Tutoriel : Intégration de l’authentification unique Microsoft Entra à AWS IAM Identity Center

Dans ce tutoriel, vous allez apprendre à intégrer AWS IAM Identity Center (successeur à AWS Single Sign-On) avec l’ID Microsoft Entra. Quand vous intégrez AWS IAM Identity Center à Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès à AWS IAM Identity Center.
  • Permettre à vos utilisateurs de se connecter automatiquement à AWS IAM Identity Center avec leur compte Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Remarque : lors de l’utilisation d’AWS Organizations, il est important de déléguer un autre compte en tant que compte d’administration Identity Center, d’activer IAM Identity Center sur celui-ci et de configurer l’authentification unique Entra ID avec ce compte, et non le compte de gestion racine. Cela garantit une configuration plus sécurisée et gérable.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Configuration d’une organisation AWS avec un autre compte délégué en tant que compte d’administration Identity Center.
  • AWS IAM Identity Center activé sur le compte d’administration du Centre d’identité délégué.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

Remarque : assurez-vous que vous avez délégué un autre compte en tant que compte d’administration du Centre d’identité et activé IAM Identity Center dessus avant de suivre les étapes suivantes.

  • AWS IAM Identity Center prend en charge l’authentification unique lancée par le fournisseur de services et le fournisseur d’identité.

  • AWS IAM Identity Center prend en charge le provisionnement automatique d’utilisateurs.

Pour configurer l’intégration d’AWS IAM Identity Center à Microsoft Entra ID, vous devez ajouter AWS IAM Identity Center à partir de la galerie à votre liste d’applications SaaS managées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez AWS IAM Identity Center dans la zone de recherche.
  4. Sélectionnez AWS IAM Identity Center dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet Assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais aussi parcourir les étapes de configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour AWS IAM Identity Center

Configurez et testez l’authentification unique Microsoft Entra avec AWS IAM Identity Center pour un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur AWS IAM Identity Center associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec AWS IAM Identity Center, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique d’AWS IAM Identity Center pour configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur test AWS IAM Identity Center pour avoir dans AWS IAM Identity Center un équivalent de B.Simon associé à la représentation Microsoft Entra de l’utilisateur.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>AWS IAM Identity Center>authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    Modifier la configuration SAML de base

  5. Si vous disposez d’un fichier de métadonnées du fournisseur de services, dans la section Configuration SAML de base, suivez les étapes ci-dessous :

    a. Cliquez sur Charger un fichier de métadonnées.

    b. Cliquez sur le logo du dossier pour sélectionner le fichier de métadonnées expliqué à télécharger dans la section Configurer l’authentification unique AWS IAM Identity Center, puis cliquez sur Ajouter.

    image2

    c. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont automatiquement renseignées dans la section Configuration SAML de base.

    Notes

    Si les valeurs Identificateur et URL de réponse ne sont pas automatiquement renseignées, renseignez-les manuellement en fonction de vos besoins.

    Remarque

    Lors de la modification d’un fournisseur d’identité dans AWS (c’est-à-dire d’AD à un fournisseur externe comme Microsoft Entra ID), les métadonnées AWS changent et doivent être rechargées dans Azure pour que l’authentification unique fonctionne correctement.

  6. Si vous ne disposez pas d’un fichier de métadonnées du fournisseur de services, effectuez les étapes ci-dessous dans la section Configuration SAML de base. Si vous souhaitez configurer l’application en mode initié par le fournisseur d’identité, procédez comme suit :

    a. Dans la zone de texte Identificateur, tapez une URL au format suivant : https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

    b. Dans la zone de texte URL de réponse, tapez une URL au format suivant : https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

  7. Si vous souhaitez configurer l’application en mode démarré par le fournisseur de services, cliquez sur Définir des URL supplémentaires, puis effectuez les étapes suivantes :

    Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>.

    Note

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Pour obtenir ces valeurs, contactez l’équipe de support d’AWS IAM Identity Center. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.

  8. L’application AWS IAM Identity Center s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

    image

    Notes

    Si ABAC est activé dans AWS IAM Identity Center, des attributs supplémentaires peuvent être transmis en tant qu’étiquettes de session directement aux comptes AWS.

  9. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    Capture d’écran montrant le lien de téléchargement du certificat.

  10. Dans la section Configurer AWS IAM Identity Center, copiez la ou les URL appropriées en fonction de vos besoins.

    Capture d’écran montrant comment copier l’URL appropriée de la configuration.

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès à AWS IAM Identity Center.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>AWS IAM Identity Center.
  3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
    1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
    2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle. Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
    3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique d’AWS IAM Identity Center

  1. Dans une autre fenêtre du navigateur Web, connectez-vous à votre site d’entreprise AWS IAM Identity Center en tant qu’administrateur

  2. Accédez à Services -> Sécurité, identité et conformité -> AWS IAM Identity Center.

  3. Dans le volet de navigation de gauche, sélectionnez Settings (Paramètres).

  4. Dans la page Paramètres, recherchez Source d’identité, cliquez sur le menu déroulant Actions, puis sélectionnez Changer la source d’identité.

