FAQ AWS IAM Identity Center

Q : Qu'est-ce qu'AWS IAM Identity Center ?

IAM Identity Center est créé à partir d'AWS Identity and Access Management (IAM) pour faciliter la gestion des accès à plusieurs comptes AWS, aux applications AWS et à d'autres applications cloud compatibles avec SAML. Dans IAM Identity Center, vous créez ou connectez les utilisateurs de votre personnel pour les utiliser dans AWS. Vous pouvez choisir de limiter l'accès à vos comptes AWS, à vos applications cloud ou aux deux. Vous pouvez créer des utilisateurs directement dans IAM Identity Center, ou les apporter depuis votre répertoire de personnel existant. IAM Identity Center vous permet de bénéficier d'une expérience d'administration unifiée permettant de définir, personnaliser et attribuer des accès précis. Votre personnel bénéficie d'un portail utilisateur pour accéder aux comptes AWS et applications cloud qui ont été attribués.

Q : Quels sont les avantages d'IAM Identity Center ?

Vous pouvez utiliser IAM Identity Center pour accorder et gérer rapidement et facilement l'accès de vos employés à plusieurs comptes AWS, à des applications cloud basées sur SAML (par ex., Salesforce, Microsoft 365 et Box) et à des applications internes conçues sur mesure, le tout depuis un seul et même endroit. Les employés peuvent être plus productifs en se connectant avec leurs informations d'identification existantes ou celles que vous configurez dans IAM Identity Center. Ils peuvent utiliser un portail utilisateur unique et personnalisé. Vous bénéficiez d'une meilleure visibilité sur l'utilisation des applications cloud, car vous pouvez surveiller et contrôler les activités de connexion de façon centralisée depuis AWS CloudTrail.

Q : Quelles solutions IAM Identity Center apporte-t-il ?

IAM Identity Center facilite les procédures administratives visant à fédérer et à gérer les autorisations séparément pour chaque compte AWS. Il vous permet de configurer des applications AWS à partir d'une interface unique, et d'attribuer l'accès à vos applications cloud à partir d'un seul endroit.
IAM Identity Center contribue également à améliorer la visibilité de l'accès en s'intégrant à AWS CloudTrail et en fournissant un lieu central pour l'audit de l'accès par authentification unique aux comptes AWS et aux applications cloud basées sur SAML comme Microsoft 365, Salesforce et Box.

Q : Pourquoi dois-je utiliser IAM Identity Center ?

IAM Identity Center est la porte d'entrée dans AWS que nous recommandons. Il devrait être votre principal outil de gestion d'accès au système AWS pour les utilisateurs de votre personnel. Il vous permet de gérer vos identités dans votre source d'identité préférée, de les connecter une seule fois pour les utiliser dans AWS, de définir des autorisations précises et de les appliquer de manière cohérente à tous les comptes. À mesure que le nombre de vos comptes augmente, IAM Identity Center vous offre la possibilité de l'utiliser comme un lieu unique pour gérer l'accès des utilisateurs à toutes vos applications cloud.

Q : Que puis-je faire avec IAM Identity Center ?

Vous pouvez utiliser IAM Identity Center pour accorder rapidement et facilement à vos employés un accès à des comptes AWS dans AWS Organizations, à des applications métiers basées sur le cloud (par ex., Salesforce, Microsoft 365 et Box) et à des applications personnalisées prenant en charge SAML (Security Assertion Markup Language) 2.0. Les employés peuvent se connecter à l'aide des informations d'identification de leurs comptes professionnels ou celles qu'ils ont eux-mêmes configurées dans IAM Identity Center pour accéder à leurs applications métiers depuis un portail utilisateur unique. IAM Identity Center vous permet également de contrôler l'accès des utilisateurs aux services cloud à l'aide d'AWS CloudTrail.

Q : Qui peut utiliser IAM Identity Center ?

