Présentation détaillée

AWS Single Sign-On (SSO) facilite la gestion centralisée de l'accès à plusieurs comptes AWS et applications métier en offrant aux utilisateurs un accès unique à tous leurs comptes et applications assignés à partir d'un seul endroit. Avec AWS SSO, vous pouvez facilement gérer l'accès et les autorisations utilisateur à tous vos comptes dans AWS Organizations de manière centralisée. SSO configure et gère automatiquement toutes les autorisations associées à vos comptes, sans qu'aucune action supplémentaire ne soit requise. Vous pouvez attribuer des autorisations utilisateur selon les fonctions courantes liées au poste et personnaliser ces autorisations afin qu'elles répondent à vos exigences spécifiques en matière de sécurité. AWS SSO inclut également des intégrations prédéfinies à de nombreuses applications métier, notamment Salesforce, Box et Microsoft 365.

Avec AWS SSO, vous pouvez créer et gérer les identités des utilisateurs dans la base d'identité d'AWS SSO, ou vous connecter facilement à votre source d'identité existante, notamment Microsoft Active Directory, Okta Universal Directory et Azure Active Directory (Azure AD). AWS SSO vous permet de sélectionner les attributs utilisateur, comme le centre de coût, le titre, ou le lieu, à partir de votre source d'identité, et de les utiliser pour procéder à un contrôle d'accès en fonction de ces attributs dans AWS.

Il est facile de démarrer avec AWS SSO. En quelques clics sur la console de gestion AWS SSO, vous pouvez connecter AWS SSO à votre base d'identités et configurer les autorisations qui permettent aux utilisateurs d'accéder à leurs comptes AWS Organizations et à des centaines d'applications cloud préconfigurées, le tout depuis un seul portail utilisateur.

Fonctionnalités administratives

Intégration à AWS Organizations

Le service AWS SSO est intégré à AWS Organizations, ce qui vous permet de sélectionner un ou plusieurs comptes au sein de votre organisation et d'autoriser des utilisateurs à y accéder. AWS SSO repose sur les règles et les rôles AWS Identity and Access Management (IAM) afin de vous aider à gérer les accès de manière centralisée de tous les comptes AWS de votre organisation AWS. Aucune autre configuration n'est requise au niveau des comptes individuels. En quelques clics, vous pouvez autoriser des utilisateurs à accéder à tous les comptes AWS utilisés pour une application ou par une équipe.

Gestion de l'accès SSO pour plusieurs comptes AWS

Grâce à AWS Single Sign-On (SSO), vous pouvez gérer l'accès à plusieurs comptes AWS de façon centralisée. Lorsque les utilisateurs se connectent à leur portail personnalisé, ils voient tous les rôles AWS qui leur sont attribués depuis un seul et même endroit.

Activation de l'accès SSO à vos instances Amazon EC2 Windows

En utilisant AWS SSO, vous pouvez fournir un accès de connexion en un clic à vos instances Amazon EC2 Windows à partir de la console AWS Systems Manager Fleet Manager. Vous pouvez ainsi accéder facilement aux bureaux de vos instances depuis n'importe où, sans avoir à saisir vos informations d'identification plusieurs fois ou à configurer un logiciel client d'accès à distance.

Contrôle d'accès reposant sur les attributs

AWS SSO facilite la création et l'utilisation d'autorisations précises pour votre main-d'œuvre sur base des attributs utilisateur définis dans votre source d'identité AWS SSO. AWS SSO vous permet de sélectionner divers attributs, comme le centre de coût, le titre, ou le lieu, et de les utiliser pour procéder à un contrôle d'accès sur base de ces attributs afin de simplifier et de centraliser votre gestion des accès. Vous pouvez définir les autorisations pour l'ensemble de votre organisation AWS et ensuite donner, retirer ou modifier un accès AWS en modifiant simplement les attributs dans la source d'identité.

Création et gestion des utilisateurs dans AWS SSO

AWS SSO fournit un répertoire par défaut que vous pouvez utiliser pour créer des utilisateurs et les organiser en groupes au sein d’AWS SSO. Vous pouvez créer des utilisateurs dans AWS SSO en configurant leur adresse e-mail et leur nom. Lorsque vous créez un utilisateur, AWS SSO envoie par défaut un e-mail à l'utilisateur pour que vos utilisateurs puissent définir leur propre mot de passe. En quelques minutes, vous pouvez accorder à vos utilisateurs et groupes d’utilisateurs des autorisations d’accès aux ressources AWS sur tous vos comptes, ainsi que sur plusieurs applications professionnelles. Vos utilisateurs se connectent sur un portail utilisateur à l’aide d’identifiants qu’ils ont configurés dans AWS SSO afin d’accéder à tous leurs comptes et applications attribués depuis un seul et même endroit.

Connexion à Microsoft Active Directory

Avec AWS SSO, vous pouvez gérer l'accès SSO aux comptes et applications en utilisant vos identités d'entreprise existantes à partir de Microsoft Active Directory Domain Services (AD DS). AWS SSO se connecte à AD DS via AWS Directory Service et vous permet d'accorder aux utilisateurs l'accès aux comptes et aux applications en ajoutant simplement les utilisateurs aux groupes AD appropriés. Par exemple, vous pouvez créer un groupe pour une équipe de développeurs travaillant sur une application et accorder au groupe l'accès aux comptes AWS de l'application. Lorsque de nouveaux développeurs rejoignent l'équipe et que vous les ajoutez au groupe AD, ils peuvent automatiquement accéder à tous les comptes AWS de l'application. AWS SSO vous permet également de sélectionner divers attributs utilisateur, comme le centre de coût, le titre, ou le lieu, à partir de votre AD, et de les utiliser pour procéder à un contrôle d'accès sur la base de ces attributs afin de simplifier et de centraliser votre gestion des accès.

