IAM Identity Center (successeur d’AWS Single Sign-On) à l’ID Microsoft Entra. Quand vous intégrez AWS IAM Identity Center à Microsoft Entra ID, vous pouvez :

• Contrôlez dans Microsoft Entra ID qui a accès à AWS IAM Identity Center.
• Permettre à vos utilisateurs de se connecter automatiquement à AWS IAM Identity Center avec leur compte Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Note: Lorsque vous utilisez AWS Organizations, il est important de déléguer un autre compte en tant que compte d’administration Identity Center, d’activer IAM Identity Center sur celui-ci et de configurer l’authentification unique Entra ID avec ce compte, et non le compte de gestion racine. Cela garantit une configuration plus sécurisée et plus facile à gérer.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’applications cloud
  • Propriétaire de l’application.

• Une installation d’AWS Organizations avec un autre compte délégué en tant que compte d’administration Identity Center.
• AWS IAM Identity Center activé sur le compte d’administration Identity Center délégué.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

Note: Vérifiez que vous avez délégué un autre compte en tant que compte d’administration du Centre d’identité et activé IAM Identity Center dessus avant de suivre les étapes suivantes.

• AWS IAM Identity Center prend en charge l'authentification unique initiée par le fournisseur de services et le fournisseur d'identité.

• AWS IAM Identity Center prend en charge l’approvisionnement automatique d’utilisateurs.

Ajouter AWS IAM Identity Center à partir de la galerie

Pour configurer l’intégration d’AWS IAM Identity Center à Microsoft Entra ID, vous devez ajouter AWS IAM Identity Center à partir de la galerie à votre liste d’applications SaaS managées.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
2. Accédez à Entra ID>applications d'entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie , tapez AWS IAM Identity Center dans la zone de recherche.
4. Sélectionnez AWS IAM Identity Center dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet Assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais aussi parcourir les étapes de configuration de l’authentification unique. En savoir plus sur les Assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour AWS IAM Identity Center

Configurez et testez l’authentification unique Microsoft Entra avec AWS IAM Identity Center à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur AWS IAM Identity Center associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec AWS IAM Identity Center, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurez AWS IAM Identity Center pour l’authentification unique (SSO) - pour configurer les paramètres de l’authentification unique dans l'application.
   1. Créez un utilisateur de test AWS IAM Identity Center pour avoir un équivalent de B.Simon dans AWS IAM Identity Center lié à la représentation Microsoft Entra de l’utilisateur.
3. Test SSO pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

2. Accédez à Entra ID>applications d’entreprise>AWS IAM Identity Center>connexion unique.

3. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.

   

5. Si vous disposez d’un fichier de métadonnées du fournisseur de services, dans la section Configuration SAML de base , procédez comme suit :

   un. Sélectionnez Charger le fichier de métadonnées.

   b. Sélectionnez le logo du dossier pour sélectionner le fichier de métadonnées expliqué à télécharger dans la section Configurer l’authentification unique AWS IAM Identity Center , puis sélectionnez Ajouter.

   

   v. Une fois le fichier de métadonnées chargé, les valeurs identificateur et URL de réponse sont renseignées automatiquement dans la section Configuration SAML de base.

   Notes

   Si les valeurs d’IDENTIFICATEUR et d’URL de réponse ne sont pas renseignées automatiquement, renseignez les valeurs manuellement en fonction de vos besoins.

   Notes

   Lors de la modification du fournisseur d’identité dans AWS (autrement dit, d’AD à un fournisseur externe tel que Microsoft Entra ID), les métadonnées AWS changent et doivent être rechargées vers Azure pour que l’authentification unique fonctionne correctement.

6. Si vous n’avez pas de fichier de métadonnées fournisseur de services, procédez comme suit dans la section Configuration SAML de base, si vous souhaitez configurer l’application en mode initié par le fournisseur d’identité, procédez comme suit :

   un. Dans la zone de texte Identificateur , tapez une URL à l’aide du modèle suivant : https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

   b. Dans la zone de texte URL de réponse , tapez une URL à l’aide du modèle suivant : https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

7. Sélectionnez Définir des URL supplémentaires et effectuez l’étape suivante si vous souhaitez configurer l’application en mode initié par le fournisseur de services :

   Dans la zone de texte URL de connexion , tapez une URL à l’aide du modèle suivant : https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

   Notes

   Ces valeurs ne sont pas réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Pour obtenir ces valeurs , contactez l’équipe du support technique AWS IAM Identity Center . Vous pouvez également faire référence aux modèles indiqués dans la section Configuration SAML de base .

8. L’application AWS IAM Identity Center s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

   

   Notes

   Si ABAC est activé dans AWS IAM Identity Center, des attributs supplémentaires peuvent être transmis en tant qu’étiquettes de session directement aux comptes AWS.

9. Dans la page Configurer l’authentification unique avec SAML , dans la section Certificat de signature SAML , recherchez le code XML des métadonnées de fédération , puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

   

10. Dans la section Configurer AWS IAM Identity Center , copiez la ou les URL appropriées en fonction de vos besoins.

    

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions de création et d’affectation d’un compte d’utilisateur pour créer un compte d’utilisateur de test appelé B.Simon.