IAM Identity Center s'adresse aux administrateurs qui gèrent plusieurs comptes AWS et applications métier, qui souhaitent gérer de façon centralisée l'accès des utilisateurs à ces services cloud et qui désirent mettre à disposition des employés un endroit unique pour leur permettre d'accéder à ces comptes et applications sans qu'ils aient besoin de mémoriser un nouveau mot de passe.

Q : Comment puis-je démarrer avec IAM Identity Center ?

En tant que nouvel utilisateur d'IAM Identity Center :

1. Connectez-vous à la console de gestion AWS depuis le compte de gestion de votre compte AWS et accédez à la console IAM Identity Center.
2. Sélectionnez le répertoire que vous utilisez pour stocker les identités de vos utilisateurs et groupes dans la console IAM Identity Center. IAM Identity Center vous fournit par défaut un répertoire que vous pouvez utiliser pour gérer les utilisateurs et les groupes dans IAM Identity Center. Vous pouvez également changer de répertoire pour vous connecter à un répertoire Microsoft AD en cliquant sur une liste d'instances Microsoft AD et AD Connector gérées qu'IAM Identity Center découvre automatiquement dans votre compte. Si vous désirez vous connecter à un répertoire Microsoft AD, reportez-vous à Premiers pas avec AWS Directory Service.
3. Accordez aux utilisateurs un accès par authentification unique aux comptes AWS de votre organisation en sélectionnant les comptes AWS dans une liste pré-remplie par IAM Identity Center, puis en choisissant les utilisateurs ou groupes dans votre répertoire, ainsi que les autorisations que vous souhaitez leur accorder.
4. Accordez aux utilisateurs un accès aux applications métiers basées sur le cloud en :
   a. Sélectionnant l'une des applications de la liste des applications pré-intégrées prises en charge dans IAM Identity Center.
   b. Configurant l'application selon les instructions appropriées
   c. Sélectionnant les utilisateurs ou groupes qui doivent pouvoir accéder à cette application.
5. Communiquez à vos utilisateurs l'adresse de connexion web IAM Identity Center générée lorsque vous avez configuré le répertoire. Il en ont besoin pour se connecter à IAM Identity Center ainsi que pour accéder aux comptes et aux applications métiers.

Q : Combien coûte IAM Identity Center ?

IAM Identity Center est disponible sans frais supplémentaires.

Q : Dans quelles régions IAM Identity Center est-il disponible ?

Reportez-vous au tableau des régions AWS pour connaître la disponibilité d'IAM Identity Center par région.

Q : Quelles sources d'identité puis-je utiliser avec IAM Identity Center ?

Avec IAM Identity Center, vous pouvez créer et gérer les identités des utilisateurs dans le magasin d'identités d'IAM Identity Center. Vous pouvez aussi vous connecter facilement à votre source d'identité existante, notamment Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD) ou un autre fournisseur d'identité pris en charge. Pour plus d'informations, voir le Guide de l'utilisateur d'IAM Identity Center.

Q : Puis-je connecter plusieurs sources d'identité à IAM Identity Center ?

Non. Vous ne pouvez avoir qu'un seul répertoire ou un seul fournisseur d'identité SAML 2.0 connecté à IAM Identity Center à la fois. Cependant, vous pouvez remplacer la source d'identité qui est connectée par une autre.

Q : Quels fournisseurs d'identité SAML 2.0 puis-je utiliser avec IAM Identity Center ?

Vous pouvez connecter IAM Identity Center à la plupart des fournisseurs d'identité SAML 2.0, tels que Okta Universal Directory ou Microsoft Entra ID (anciennement Azure AD). Pour plus d'informations, voir le Guide de l'utilisateur d'IAM Identity Center.

Q : L'activation d'IAM Identity Center modifiera-t-elle certains de mes politiques, utilisateurs ou rôles IAM existants ?

Non, IAM Identity Center ne modifie aucune police, utilisateur ou rôle IAM existant dans vos comptes AWS. IAM Identity Center crée de nouveaux rôles et politiques spécifiquement destinés à être utilisés par le biais d'IAM Identity Center.

Q : Comment puis-je allouer des identités dans IAM Identity Center à partir de mes fournisseurs d'identité existants ?