Connexion et allocation automatiques des utilisateurs à partir de fournisseurs d'identités basés sur les normes

Vous pouvez connecter AWS SSO à Okta Universal Directory, Azure AD ou un autre fournisseur d’identités pris en charge via le protocole SAML (Security Assertion Markup Language) 2.0 afin que vos utilisateurs puissent se connecter avec leurs informations d'identification existantes. AWS SSO prend également en charge la norme SCIM (System for Cross-domain Identity Management) pour l'automatisation de l'allocation des utilisateurs. Vous pouvez gérer vos utilisateurs dans votre fournisseur d'identités, les intégrer à AWS rapidement et gérer de manière centralisée leur accès à tous les comptes et applications métier AWS. AWS SSO vous permet également de sélectionner divers attributs utilisateur, comme le centre de coût, le titre, ou le lieu, à partir d'Okta Universal Directory, et de les utiliser pour procéder à un contrôle d'accès sur base de ces attributs afin de simplifier et de centraliser votre gestion des accès.

Audit de l'activité SSO dans les applications et les comptes AWS

Toutes les activités administratives et d'authentification unique (SSO) sont enregistrées dans AWS CloudTrail afin de vous permettre de bénéficier de la visibilité nécessaire pour contrôler les activités SSO de façon centralisée. Grâce à CloudTrail, vous pouvez consulter les activités telles que les tentatives de connexion, les affectations d'application et les changements d'intégration d'annuaire. Par exemple, vous pouvez déterminer les applications auxquelles un utilisateur a accédé sur une période donnée ou quand un utilisateur a reçu un accès SSO à une application spécifique.

Authentification multifacteur

Avec AWS SSO, vous pouvez utiliser de fortes capacités d'authentification reposant sur des normes pour tous vos utilisateurs dans toutes les sources d'identité. Si vous utilisez un fournisseur d'identité SAML 2.0 pris en charge comme source d'identité, vous pouvez activer les capacités d'authentification MFA (Multi-Factor Authentication) de votre fournisseur. Lorsque vous utilisez Active Directory ou AWS SSO comme source d'identité, AWS SSO prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès utilisateur aux comptes AWS et aux applications métier en utilisant des clés de sécurité certifiées FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, comme Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP), telles que Google Authenticator ou Twilio Authy. AWS SSO vous permet d'imposer la MFA à tous vos utilisateurs, y compris la nécessité pour l'utilisateur de configurer des appareils MFA durant l'identification.

Infrastructure gérée et hautement disponible

AWS SSO repose sur une infrastructure hautement disponible, gérée par AWS. Il n'y a pas de serveurs proxy, serveurs web ou serveurs de fédération supplémentaires à déployer et à gérer lors de la mise à l'échelle et de l'ajout de nouvelles intégrations d'applications métier. Au lieu de cela, vous pouvez facilement créer de nouvelles intégrations à vos applications métier à l'aide de la console AWS SSO.

Fonctions de l'expérience utilisateur final

Portail utilisateur

Avec AWS SSO, les utilisateurs peuvent rechercher tous les comptes et applications qui leur sont attribués et y accéder depuis un seul et même endroit. Il leur suffit de se connecter à leur portail utilisateur personnalisé à l'aide de leurs informations d'identification d'entreprise existantes. Les utilisateurs peuvent alors accéder, en un clic, aux comptes et applications qui leur sont attribués. Le portail utilisateur vous aide également à déployer plus facilement l'accès à de nouvelles applications en aidant les utilisateurs à découvrir de nouvelles applications dans leur portail utilisateur.

Prise en charge du navigateur, de la ligne de commande et des interfaces mobiles

Lorsque les utilisateurs se connectent via l'interface de ligne de commande AWS (CLI), ils peuvent utiliser leurs informations d'identification d'entreprise existantes et obtenir une expérience d'authentification cohérente, tout en bénéficiant des avantages d'une gestion automatisée des informations d'identification à court terme. Une fois connectés, les développeurs peuvent voir leurs comptes et rôles assignés à AWS SSO, et ils peuvent également créer des profils qui leur permettent de basculer entre les rôles et les comptes en une seule commande. L'application AWS Mobile Console prend également en charge AWS SSO afin que vous obteniez une expérience de connexion cohérente sur les interfaces de navigateur, de mobile et de ligne de commande.

Intégrations SSO prédéfinies à des applications métier

AWS SSO propose des intégrations SSO prédéfinies à de nombreuses applications métier, notamment Salesforce, Box et Microsoft 365. Vous pouvez facilement configurer l'accès par authentification unique (SSO) à ces applications en suivant les instructions étape par étape. AWS SSO vous guide tout au long du processus de saisie des URL, certificats et métadonnées nécessaires. Pour obtenir la liste complète des applications métier pré-intégrées à AWS SSO, consultez Applications cloud AWS SSO.

Assistant de configuration des applications SAML

Vous pouvez créer des intégrations d'authentification unique à Security Assertion Markup Language (SAML) 2.0 à l'aide de l'assistant de configuration d'application AWS SSO. L'assistant de configuration des applications vous permet de sélectionner et de structurer les informations à envoyer aux applications pour activer l'accès par authentification unique (SSO). Par exemple, vous pouvez créer un attribut SAML pour un nom d'utilisateur et préciser le format de l'attribut en fonction de l'adresse e-mail du profil AD d'un utilisateur.

Faites vos premiers pas avec AWS Single Sign-On

Visitez la page de démarrage
Prêt à vous lancer ?
S'inscrire
D'autres questions ?
Nous contacter