Prérequis Création et gestion d'un fournisseur OIDC (console)Création et gestion d'un fournisseur d'identité OIDC IAM (AWS CLI)Création et gestion d'un fournisseur d'identité OIDC (API AWS)

Création d’un fournisseur d’identité OpenID Connect (OIDC) dans IAM

Les fournisseurs d'identité OIDC IAM sont des entités qui, dans IAM, décrivent un service de fournisseur d'identité (IdP) prenant en charge la norme OpenID Connect (OIDC), comme Google ou Salesforce. Vous utilisez un fournisseur d'identité OIDC IAM lorsque vous souhaitez établir une approbation entre un fournisseur d'identité compatible OIDC et votre Compte AWS. Cela est utile lorsque vous créez une application mobile ou une application Web qui doit accéder aux ressources AWS, mais que vous ne voulez pas créer de code de connexion personnalisé ni gérer vos propres identités utilisateur. Pour plus d'informations sur ce scénario, consultez Fédération OIDC.

Vous pouvez créer et gérer un fournisseur d'identité OIDC IAM à l'aide de la AWS Management Console, de la AWS Command Line Interface, de Tools for Windows PowerShell ou de l'API IAM.

Après avoir créé un fournisseur d'identité OIDC IAM, vous devez créer un ou plusieurs rôles IAM. Un rôle est une identité dans AWS qui ne dispose pas de ses propres informations d'identification (comme c'est le cas pour un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un principal fédéré OIDC qui est authentifié par le fournisseur d’identité (IdP) de votre organisation. Le rôle permet à l'IdP de votre organisation de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les politiques affectées au rôle déterminent les actions que les utilisateurs sont autorisés à exécuter dans AWS. Pour créer un rôle pour un fournisseur d'identité tiers, consultez la section Créer un rôle pour un fournisseur d’identité tiers .

Important

Lorsque vous configurez des politiques IAM basées sur l'identité pour les actions qui prennent en charge les ressources oidc-provider, IAM évalue l'URL complète du fournisseur d'identité OIDC, y compris les chemins spécifiés. Si l'URL de votre fournisseur d'identité OIDC comporte un chemin, vous devez inclure ce chemin dans l'ARN oidc-provider en tant que valeur de l'élément Resource. Vous avez également la possibilité d'ajouter une barre oblique et un caractère générique (/*) au domaine de l'URL ou d'utiliser des caractères génériques (* et ?) à n'importe quel endroit du chemin de l'URL. Si l'URL du fournisseur d'identité OIDC dans la demande ne correspond pas à la valeur définie dans l'élément Resource de la politique, la demande échoue.

Pour résoudre les problèmes courants liés à la fédération IAM OIDC, consultez la section Résoudre les erreurs liées à OIDC sur AWS re:post.

Rubriques

Conditions préalables : valider la configuration de votre fournisseur d’identité
Création et gestion d'un fournisseur OIDC (console)
Création et gestion d'un fournisseur d'identité OIDC IAM (AWS CLI)
Création et gestion d'un fournisseur d'identité OIDC (API AWS)

Conditions préalables : valider la configuration de votre fournisseur d’identité

Avant de créer un fournisseur d’identité IAM OIDC, vous devez obtenir les informations suivantes auprès de votre IdP. Pour plus d’informations sur l’obtention des informations de configuration du fournisseur OIDC, consultez la documentation de votre IdP.

Déterminez l’URL publique de votre fournisseur d’identité OIDC. L'URL doit commencer par https://. Conformément à la norme OIDC, les composants du chemin sont autorisés, mais pas les paramètres de requête. Généralement, l’URL se compose uniquement d’un nom d’hôte, comme https://server.example.org ou https://example.com. L'URL ne doit pas contenir de numéro de port.
Ajoutez /.well-known/openid-configuration à la fin de l’URL de votre fournisseur d’identité OIDC pour voir le document de configuration et les métadonnées du fournisseur accessibles au public. Vous devez disposer d’un document de découverte au format JSON avec le document de configuration du fournisseur et les métadonnées qui peuvent être récupérées à partir de l’URL du point de terminaison de découverte du fournisseur OpenID Connect.
Confirmez que les valeurs suivantes sont incluses dans les informations de configuration de votre fournisseur. Si l’un de ces champs est absent de votre configuration OpenID, vous devez mettre à jour votre document de découverte. Ce processus peut varier en fonction de votre fournisseur d’identité, il convient donc de suivre la documentation de votre IdP pour mener à bien cette tâche.
- émetteur : l’URL de votre domaine.
- jwks_uri : point de terminaison JSON Web Key Set (JWKS) auprès duquel IAM obtient vos clés publiques. Votre fournisseur d’identité doit inclure un point de terminaison JSON Web Key Set (JWKS) dans la configuration OpenID. Cette URI définit où obtenir les clés publiques utilisées pour vérifier les jetons signés auprès de votre fournisseur d’identité.
  