Les identités provenant de votre fournisseur d'identité existant doivent être allouées dans IAM Identity Center avant que vous ne puissiez attribuer des autorisations. Vous pouvez synchroniser automatiquement les informations d'utilisateurs et de groupes à partir d'Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD), OneLogin et PingFederate grâce à la norme SCIM (System for Cross-domain Identity Management). Pour les autres fournisseurs d'identité, vous pouvez allouer des utilisateurs à partir de votre fournisseur d'identité à l'aide de la console IAM Identity Center. Référez-vous au Guide de l'utilisateur d'IAM Identity Center pour en savoir plus.

Q : Dois-je migrer vers IAM Identity Center en une seule fois ou puis-je le faire progressivement ?

Après avoir activé IAM Identity Center, tous les utilisateurs ou rôles IAM existants continueront à fonctionner tels quels. Cela signifie que vous pouvez migrer vers IAM Identity Center selon une approche progressive sans perturber l'accès existant à AWS.

Q : Comment puis-je migrer des rôles existants vers IAM Identity Center ?

IAM Identity Center fournit de nouveaux rôles à utiliser dans vos comptes AWS. Vous pouvez associer les mêmes politiques que celles que vous utilisez avec vos rôles IAM existants aux nouveaux rôles utilisés avec IAM Identity Center.

Q : Est-ce que IAM Identity Center crée des groupes ou des utilisateurs IAM dans mes comptes AWS ?

IAM Identity Center ne crée pas de groupes ou d'utilisateurs IAM. Il possède son propre magasin d'identité spécialement conçu pour conserver les informations des utilisateurs. Lorsque vous utilisez un fournisseur d'identité externe, Identity Center conserve une copie synchronisée des attributs utilisateur et de l'appartenance au groupe, mais aucun matériel d'authentification tel que les mots de passe ou les dispositifs MFA. Votre fournisseur d'identité externe reste la source fiable des informations et des attributs des utilisateurs.

Q : Puis-je automatiser la synchronisation d'identités dans IAM Identity Center ?

Oui. Si vous utilisez Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD), OneLogin ou PingFederate, vous pouvez utiliser SCIM pour synchroniser automatiquement les informations d'utilisateurs et de groupes à partir de votre fournisseur d'identité dans IAM Identity Center. Pour plus d'informations, voir le Guide de l'utilisateur d'IAM Identity Center.

Q : Comment puis-je connecter IAM Identity Center à mon Microsoft Active Directory ?

Vous pouvez connecter IAM Identity Center à votre répertoire Active Directory (AD) sur site ou à un répertoire AD Microsoft géré par AWS en utilisant AWS Directory Service. Référez-vous au Guide de l'utilisateur d'IAM Identity Center pour en savoir plus.

Q : Je gère mes utilisateurs et mes groupes dans le répertoire Active Directory sur site. Comment puis-je exploiter ces utilisateurs et groupes dans IAM Identity Center ?

Vous avez deux options pour vous connecter à l'annuaire Active Directory hébergé sur site à IAM Identity Center : (1) utiliser AD Connector, ou (2) utiliser une relation de confiance AD Microsoft gérée par AWS. AD Connector connecte simplement votre Active Directory existant sur site à AWS. AD Connector est une passerelle d'annuaire avec laquelle vous pouvez rediriger les demandes d'annuaire vers votre Microsoft Active Directory sur site sans mettre en cache aucune information dans le cloud. Pour connecter un annuaire sur site à l'aide d'AD Connector, reportez-vous au guide d'administration d'AWS Directory Service. AWS Managed Microsoft AD permet de configurer et d'exécuter facilement Microsoft Active Directory dans AWS. Il peut être utilisé pour configurer une relation d'approbation de forêt entre votre annuaire sur site et AWS Managed Microsoft AD. Pour configurer une relation d'approbation, reportez-vous au guide d'administration d'AWS Directory Service.

Q : Puis-je utiliser mes groupes d'utilisateurs Amazon Cognito comme source d'identité dans IAM Identity Center ?

