Création d’un fournisseur d’identité SAML dans IAM - AWS Identity and Access Management
PrérequisCréation et gestion d’un fournisseur d’identité SAML IAM (console)Gestion des clés de chiffrement SAMLCréation et gestion d’un fournisseur d’identité SAML IAM (AWS CLI)Création et gestion d’un fournisseur d’identité SAML IAM (API AWS)Étapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un fournisseur d’identité SAML dans IAM

Un fournisseur d'identité SAML 2.0 IAM est une entité dans IAM qui décrit un service de fournisseur d'identité (IdP) externe prenant en charge la norme SAML 2.0 (Security Assertion Markup Language 2.0). Vous utilisez un fournisseur d’identité IAM lorsque vous voulez établir une relation d’approbation entre un IdP compatible avec SAML, tel que Shibboleth ou les services Active Directory Federation Services et AWS, afin que vos utilisateurs puissent accéder aux ressources AWS. Les fournisseurs d'identité SAML IAM sont utilisés en tant que principaux dans une politique d'approbation IAM.

Pour plus d'informations sur ce scénario, consultez Fédération SAML 2.0.

Vous pouvez créer et gérer un fournisseur d'identité IAM dans la AWS Management Console ou à l'aide de la AWS CLI, des Tools for Windows PowerShell ou les appels d'API AWS.

Après avoir créé un fournisseur SAML, vous devez créer un ou plusieurs rôles IAM. Un rôle est une identité dans AWS qui ne dispose pas de ses propres informations d'identification (comme c'est le cas pour un utilisateur). Mais dans ce contexte, un rôle est attribué dynamiquement à un principal fédéré SAML qui est authentifié par votre IdP. Le rôle permet à votre IdP de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Les politiques affectées au rôle déterminent les actions que les utilisateurs sont autorisés à exécuter dans AWS. Pour créer un rôle pour la fédération SAML, consultez Créer un rôle pour un fournisseur d’identité tiers .

Enfin, après avoir créé le rôle, vous devez finaliser la relation d’approbation SAML en configurant votre IdP à l’aide d’informations sur AWS et sur les rôles que vous voulez affecter à vos principaux fédérés SAML. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre IdP et AWS. Pour configurer la relation d'approbation des parties utilisatrices, consultez Configuration de votre IdP SAML 2.0 à l’aide d’une relation d’approbation des parties utilisatrices et ajout de demandes.

Prérequis

Avant de créer un fournisseur d’identité SAML, vous devez obtenir les informations suivantes auprès de votre IdP.

  • Obtenez le document de métadonnées SAML auprès de votre IdP. Ce document inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Pour générer le document de métadonnées, utilisez le logiciel de gestion des identités fournit par votre IdP externe.

    Important

    Ce fichier de métadonnées inclut le nom de l'auteur, des informations d'expiration et des clés qui peuvent être utilisées pour valider les réponses d'authentification (assertions) SAML reçues du fournisseur d'identité (IdP). Le fichier de métadonnées doit être codé au format UTF-8 sans marque d'ordre d'octet (BOM). Pour supprimer la marque d'ordre d'octet (BOM), vous pouvez coder le fichier au format UTF-8 à l'aide d'un outil d'édition de texte, tel que Notepad++.

    Le certificat X.509 inclus comme partie du document des métadonnées SAML doit utiliser une taille de clé au moins égale à 1 024 bits. De plus, le certificat X.509 doit également être exempt de toute extension répétée. Vous pouvez utiliser des extensions, mais elles ne peuvent apparaître qu'une seule fois dans le certificat. Si le certificat X.509 ne répond à aucune des conditions, la création de l’IdP échoue et renvoie une erreur « impossible d’analyser les métadonnées ».

    Comme défini par la version 1.0 du profil d’interopérabilité des métadonnées SAML V2.0, IAM n’évalue pas et ne prend aucune mesure concernant l’expiration des certificats X.509 dans les documents de métadonnées SAML. Si vous êtes préoccupé par les certificats X.509 expirés, nous vous recommandons de surveiller les dates d’expiration des certificats et de les renouveler conformément aux politiques de gouvernance et de sécurité de votre organisation.

  • Lorsque vous choisissez d’activer le chiffrement SAML, vous devez générer un fichier de clé privée à l’aide de votre IdP et charger ce fichier dans votre configuration SAML IAM au format .pem. AWS STS a besoin de cette clé privée pour déchiffrer les réponses SAML qui correspondent à la clé publique chargée vers votre IdP. Les algorithmes suivants sont pris en charge :

    • Algorithmes de chiffrement

      • AES-128

      • AES-256

      • RSA-OAEP

    • Algorithme de transport de clés

      • AES-CBC

      • AES-GCM

    Consultez la documentation de votre fournisseur d’identité pour connaître les étapes à suivre pour générer une clé privée.