  Note
  Le JSON Web Key Set (JWKS) doit contenir au moins une clé et peut comporter au maximum 100 clés RSA et 100 clés EC. Si le JWKS de votre fournisseur d’identité OIDC contient plus de 100 clés RSA ou 100 clés EC, une exception InvalidIdentityToken sera renvoyée lors de l’utilisation de l’opération API AssumeRoleWithWebIdentity avec un JWT signé par un type de clé dépassant la limite de 100 clés. Par exemple, si un JWT est signé avec l’algorithme RSA et qu’il y a plus de 100 clés RSA dans le JWKS de votre fournisseur, une exception InvalidIdentityToken sera renvoyée.
- claims_supported : informations sur l’utilisateur qui vous aident à vous assurer que les réponses d’authentification OIDC de votre IdP contiennent les attributs requis qu’AWS utilise dans les politiques IAM pour vérifier les autorisations des principaux fédérés OIDC. Pour obtenir la liste des clés de condition IAM pouvant être utilisées pour les demandes, consultez Clés disponibles pour la AWS fédération OIDC.
  - aud : vous devez déterminer la valeur de la demande de public que votre IdP émet dans les jetons Web JSON (JWT). La demande de public (aud) est spécifique à l’application et identifie les destinataires prévus du jeton. Lorsque vous enregistrez une application mobile ou Web auprès d’un fournisseur OpenID Connect, celui-ci établit un identifiant client qui identifie l’application. L’ID client est un identifiant unique pour votre application. Il est transmis dans la demande aud pour l’authentification. La demande aud doit correspondre à la valeur Public lors de la création de votre fournisseur d’identité IAM OIDC.
  - iat : les réclamations doivent inclure une valeur pour iat qui représente l’heure à laquelle le jeton d’identification est émis.
  - iss : l’URL du fournisseur d’identité. L’URL doit commencer par https://et correspondre à l’URL du fournisseur fourni à IAM. Conformément à la norme OIDC, les composants du chemin sont autorisés, mais pas les paramètres de requête. Généralement, l’URL se compose uniquement d’un nom d’hôte, comme https://server.example.org ou https://example.com. L'URL ne doit pas contenir de numéro de port.
- response_types_supported: id_token
- subject_types_supported: public
- id_token_signing_alg_values_supported: RS256, RS384, RS512, ES256, ES384, ES512
Note
Vous pouvez inclure des demandes supplémentaires comme my_custom_claim dans l’exemple ci-dessous, mais AWS STS ignorera la demande
```
{
  "issuer": "https://example-domain.com",
  "jwks_uri": "https://example-domain.com/jwks/keys",
  "claims_supported": [
    "aud",
    "iat",
    "iss",
    "name",
    "sub",
    "my_custom_claim"
  ],
  "response_types_supported": [
    "id_token"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256",
    "RS384",
    "RS512",
    "ES256",
    "ES384",
    "ES512"
  ],
  "subject_types_supported": [
    "public"
  ]
}
```

Création et gestion d'un fournisseur OIDC (console)

Observez les instructions suivantes pour créer et gérer un fournisseur d'identité OIDC IAM dans la AWS Management Console.

Important

Si vous utilisez un fournisseur d'identité OIDC de Google, Facebook ou Amazon Cognito, ne créez pas de fournisseur d'identité IAM distinct selon cette procédure. Ces fournisseurs d'identité OIDC sont déjà intégrés à AWS et sont immédiatement disponibles. Au lieu de cela, créez de nouveaux rôles pour votre fournisseur d'identité, en consultant Création d’un rôle pour la fédération OpenID Connect (console).

Pour créer un fournisseur d'identité OIDC IAM (console)

Avant de créer un fournisseur d'identité OIDC IAM, vous devez enregistrer votre application auprès du fournisseur d'identité afin de recevoir un ID client. L'ID client (également appelé public ciblé) est un identifiant unique pour votre application. Il est émis lorsque vous enregistrez l'application auprès du fournisseur d'identité. Pour plus d'informations sur l'obtention d'un ID client, consultez la documentation de votre fournisseur d'identité.