Amazon Cognito est un service qui vous permet de gérer les identités pour vos applications client ; il ne s'agit pas d'une source d'identité prise en charge dans IAM Identity Center. Vous pouvez créer et gérer les identités de vos employés dans IAM Identity Center ou dans votre source d'identité externe, notamment Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD) ou un autre fournisseur d'identité pris en charge.

Q : IAM Identity Center prend-il en charge les interfaces de ligne de commande via navigateur et les interfaces mobiles ?

Oui. Vous pouvez utiliser IAM Identity Center pour contrôler l'accès à la console de gestion AWS et à la CLI v2. IAM Identity Center permet à vos utilisateurs d'accéder à la CLI et la console de gestion AWS à travers une expérience d'authentification unique. L'application AWS Mobile Console prend également en charge IAM Identity Center, ce qui vous permet de bénéficier d'une expérience de connexion cohérente dans les interfaces de navigateur, de mobile et de ligne de commande.

Q : Quelles applications cloud puis-je connecter à IAM Identity Center ?

Vous pouvez connecter les applications suivantes à IAM Identity Center :

1. Applications intégrées à IAM Identity Center : les applications intégrées à IAM Identity Center comme SageMaker Studio et IoT SiteWise utilisent IAM Identity Center pour l'authentification et fonctionnent avec les identités que vous avez dans IAM Identity Center. Aucune configuration supplémentaire n'est nécessaire pour synchroniser les identités dans ces applications ou pour configurer la fédération séparément.
2. Applications SAML pré-intégrées : IAM Identity Center est pré-intégré avec les applications métier courantes. Pour obtenir une liste complète, référez-vous à la console IAM Identity Center.
3. Applications SAML personnalisées : IAM Identity Center prend en charge les applications qui permettent la fédération d'identité en utilisant SAML 2.0. Vous pouvez activer IAM Identity Center pour prendre en charge ces applications à l'aide de l'assistant d'application personnalisé.

Q : Quels comptes AWS puis-je connecter à IAM Identity Center ?

Vous pouvez ajouter un compte AWS géré à IAM Identity Center en utilisant AWS Organizations. Vous devez activer toutes les fonctions de vos organisations pour gérer vos comptes à authentification unique.

Q : Comment puis-je configurer l'authentification unique sur les comptes AWS d'une unité d'organisation (UO) au sein de mon organisation ?

Vous pouvez sélectionner des comptes au sein de l'organisation ou filtrer les comptes par UO.

Q : Qu'est-ce que la propagation fiable des identités ?

La propagation fiable des identités repose sur le cadre d'autorisation OAuth 2.0, qui permet aux applications d'accéder aux données et à d'autres ressources pour le compte d'un utilisateur spécifique, sans communiquer ses informations d'identification. Cette fonctionnalité d'IAM Identity Center simplifie la gestion de l'accès aux données pour les utilisateurs, les audits et améliore l'expérience de connexion des utilisateurs d'analyses sur plusieurs applications d'analyse AWS.

Q : Pourquoi utiliser la propagation fiable d'identité ?

Les administrateurs de ressources et de bases de données peuvent limiter l'accès aux ressources à certains utilisateurs et aux membres de certains groupes. Les auditeurs peuvent examiner les actions des utilisateurs sur des applications d'informatique décisionnelle et d'analyse de données interconnectées. Les utilisateurs d'applications d'informatique décisionnelle peuvent s'authentifier une seule fois pour accéder aux sources de données AWS. La propagation fiable des identités permet aux clients de répondre aux exigences relatives à l'accès aux données selon le principe du moindre privilège dans le cadre de flux de travail analytiques couvrant de multiples applications et services AWS, tels qu'Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena et AWS LakeFormation. 

Q : Quels sont les cas d'utilisation courants de la propagation fiable d'identité ?