    Capture d’écran du service de changement de la source d’identité.

  5. Dans la page Changer la source d’identité, choisissez Fournisseur d’identité externe.

    Capture d’écran de la section de sélection d’un fournisseur d’identité externe.

  6. Effectuez les étapes ci-dessous dans la section Configure external identity provider (Configurer un fournisseur d’identité externe) :

    Capture d’écran de la section de téléchargement et de chargement des métadonnées.

    a. Dans la section Métadonnées du fournisseur de services, recherchez Métadonnées SAML de l’authentification unique AWS, sélectionnez Télécharger le fichier de métadonnées afin de télécharger le fichier de métadonnées et de l’enregistrer sur votre ordinateur, puis utilisez-le pour effectuer le chargement sur le portail Azure.

    b. Copiez la valeur de l’URL de connexion du portail d’accès AWS, puis collez-la dans la zone de texte URL de connexion de la section Configuration SAML de base .

    c. Dans la section métadonnées du fournisseur d’identité, sélectionnez Choisir un fichier pour charger le fichier de métadonnées que vous avez téléchargé.

    d. Choisissez Next: Review (Suivant : Vérifier).

  7. Dans la zone de texte, tapez ACCEPT (ACCEPTER) pour changer la source d’identité.

    Capture d’écran pour la confirmation de la configuration.

  8. Cliquez sur Change identity source (Changer la source d’identité).

Créer un utilisateur test AWS IAM Identity Center

  1. Ouvrez la console AWS IAM Identity Center.

  2. Dans le volet de navigation de gauche, choisissez Users (Utilisateurs).

  3. Dans la page Users, choisissez Add user (Ajouter un utilisateur).

  4. Dans la page Add user, procédez comme suit :

    a. Dans le champ Username (Nom d’utilisateur), entrez B.Simon.

    b. Dans le champ Email address (Adresse e-mail), entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.

    c. Dans le champ Adresse e-mail confirmée, réentez l’adresse e-mail de l’étape précédente.

    d. Dans le champ First name (Prénom), entrez Britta.

    e. Dans le champ Last name (Nom), entrez Simon.

    f. Dans le champ Display name (Nom d’affichage), saisissez B.Simon.

    g. Choisissez Suivant, puis encore Suivant.

    Remarque

    Assurez-vous que le nom d’utilisateur et l’adresse e-mail entrés dans AWS IAM Identity Center correspondent aux infos d’identification Microsoft Entra de l’utilisateur. Cela vous permettra d’éviter tout problème d’authentification.

  5. Choisissez Ajouter un utilisateur.

  6. Ensuite, vous allez affecter l’utilisateur à votre compte AWS. Pour ce faire, dans le volet de navigation de gauche de la console AWS IAM Identity Center, choisissez Comptes AWS.

  7. Dans la page AWS Accounts, sélectionnez l’onglet AWS organization (Organisation AWS), cochez la case à côté du compte AWS que vous souhaitez attribuer à l’utilisateur. Choisissez ensuite Assign users (Attribuer des utilisateurs).

  8. Dans la page Affecter des utilisateurs, recherchez et cochez la case en regard de l’utilisateur B.Simon. Ensuite, choisissez Next: Permission sets (Suivant : Jeux d’autorisations).

  9. Sous la section Select permission sets (Sélectionner des jeux d’autorisations), cochez la case à côté du jeu d’autorisations que vous souhaitez attribuer à l’utilisateur B.Simon. Si aucun jeu d’autorisations n’existe, choisissez Create new permission set (Créer un nouveau jeu d’autorisations).

    Notes

    Les jeux d’autorisations définissent le niveau d’accès dont disposent les utilisateurs et les groupes sur un compte AWS. Pour en savoir plus sur les jeux d’autorisations, consultez la page Autorisations multicomptes AWS IAM Identity Center.

  10. Cliquez sur Terminer.

Notes

AWS IAM Identity Center prend également en charge le provisionnement automatique d’utilisateurs. Vous trouverez plus d’informations sur la configuration de cette fonctionnalité ici.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

  • Cliquez sur Tester cette application, ce qui vous redirigera vers l'URL de connexion au centre d’identité AWS IAM où vous pourrez initier le flux de connexion.

  • Accédez directement à l’URL d’authentification d’AWS IAM Identity Center pour lancer le processus de connexion.

Lancée par le fournisseur d’identité :

  • Cliquez sur Tester cette application, ce qui devrait vous connecter automatiquement à l’application AWS IAM Identity Center pour laquelle vous avez configuré l’authentification unique.

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Si, quand vous cliquez sur la vignette AWS IAM Identity Center dans Mes applications, le mode Fournisseur de services est configuré, vous devriez être redirigé vers la page d’authentification de l’application pour lancer le processus de connexion. Si le mode Fournisseur d’identité est activé, vous devriez être automatiquement connecté à l’application AWS IAM Identity Center pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré AWS IAM Identity Center, vous pouvez appliquer le contrôle de session, qui protège en temps réel contre l’exfiltration et l’infiltration des données sensibles de votre organisation. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.