Note
AWS sécurise la communication avec les fournisseurs d’identité (IdP) OIDC à l’aide de notre bibliothèque d’autorités de certification (CA) racine de confiance pour vérifier le certificat TLS du point de terminaison JSON Web Key Set (JWKS). Si votre IdP OIDC s’appuie sur un certificat qui n’est pas signé par l’une de ces autorités de certification de confiance, alors seulement nous sécurisons la communication en utilisant les empreintes numériques définies dans la configuration de l’IdP. AWS utilisera la vérification des empreintes numériques si nous ne sommes pas en mesure de récupérer le certificat TLS ou si TLS v1.3 est requis.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.
Pour Configurer le fournisseur, sélectionnez OpenID Connect.
Sous URL du fournisseur, tapez l'URL du fournisseur d'identité. L'URL doit respecter les restrictions suivantes :
- L'URL est sensible à la casse.
- L'URL doit commencer par https://.
- L'URL ne doit pas contenir de numéro de port.
- Dans votre Compte AWS, chaque fournisseur d'identité OIDC IAM doit utiliser une URL unique. Si vous essayez de soumettre une URL qui a déjà été utilisée pour un fournisseur OpenID Connect dans le Compte AWS, vous recevrez un message d’erreur.
Sous Audience (Public ciblé), saisissez l'ID client de l'application enregistrée auprès du fournisseur d'identité, reçu à l'Étape 1, qui exécute les demandes sur AWS. Si vous disposez d'ID client supplémentaires (également appelés publics ciblés) pour ce fournisseur d'identité, vous pouvez les ajouter ultérieurement sur la page de détails du fournisseur.

Note
Si votre jeton JWT IdP inclut la demande azp, saisissez cette valeur comme valeur Public.
Si votre fournisseur d’identité OIDC définit à la fois les demandes aud et azp dans le jeton, AWS STS utilisera la valeur de la demande azp en tant que demande aud.
(Facultatif) Pour Add tags (Ajouter des balises), vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et organiser vos IdP. Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS. Pour en savoir plus sur le balisage des fournisseurs d'identité OIDC IAM, reportez-vous à la section Balisage de fournisseurs d’identité OpenID Connect (OIDC). Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.
Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur. IAM tentera de récupérer et d’utiliser l’empreinte numérique de l’autorité de certification intermédiaire supérieure du certificat du serveur IdP OIDC pour créer le fournisseur d’identité IAM OIDC.

Note
La chaîne de certificats du fournisseur d’identité OIDC doit commencer par l’URL du domaine ou de l’émetteur, puis par le certificat intermédiaire et enfin par le certificat racine. Si l’ordre de la chaîne de certificats est différent ou comprend des certificats en double ou supplémentaires, vous recevez une erreur de non-concordance de signature et STS ne parvient pas à valider le jeton Web JSON (JWT). Corrigez l’ordre des certificats dans la chaîne renvoyée par le serveur pour résoudre l’erreur. Pour plus d’informations sur les normes relatives aux chaînes de certificats, consultez certificate_list dans la RFC 5246 sur le site Web de la série RFC.
Attribuez un rôle IAM à votre fournisseur d'identité pour donner aux identités d'utilisateur externes gérées par votre fournisseur d'identité les autorisations d'accès aux ressources AWS de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Créer un rôle pour un fournisseur d’identité tiers .

Note
Les IdP OIDC utilisés dans une politique d’approbation de rôle doivent se trouver dans le même compte que le rôle qui est approuvé.

Pour ajouter ou supprimer une empreinte pour un fournisseur d'identité OIDC IAM (console)

Note

AWS sécurise la communication avec les fournisseurs d’identité (IdP) OIDC à l’aide de notre bibliothèque d’autorités de certification (CA) racine de confiance pour vérifier le certificat TLS du point de terminaison JSON Web Key Set (JWKS). Si votre IdP OIDC s’appuie sur un certificat qui n’est pas signé par l’une de ces autorités de certification de confiance, alors seulement nous sécurisons la communication en utilisant les empreintes numériques définies dans la configuration de l’IdP. AWS utilisera la vérification des empreintes numériques si nous ne sommes pas en mesure de récupérer le certificat TLS ou si TLS v1.3 est requis.