Configurer l’authentification unique d’AWS IAM Identity Center

1. Dans une autre fenêtre du navigateur Web, connectez-vous à votre site d’entreprise AWS IAM Identity Center en tant qu’administrateur

2. Accédez aux services -> Sécurité, Identité et conformité -> AWS IAM Identity Center.

3. Dans le volet de navigation gauche, choisissez Paramètres.

4. Dans la page Paramètres , recherchez la source d’identité, sélectionnez le menu déroulant Actions , puis sélectionnez Modifier la source d’identité.

   

5. Dans la page Modifier la source d’identité, choisissez Fournisseur d’identité externe.

   

6. Effectuez les étapes ci-dessous dans la section Configurer le fournisseur d’identité externe :

   

   un. Dans la section métadonnées du fournisseur de services, recherchez les métadonnées AWS SSO SAML, sélectionnez Télécharger le fichier de métadonnées pour télécharger le fichier de métadonnées et enregistrez-le sur votre ordinateur et utilisez ce fichier de métadonnées pour le charger sur le portail Azure.

   b. Copiez la valeur de l’URL de connexion du portail d’accès AWS , collez cette valeur dans la zone de texte URL de connexion dans la section Configuration SAML de base.

   v. Dans la section métadonnées du fournisseur d’identité , sélectionnez Choisir un fichier pour charger le fichier de métadonnées que vous avez téléchargé.

   d. Choisissez Suivant : Révision.

7. Dans la zone de texte, tapez ACCEPT pour modifier la source d’identité.

   

8. Sélectionnez Modifier la source d’identité.

Créer un utilisateur test AWS IAM Identity Center

1. Ouvrez la console AWS IAM Identity Center.

2. Dans le volet de navigation gauche, choisissez Utilisateurs.

3. Dans la page Utilisateurs, choisissez Ajouter un utilisateur.

4. Dans la page Add user, procédez comme suit :

   un. Dans le champ Nom d’utilisateur , entrez B.Simon.

   b. Dans le champ Adresse e-mail, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.

   v. Dans le champ Adresse e-mail confirmée , réentez l’adresse e-mail de l’étape précédente.

   d. Dans le champ First name (Prénom), entrez Britta.

   é. Dans le champ Last name (Nom), entrez Simon.

   f. Dans le champ Display name (Nom d’affichage), saisissez B.Simon.

   g. Choisissez Suivant, puis Suivant à nouveau.

   Notes

   Assurez-vous que le nom d’utilisateur et l’adresse e-mail entrés dans AWS IAM Identity Center correspondent aux infos d’identification Microsoft Entra de l’utilisateur. Cela vous aide à éviter les problèmes d’authentification.

5. Choisissez Ajouter un utilisateur.

6. Ensuite, vous affectez l’utilisateur à votre compte AWS. Pour ce faire, dans le volet de navigation gauche de la console AWS IAM Identity Center, choisissez comptes AWS.

7. Dans la page AWS Accounts, sélectionnez l’onglet AWS organization (Organisation AWS), cochez la case à côté du compte AWS que vous souhaitez attribuer à l’utilisateur. Choisissez Ensuite Affecter des utilisateurs.

8. Dans la page Assign Users (Attribuer des utilisateurs), recherchez l’utilisateur B.Simon et cochez la case qui lui correspond. Ensuite, choisissez Suivant : Ensembles d’autorisations.

9. Sous la section Select permission sets (Sélectionner des jeux d’autorisations), cochez la case à côté du jeu d’autorisations que vous souhaitez attribuer à l’utilisateur B.Simon. Si vous n’avez pas de jeu d’autorisations existant, choisissez Créer un jeu d’autorisations.

   Notes

   Les jeux d’autorisations définissent le niveau d’accès dont disposent les utilisateurs et les groupes sur un compte AWS. Pour en savoir plus sur les jeux d’autorisations, consultez la page Centre d'identité IAM AWS Autorisations multi comptes.

10. Choisissez Terminer.

Notes

AWS IAM Identity Center prend également en charge l’approvisionnement automatique d’utilisateurs, vous trouverez plus d’informations ici sur la configuration de l’approvisionnement automatique d’utilisateurs.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

• Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion AWS IAM Identity Center où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL d’authentification d’AWS IAM Identity Center pour lancer le processus de connexion.

Lancée par le fournisseur d’identité :

• Sélectionnez Tester cette application et vous devez être connecté automatiquement à AWS IAM Identity Center pour lequel vous avez configuré l’authentification unique.

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Lorsque vous sélectionnez la vignette de l'AWS IAM Identity Center dans Mes applications, si vous avez configuré le mode Fournisseur de services, vous serez redirigé vers la page de connexion de l'application pour initier le flux de connexion. Si vous avez configuré le mode Fournisseur d'identité, vous serez automatiquement connecté à l'AWS IAM Identity Center pour lequel vous avez mis en place l’authentification unique (SSO). Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Contenu connexe

Après avoir configuré AWS IAM Identity Center, vous pouvez appliquer le contrôle de session, qui protège en temps réel contre l’exfiltration et l’infiltration des données sensibles de votre organisation. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.