    Note

    IAM Identity Center et Amazon Cognito ne prennent pas en charge les assertions SAML chiffrées provenant des fournisseurs d’identité SAML IAM. Vous pouvez ajouter indirectement la prise en charge des assertions SAML chiffrées à la fédération des groupes d’identités Amazon Cognito avec les groupes d’utilisateurs Amazon Cognito. Les groupes d’utilisateurs disposent d’une fédération SAML indépendante de la fédération SAML IAM et qui prend en charge la signature et le chiffrement SAML. Bien que cette fonctionnalité ne s’étende pas directement aux groupes d’identités, les groupes d’utilisateurs peuvent être des IdP ou des groupes d’identités. Pour utiliser le chiffrement SAML avec des groupes d’identités, ajoutez un fournisseur SAML avec chiffrement à un groupe d’utilisateurs qui est un IdP d’un groupe d’identités.

    Votre fournisseur SAML doit être en mesure de chiffrer les assertions SAML à l’aide d’une clé fournie par votre groupe d’utilisateurs. Les groupes d’utilisateurs n’accepteront pas les assertions chiffrées à l’aide d’un certificat fourni par IAM.

Pour obtenir des instructions sur la configuration de bon nombre des fournisseurs d'identité disponibles pour les utiliser avec AWS, notamment comment générer le document de métadonnées SAML requis, consultez Intégration de prestataires de solution SAML tiers avec AWS.

Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Création et gestion d’un fournisseur d’identité SAML IAM (console)

Vous pouvez utiliser la AWS Management Console pour créer, mettre à jour et supprimer des fournisseurs d’identité SAML IAM. Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité SAML IAM (console)

  1. Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.

  3. Pour Configurer le fournisseur, sélectionnez SAML.

  4. Saisissez un nom pour le fournisseur d'identité.

  5. Pour Document de métadonnées, sélectionnez Choisir un fichier, spécifiez le document de métadonnées SAML que vous avez téléchargé dans Prérequis.

    Note

    L’attribut validUntil ou cacheDuration dans votre document de métadonnées SAML définit la date d’expiration pour le fournisseur d’identité. Si votre document de métadonnées SAML ne comprend pas d’attribut de période de validité, la date d’expiration ne correspondra pas à la date d’expiration de votre certificat X.509.

    IAM n’évalue pas et ne prend aucune mesure concernant l’expiration des certificats X.509 dans les documents de métadonnées SAML. Si vous êtes préoccupé par les certificats X.509 expirés, nous vous recommandons de surveiller les dates d’expiration des certificats et de les renouveler conformément aux politiques de gouvernance et de sécurité de votre organisation.

  6. (Facultatif) Pour le chiffrement SAML, choisissez Choisir un fichier, puis sélectionnez le fichier de clé privée que vous avez créé dans Prérequis. Choisissez Exiger le chiffrement pour n’accepter que les requêtes chiffrées provenant de votre IdP.

  7. (Facultatif) Pour Add tags (Ajouter des balises), vous pouvez ajouter des paires clé-valeur pour vous aider à identifier et organiser vos IdP. Vous pouvez également utiliser des balises pour contrôler l'accès aux ressources AWS. Pour en savoir plus sur le balisage des fournisseurs d'identité SAML, reportez-vous à la section  Balisage de fournisseurs d’identité SAML IAM.

    Choisissez Ajouter une balise. Saisissez des valeurs pour chaque paire clé-valeur de balise.

  8. Vérifiez les informations que vous avez fournies. Lorsque vous avez terminé, sélectionnez Ajouter un fournisseur.

  9. Attribuez un rôle IAM à votre fournisseur d’identité. Ce rôle donne aux identités d’utilisateurs externes gérées par votre fournisseur d’identité des autorisations d’accès aux ressources AWS de votre compte. Pour en savoir plus sur la création de rôles pour la fédération d'identité, consultez la section Créer un rôle pour un fournisseur d’identité tiers .

    Note

    Les IdP SAML utilisés dans une politique d'approbation de rôle doivent se trouver dans le même compte que le rôle.

Pour supprimer un fournisseur SAML (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d'identité.

  3. Activez la case d'option en regard du fournisseur d'identité que vous souhaitez supprimer.

  4. Sélectionnez Delete (Supprimer). Une nouvelle fenêtre s'ouvre.

  5. Confirmez que vous souhaitez supprimer le fournisseur en saisissant le mot delete dans le champ. Ensuite, choisissez Supprimer.

Gestion des clés de chiffrement SAML

Vous pouvez configurer les fournisseurs SAML IAM pour recevoir des assertions chiffrées dans la réponse SAML de votre IdP externe. Les utilisateurs peuvent endosser un rôle dans AWS avec des assertions SAML chiffrées en appelant sts:AssumeRoleWithSAML.

Le chiffrement SAML garantit que les assertions sont sécurisées lorsqu’elles passent par des intermédiaires ou des tiers. En outre, cette fonctionnalité vous aide à répondre aux exigences de FedRAMP ou de toute politique de conformité interne qui impose le chiffrement des assertions SAML.