La propagation fiable d'identité est principalement utilisée pour permettre aux applications d'informatique décisionnelle d'interroger les services d'analyse AWS, tels qu'Amazon Redshift ou Amazon Quicksight, au sujet des données requises par les utilisateurs professionnels se connectant via une authentification unique par le biais du fournisseur d'identité existant du client, tout en gardant connaissance de l'identité de l'utilisateur. Cette fonctionnalité prend en charge différents types d'applications courantes d'informatique décisionnelle et utilise différents mécanismes pour diffuser l'identité de l'utilisateur entre les services.

Q : Comment contrôler les autorisations accordées à mes utilisateurs lorsqu'ils accèdent à leurs comptes à l'aide d'IAM Identity Center ?

Lorsque vous accordez l'accès à vos utilisateurs, vous pouvez limiter leurs autorisations en sélectionnant un ensemble d'autorisations. Les jeux d'autorisations sont un groupe d'autorisations que vous pouvez créer dans IAM Identity Center, en les modélisant en fonction de politiques gérées par AWS pour les fonctions professionnelles ou de toute autre stratégie gérée par AWS. Les stratégies gérées par AWS pour les fonctions professionnelles sont conçues de manière à s'aligner étroitement sur les tâches courantes du secteur de l'informatique. Si nécessaire, vous pouvez entièrement personnaliser l'ensemble d'autorisations pour répondre à vos exigences en matière de sécurité. IAM Identity Center applique automatiquement ces autorisations aux comptes sélectionnés. Lorsque vous apportez des modifications aux ensembles d'autorisations, IAM Identity Center vous permet d'appliquer facilement ces dernières aux comptes concernés. Lorsque les utilisateurs accèdent aux comptes sur le portail d'accès AWS, ces autorisations limitent leurs activités au sein de ces comptes. Vous pouvez également accorder plusieurs jeux d'autorisations aux utilisateurs. Lorsqu'ils accèdent au compte sur le portail utilisateur, ils peuvent choisir le jeux d'autorisations qu'ils souhaitent utiliser pour cette séance.

Q : Comment puis-je automatiser la gestion des autorisations sur plusieurs comptes ?

IAM Identity Center fournit des API et le support AWS CloudFormation pour automatiser la gestion des autorisations dans les environnements multi-comptes et récupérer les autorisations par programme à des fins d'audit et de gouvernance.

Q : Comment dois-je sélectionner les attributs à utiliser pour ABAC ?

Pour implémenter ABAC, vous pouvez sélectionner des attributs dans le magasin d'identités d'IAM Identity Center pour les utilisateurs d'IAM Identity Center et les utilisateurs synchronisés depuis Microsoft AD ou des fournisseurs d'identité SAML 2.0 externes, notamment Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD), OneLogin ou PingFederate. Lorsque vous utilisez un fournisseur d'identité comme source d'identité, vous avez la possibilité d'envoyer les attributs dans le cadre d'une assertion SAML 2.0.

Q : Pour quels comptes AWS puis-je obtenir des informations d'identification pour AWS CLI ?

Vous pouvez obtenir des informations d'identification pour AWS CLI pour toutes les autorisations de compte et d'utilisateur AWS que votre administrateur IAM Identity Center vous a attribuées. Ces informations d'identification pour la CLI peuvent être utilisées pour un accès par programmation au compte AWS.

Q : Quelle est la durée de validité des informations d'identification d'AWS CLI du portail d'accès AWS ?

Les informations d'identification pour AWS CLI récupérées par IAM Identity Center sont valides pendant 60 minutes. Vous pouvez obtenir de nouvelles informations d'identification aussi souvent que nécessaire.

Q : Comment puis-je configurer IAM Identity Center sur les applications métier telles que Salesforce ?

Dans la console IAM Identity Center, accédez au volet des applications, choisissez « Configure new application » (Configurer de nouvelles applications) et sélectionnez une application dans la liste des applications cloud pré-intégrées à IAM Identity Center. Suivez les instructions à l'écran pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » (Accorder l'accès) pour terminer le processus.

Q : Mon entreprise utilise des applications métier qui ne figurent pas dans la liste des applications pré-intégrées à IAM Identity Center. Puis-je toujours utiliser IAM Identity Center ?