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, sélectionnez Fournisseurs d'identité. Sélectionnez ensuite le nom du fournisseur d'identité IAM que vous souhaitez mettre à jour.
Choisissez l’onglet Vérification du point de terminaison, puis dans la section Empreintes numériques, sélectionnez Gérer. Pour saisir une nouvelle valeur d'empreinte, sélectionnez Ajouter une empreinte. Pour supprimer une empreinte numérique, sélectionnez Supprimer en regard de l'empreinte que vous souhaitez supprimer.

Note
Un fournisseur d'identité OIDC IAM peut avoir entre 1 (minimum) et 5 empreintes.

Lorsque vous avez terminé, sélectionnez Enregistrer les modifications.

Pour ajouter une audience pour un fournisseur d'identité OIDC IAM (console)

Dans le panneau de navigation, sélectionnez Identity providers (Fournisseurs d'identité), puis le nom du fournisseur d'identité IAM que vous voulez mettre à jour.
Dans la section Audiences, sélectionnez Actions et Ajouter une audience.
Saisissez l'ID client de l'application que vous avez enregistrée auprès du fournisseur d'identité, reçu dans Étape 1, qui exécutera les demandes vers AWS. Sélectionnez ensuite Ajouter des audiences.

Note
Un fournisseur d'identité OIDC IAM peut avoir entre 1 (minimum) et 100 audiences (maximum).

Pour supprimer une audience pour un fournisseur d'identité OIDC IAM (console)

Dans le panneau de navigation, sélectionnez Identity providers (Fournisseurs d'identité), puis le nom du fournisseur d'identité IAM que vous voulez mettre à jour.
Dans la section Audiences, activez la case d'option en regard de l'audience que vous souhaitez supprimer, puis sélectionnez Actions.
Sélectionnez Supprimer l'audience. Une nouvelle fenêtre s'ouvre.
Si vous supprimez une audience, les identités fédérées avec l'audience ne peuvent pas endosser les rôles associés à l'audience. Dans la fenêtre, lisez le message d'avertissement et confirmez que vous souhaitez supprimer l'audience en saisissant le mot remove dans le champ.
Sélectionnez Supprimer pour supprimer l'audience.

Pour supprimer un fournisseur d'identité OIDC IAM (console)

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, sélectionnez Fournisseurs d'identité.
Sélectionnez la case à cocher en regard du fournisseur d’identité IAM que vous souhaitez supprimer. Une nouvelle fenêtre s'ouvre.
Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Création et gestion d'un fournisseur d'identité OIDC IAM (AWS CLI)

Vous pouvez utiliser les commandes AWS CLI suivantes pour créer et gérer des fournisseurs d'identité OIDC IAM.

Pour créer un fournisseur d'identité OIDC IAM (AWS CLI)

(Facultatif) Pour obtenir la liste de tous les fournisseurs d'identité OIDC IAM de votre compte AWS, exécutez la commande suivante :
- aws iam list-open-id-connect-providers
Pour créer un fournisseur d'identité OIDC IAM, exécutez la commande suivante :
- aws iam create-open-id-connect-provider

Pour mettre à jour la liste des empreintes numériques de certificat de serveur pour un fournisseur d'identité OIDC IAM existant (AWS CLI)

Pour mettre à jour la liste des empreintes de certificat de serveur pour un fournisseur d'identité OIDC IAM, exécutez la commande suivante :
- aws iam update-open-id-connect-provider-thumbprint

Pour baliser un fournisseur d'identité OIDC IAM existant (AWS CLI)

Pour baliser un fournisseur d'identité OIDC IAM existant, exécutez la commande suivante :
- aws iam tag-open-id-connect-provider

Pour afficher la liste des balises d'un fournisseur d'identité OIDC IAM existant (AWS CLI)

Pour afficher la liste des balises d'un fournisseur d'identité OIDC IAM existant, exécutez la commande suivante :
- aws iam list-open-id-connect-provider-tags

Pour supprimer les balises d'un fournisseur d'identité OIDC IAM (AWS CLI)

Pour supprimer les balises d'un fournisseur d'identité OIDC IAM existant, exécutez la commande suivante :
- aws iam untag-open-id-connect-provider

Pour ajouter un ID client à un fournisseur d'identité OIDC IAM existant ou le supprimer (API ) (AWS CLI)

