Accès à la main-d'œuvre par le biais d'une région supplémentaire - AWS IAM Identity Center
Sessions utilisateur sur plusieurs Régions AWSAWS accéder aux points de terminaison du portail dans le système principal et dans le système supplémentaire Régions AWSPoints de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWSUtilisation d'applications AWS gérées sans plusieurs ACS URLs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès à la main-d'œuvre par le biais d'une région supplémentaire

Cette section explique comment votre personnel peut accéder aux Portail d'accès AWS, Compte AWS et aux applications lorsque vous avez activé IAM Identity Center dans plusieurs régions.

Le Portail d'accès AWS menu dans une région supplémentaire affiche Compte AWS les applications et les applications auxquelles votre personnel a accès de la même manière que dans la région principale. Votre personnel peut se connecter Portail d'accès AWS à une région supplémentaire via un lien direct vers le point de terminaison du portail régional (par exemple,https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com) ou via une application de favoris que vous avez configurée dans l'IdP externe.

Vous pouvez utiliser le Portail d'accès AWS point de terminaison dans une région supplémentaire AWS CLI pour autoriser l'accès APIs en tant qu'utilisateur du IAM Identity Center. Cette fonctionnalité fonctionne de la même manière que dans la région principale. Toutefois, les autorisations CLI ne sont pas répliquées entre les régions activées. Par conséquent, vous devez autoriser la CLI dans chaque région individuellement.

Sessions utilisateur sur plusieurs Régions AWS

IAM Identity Center réplique les sessions utilisateur de la région d'origine vers les autres régions activées. La révocation de session et la déconnexion dans une région sont également reproduites dans les autres régions.

Révocation de session par les administrateurs d'IAM Identity Center

Les administrateurs d'IAM Identity Center peuvent révoquer les sessions utilisateur dans des régions supplémentaires. Lorsque les sessions sont répliquées entre les régions, dans des conditions normales, il suffit de révoquer une session dans une seule région et de laisser IAM Identity Center répliquer la modification dans les autres régions activées. En cas d'interruption de la région principale d'IAM Identity Center, les administrateurs peuvent effectuer cette opération dans d'autres régions.

Portail d'accès AWS points de terminaison dans le primaire et dans le module supplémentaire Régions AWS

Si vous devez rechercher le portail AWS d'accès URLs pour les régions activées, procédez comme suit :

  1. Ouvrez la console IAM Identity Center.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Choisissez l’onglet Gestion.

  4. Dans la section Régions pour le centre d'identité IAM, choisissez Afficher tout le portail AWS URLs d'accès.

Le tableau suivant indique les Portail d'accès AWS points de terminaison dans les régions principale et supplémentaire d'une instance IAM Identity Center.

Portail d'accès AWS point de terminaison Région principale Région supplémentaire Modèle d'URL et exemple
Classique IPv4 uniquement 1 Oui Non

Modèle : https://[Identity Store ID].awsapps.com/start

Exemple : https://d-12345678.awsapps.com/start

Alias personnalisé IPv4 uniquement 1 Oui (facultatif) Non

Modèle : https://[custom alias].awsapps.com/start

Exemple : https://mycompany.awsapps.com/start

Alternative IPv4 uniquement 2 Oui Oui

Modèle : https://[Identity Center instance ID]. [Region].portal.amazonaws.com

Exemple : https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com

Double pile 2 Oui Oui

Modèle : https://[Identity Center instance ID].portal. [Region].app.aws

Exemple : https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws

1 Dans d'autres régions, l'alias personnalisé n'est pas pris en charge et le domaine awsapps.com parent n'est pas disponible.

2 IPv4 Seule alternative, et les points de terminaison du portail à double pile n'ont pas de queue /start dans l'URL.

Points de terminaison Assertion Consumer Service (ACS) dans le serveur principal et dans le système supplémentaire Régions AWS

Si vous devez consulter l'ACS URLs ou le télécharger dans le cadre des métadonnées SAML, procédez comme suit :

  1. Ouvrez la console IAM Identity Center.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Choisissez l'onglet Source d'identité.

  4. Dans le menu déroulant Actions, choisissez Gérer l'authentification.

  5. La section des métadonnées du fournisseur de services affiche Portail d'accès AWS l'URL ACS pour chaque région activée. IPv4-only et dual-stack URLs sont affichés dans les onglets respectifs. Si votre IdP prend en charge le téléchargement du fichier de métadonnées SAML, vous pouvez choisir Télécharger le fichier de métadonnées pour télécharger le fichier de métadonnées SAML avec tous les ACS. URLs Si cela n'est pas pris en charge, ou si vous préférez les ajouter individuellement, vous pouvez les copier individuellement à partir du tableau, ou choisir Afficher ACS URLs puis Copier tout URLs.

Le tableau suivant indique les points de terminaison du SAML Assertion Consumer Service (ACS) dans les régions principales et supplémentaires d'une instance IAM Identity Center :

Point final ACS Région principale Région supplémentaire Modèle d'URL et exemple
IPv4 uniquement Oui Oui

Modèle : https://[Region].signin.aws/platform/saml/acs/[Tenant ID]

Exemple : https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

Alternative IPv4 seulement* Oui Non

Modèle : https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]

Exemple : https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

Double pile Oui Oui

Modèle : https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]

Exemple : https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

*IAM Identity Center n'utilise plus ce point de terminaison pour les instances créées à partir de février 2026. Bien que ce point de terminaison reste disponible pour les instances antérieures, nous vous recommandons d'utiliser plutôt l'un des deux autres points de terminaison.

Utilisation d'applications AWS gérées sans plusieurs ACS URLs

Certains fournisseurs d'identité externes (IdPs) ne prennent pas en charge le service client à assertions multiples (ACS) URLs dans leur application IAM Identity Center. URLs Les ACS multiples sont une fonctionnalité SAML requise pour la connexion directe à une région spécifique dans un centre d'identité IAM multirégional.

Par exemple, si vous lancez une application AWS gérée via un lien d'application, le système déclenche la connexion via la région du centre d'identité IAM connectée à l'application. Toutefois, si l'URL ACS pour cette région n'est pas configurée dans l'IdP externe, la connexion échoue.

Pour résoudre ce problème, contactez votre fournisseur d'IdP pour activer la prise en charge de plusieurs ACS. URLs Dans l'intervalle, vous pouvez toujours utiliser les applications AWS gérées dans d'autres régions. Connectez-vous d'abord à la région dont l'URL ACS est configurée dans l'IdP externe (la région principale par défaut). Une fois que vous avez une session active dans IAM Identity Center, vous pouvez lancer l'application depuis le portail AWS d'accès de n'importe quelle région activée ou via un lien vers l'application.