Oui. Si votre application prend en charge le protocole SAML 2.0, vous pouvez la configurer en tant qu'application SAML 2.0 personnalisée. Dans la console IAM Identity Center, accédez au volet des applications et choisissez l'option « Configure new application » (Configurer les applications), puis « Custom SAML 2.0 application » (Application SAML 2.0 personnalisée). Suivez les instructions pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » (Accorder l'accès) pour terminer le processus.

Q : Mon application prend uniquement en charge le protocole OpenID Connect (OIDC). Puis-je toujours l'utiliser avec IAM Identity Center ?

Non. IAM Identity Center prend uniquement en charge les applications basées sur le protocole SAML 2.0.

Q : IAM Identity Center prend-il en charge l'authentification unique pour les applications natives sur mobiles et de bureau ?

Non. IAM Identity Center prend en charge l'authentification unique pour les applications métier uniquement depuis un navigateur web.

Q : Quelles données IAM Identity Center stockera-t-il en mon nom ?

Le centre d'identité IAM stockera des données sur les comptes AWS et les applications cloud attribués à des utilisateurs et des groupes, ainsi que sur les autorisations accordées pour accéder aux comptes AWS. IAM Identity Center créera et gérera également les rôles IAM dans les comptes AWS individuels pour chaque jeux d'autorisations auquel vous accordez l'accès à vos utilisateurs.

Quelles capacités d'authentification multifactorielle (MFA) puis-je utiliser avec IAM Identity Center ?

Avec IAM Identity Center, vous pouvez activer de fortes capacités d'authentification reposant sur des normes pour tous vos utilisateurs dans toutes les sources d'identité. Si vous utilisez un fournisseur d'identité SAML 2.0 pris en charge comme source d'identité, vous pouvez activer les capacités d'authentification MFA de votre fournisseur. Lorsque vous utilisez IAM Identity Center ou Active Directory comme source d'identité, IAM Identity Center prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications métier avec des clés de sécurité compatibles FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP) telles que Google Authenticator ou Twilio Authy.

Vous pouvez également utiliser votre configuration MFA RADIUS (Service d'authentification à distance des utilisateurs) existante avec IAM Identity Center et AWS Directory Services pour authentifier vos utilisateurs en tant que forme secondaire de vérification. Pour en savoir plus sur la configuration de MFA avec IAM Identity Center, référez-vous au Guide de l'utilisateur d'IAM Identity Center.

Q : IAM Identity Center prend-il en charge la spécification Web Authentication ?

Oui. Pour les identités d'utilisateur dans le magasin d'identités d'IAM Identity Center et Active Directory, IAM Identity Center prend en charge la spécification Web Authentification (WebAuthn) pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications métier avec des clés de sécurité compatibles FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP) telles que Google Authenticator ou Twilio Authy.

Q : Comment mes employés peuvent-ils démarrer avec IAM Identity Center ?

Les employés peuvent commencer à utiliser IAM Identity Center en visitant le portail d'accès qui est généré lorsque vous configurez votre source d'identité dans IAM Identity Center. Si vous gérez vos utilisateurs dans IAM Identity Center, vos employés peuvent utiliser leur adresse e-mail et leur mot de passe configurés avec IAM Identity Center pour se connecter au portail utilisateur. Si vous connectez IAM Identity Center à Microsoft Active Directory ou à un fournisseur d'identité SAML 2.0, vos employés peuvent se connecter au portail utilisateur avec leurs informations d'identification d'entreprise existantes, puis voir les comptes et applications qui leur sont attribués. Pour accéder à un compte ou à une application, les employés sélectionnent l'icône correspondante dans le portail d'accès.

Q : Y a-t-il une API disponible pour IAM Identity Center ?

Oui. IAM Identity Center fournit des API d'affectation de compte pour vous aider à automatiser la gestion des autorisations dans les environnements multi-comptes, et récupérer les autorisations par programme à des fins d'audit et de gouvernance.