(Facultatif) Pour obtenir la liste de tous les fournisseurs d'identité OIDC IAM de votre compte AWS, exécutez la commande suivante :
- aws iam list-open-id-connect-providers
(Facultatif) Pour obtenir des informations détaillées sur un fournisseur d'identité OIDC IAM, exécutez la commande suivante :
- aws iam get-open-id-connect-provider
Pour ajouter un nouvel ID client à un fournisseur d'identité OIDC IAM existant, exécutez la commande suivante :
- aws iam add-client-id-to-open-id-connect-provider
Pour supprimer un client d'un fournisseur d'identité OIDC IAM existant, exécutez la commande suivante :
- aws iam remove-client-id-from-open-id-connect-provider

Pour supprimer un fournisseur d'identité OIDC IAM (AWS CLI)

(Facultatif) Pour obtenir la liste de tous les fournisseurs d'identité OIDC IAM de votre compte AWS, exécutez la commande suivante :
- aws iam list-open-id-connect-providers
(Facultatif) Pour obtenir des informations détaillées sur un fournisseur d'identité OIDC IAM, exécutez la commande suivante :
- aws iam get-open-id-connect-provider
Pour supprimer un fournisseur d'identité OIDC IAM, exécutez la commande suivante :
- aws iam delete-open-id-connect-provider

Création et gestion d'un fournisseur d'identité OIDC (API AWS)

Vous pouvez utiliser les commandes de l'API IAM suivantes pour créer et gérer des fournisseurs OICD.

Pour créer un fournisseur d'identité OIDC IAM (API AWS)

(Facultatif) Pour obtenir la liste de tous les fournisseurs d'identité OIDC IAM de votre compte AWS, appelez l'opération suivante :
- ListOpenIDConnectProviders
Pour créer un fournisseur d'identité OIDC IAM, appelez l'opération suivante :
- CreateOpenIDConnectProvider

Pour mettre à jour la liste des empreintes numériques de certificat de serveur pour un fournisseur d'identité OIDC IAM existant (API AWS)

Pour mettre à jour la liste des empreintes de certificat de serveur pour un fournisseur d'identité OIDC IAM, appelez l'opération suivante :
- UpdateOpenIDConnectProviderThumbprint

Pour baliser un fournisseur d'identité OIDC IAM (API AWS) existant

Pour baliser un fournisseur d'identité OIDC IAM existant, appelez l'opération suivante :
- TagOpenIDConnectProvider

Pour afficher la liste des balises d'un fournisseur d'identité OIDC IAM (API AWS) existant

Pour afficher la liste des balises d'un fournisseur d'identité OIDC IAM existant, appelez l'opération suivante :
- ListOpenIDConnectProviderTags

Pour supprimer les balises d'un fournisseur d'identité OIDC IAM (API AWS) existant

Pour supprimer les balises d'un fournisseur d'identité OIDC IAM existant, appelez l'opération suivante :
- UntagOpenIDConnectProvider

Pour ajouter un ID client à un fournisseur d'identité OIDC IAM existant ou le supprimer (API AWS)

(Facultatif) Pour obtenir la liste de tous les fournisseurs d'identité OIDC IAM de votre compte AWS, appelez l'opération suivante :
- ListOpenIDConnectProviders
(Facultatif) Pour obtenir des informations détaillées sur un fournisseur d'identité OIDC IAM, appelez l'opération suivante :
- GetOpenIDConnectProvider
Pour ajouter un nouvel ID client à un fournisseur d'identité OIDC IAM existant, appelez l'opération suivante :
- AddClientIDToOpenIDConnectProvider
Pour supprimer un ID client d'un fournisseur d'identité OIDC IAM existant, appelez l'opération suivante :
- RemoveClientIDFromOpenIDConnectProvider

Pour supprimer un fournisseur d'identité OIDC IAM (API AWS)

(Facultatif) Pour obtenir la liste de tous les fournisseurs d'identité OIDC IAM de votre compte AWS, appelez l'opération suivante :
- ListOpenIDConnectProviders
(Facultatif) Pour obtenir des informations détaillées sur un fournisseur d'identité OIDC IAM, appelez l'opération suivante :
- GetOpenIDConnectProvider
Pour supprimer un fournisseur d'identité OIDC IAM, appelez l'opération suivante :
- DeleteOpenIDConnectProvider

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Fédération OIDC

Obtention de l’empreinte d’un fournisseur OIDC