Pour configurer un fournisseur d’identité SAML IAM, consultez Création d’un fournisseur d’identité SAML dans IAM. Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Rotation d’une clé de chiffrement SAML

IAM utilise la clé privée que vous avez téléchargée auprès du fournisseur SAML IAM pour déchiffrer les assertions SAML chiffrées de votre IdP. Vous pouvez enregistrer jusqu’à deux fichiers de clés privées pour chaque fournisseur d’identité, ce qui vous permet d’effectuer une rotation des clés privées si nécessaire. Lorsque deux fichiers sont enregistrés, chaque requête tente d’abord d’être déchiffrée avec la date d’ajout la plus récente, puis IAM tente de déchiffrer la requête avec la date d’ajout la plus ancienne.

  1. Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Fournisseurs d’identité, puis sélectionnez votre fournisseur dans la liste.

  3. Choisissez l’onglet Chiffrement SAML, puis sélectionnez Ajouter une nouvelle clé.

  4. Sélectionnez Choisir un fichier et chargez la clé privée que vous avez téléchargée depuis votre IdP sous forme de fichier .pem. Ensuite, choisissez Ajouter une clé.

  5. Dans la section Clés privées pour le déchiffrement SAML, sélectionnez le fichier de clé privée expiré et choisissez Supprimer. Nous vous recommandons de supprimer la clé privée expirée après avoir ajouté une nouvelle clé privée afin de garantir la réussite de la première tentative de déchiffrement de votre assertion.

Création et gestion d’un fournisseur d’identité SAML IAM (AWS CLI)

Vous pouvez utiliser la AWS CLI pour créer, mettre à jour et supprimer des fournisseurs SAML. Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (AWS CLI)
Pour mettre à jour un fournisseur d’identité SAML IAM (AWS CLI)

Vous pouvez mettre à jour le fichier de métadonnées, les paramètres de chiffrement SAML et effectuer la rotation des fichiers de déchiffrement par clé privée pour votre fournisseur SAML IAM. Pour faire pivoter les clés privées, ajoutez votre nouvelle clé privée, puis supprimez l’ancienne clé dans une demande distincte. Pour plus d’informations sur la rotation des clés privées, consultez Gestion des clés de chiffrement SAML.

Pour baliser un fournisseur d'identité IAM existant (AWS CLI)
Pour afficher la liste des balises d'un fournisseur d'identité IAM existant (AWS CLI)
Pour supprimer les balises d'un fournisseur d'identité IAM () existant (AWS CLI)
Pour supprimer un fournisseur d'identité SAML IAM (AWS CLI)

  1. (Facultatif) Pour répertorier des informations pour tous les fournisseurs, comme l'ARN, la date de création et l'expiration, exécutez la commande suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que l’ARN, la date de création, la date d’expiration, les paramètres de chiffrement et les informations relatives à la clé privée, exécutez la commande :

  3. Pour supprimer un fournisseur d'identité IAM, exécutez la commande suivante :

Création et gestion d’un fournisseur d’identité SAML IAM (API AWS)

Vous pouvez utiliser l’API AWS pour créer, mettre à jour et supprimer des fournisseurs SAML. Pour obtenir de l’aide concernant la fédération SAML, consultez la section Résolution des problèmes liés à la fédération SAML.

Pour créer un fournisseur d'identité IAM et télécharger un document de métadonnées (API AWS)
Pour mettre à jour un fournisseur d’identité SAML IAM (API AWS)

Vous pouvez mettre à jour le fichier de métadonnées, les paramètres de chiffrement SAML et effectuer la rotation des fichiers de déchiffrement par clé privée pour votre fournisseur SAML IAM. Pour faire pivoter les clés privées, ajoutez votre nouvelle clé privée, puis supprimez l’ancienne clé dans une demande distincte. Pour plus d’informations sur la rotation des clés privées, consultez Gestion des clés de chiffrement SAML.

Pour baliser un fournisseur d'identité IAM existant (API AWS)
Pour afficher la liste des balises d'un fournisseur d'identité IAM (API AWS) existant
Pour supprimer les balises d'un fournisseur d'identité IAM (API AWS) existant
Pour supprimer un fournisseur d'identité IAM (API AWS)

  1. (Facultatif) Pour répertorier des informations pour tous les IdP, comme l'ARN, la date de création et l'expiration, appelez l'opération suivante :

  2. (Facultatif) Pour obtenir des informations sur un fournisseur spécifique, telles que l’ARN, la date de création, la date d’expiration, les paramètres de chiffrement et les informations relatives à la clé privée, appelez l’opération suivante :

  3. Pour supprimer un IdP, appelez l'opération suivante :

Étapes suivantes

Après avoir créé un fournisseur d’identité SAML, configurez l’approbation des parties utilisatrices avec votre IdP. Vous pouvez également utiliser les demandes de la réponse d’authentification de votre IdP dans les politiques pour contrôler l’accès à un rôle.