La fédération d'identité est un système de confiance entre deux parties dans le but d'authentifier les utilisateurs et de transmettre les informations nécessaires pour autoriser leur accès aux ressources. Dans ce système, un fournisseur d'identité (IdP) est responsable de l'authentification des utilisateurs, et un fournisseur de services (SP), tel qu'un service ou une application, contrôle l'accès aux ressources. Conformément à un accord administratif et une configuration, le SP fait confiance à l'IdP pour authentifier les utilisateurs et s'appuie sur les informations fournies par l'IdP à leur sujet. Après avoir authentifié un utilisateur, l'IdP envoie au SP un message, appelé assertion, contenant le nom de connexion de l'utilisateur et d'autres attributs dont le SP a besoin pour établir une session avec l'utilisateur et pour déterminer l'étendue de l'accès aux ressources que le SP doit accorder. La fédération est une approche courante pour créer des systèmes de contrôle d'accès qui gèrent les utilisateurs de manière centralisée au sein d'un IdP central et régissent leur accès à de multiples applications et services agissant en tant que SP.
AWS propose des solutions distinctes pour fédérer vos employés, sous-traitants et partenaires (collaborateurs) vers des comptes AWS et des applications métier, et pour ajouter la prise en charge de la fédération à vos applications Web et mobiles destinées aux clients. AWS prend en charge les normes d'identité ouvertes couramment utilisées, notamment Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) et OAuth 2.0.
Vous pouvez utiliser deux services AWS pour fédérer vos collaborateurs dans des comptes AWS et des applications métier : AWS IAM Identity Center (successeur d'AWS SSO) ou AWS Identity and Access Management (IAM). AWS IAM Identity Center est un excellent choix pour vous aider à définir des autorisations d'accès fédérées pour vos utilisateurs en fonction de leur appartenance à un groupe dans un répertoire centralisé unique. Si vous utilisez plusieurs annuaires, ou souhaitez gérer les autorisations en fonction des attributs de l'utilisateur, considérez AWS IAM comme votre alternative de conception. Pour en savoir plus sur les quotas de service et d'autres considérations de conception dans AWS IAM Identity Center, consultez le guide de l'utilisateur d'AWS IAM Identity Center. Pour les considérations relatives à la conception d'AWS IAM, consultez le guide de l'utilisateur d'AWS IAM.
AWS IAM Identity Center facilite la gestion centralisée de l'accès fédéré à plusieurs comptes AWS et applications métier en offrant aux utilisateurs un accès par authentification unique à tous leurs comptes et applications assignés à partir d'un seul endroit. Vous pouvez utiliser AWS IAM Identity Center pour les identités figurant dans le répertoire des utilisateurs d'AWS IAM Identity Center, dans votre annuaire d'entreprise existant ou dans un IdP externe.
AWS IAM Identity Center fonctionne avec l'IdP de votre choix, tel qu'Okta Universal Directory ou Azure Active Directory (AD) via le protocole SAML 2.0 (Security Assertion Markup Language 2.0). AWS IAM Identity Center exploite de manière fluide les autorisations et les politiques IAM pour les utilisateurs fédérés et les rôles afin de vous aider à gérer l'accès fédéré de manière centralisée sur tous les comptes AWS de votre organisation AWS. Avec AWS IAM Identity Center, vous pouvez attribuer des autorisations en fonction de l'appartenance au groupe dans le répertoire de votre IdP, puis contrôler l'accès de vos utilisateurs en modifiant simplement les utilisateurs et les groupes dans l'IdP. AWS IAM Identity Center prend également en charge la norme SCIM (System for Cross-domain Identity Management) qui permet le provisionnement automatique des utilisateurs et des groupes depuis Azure AD ou Okta Universal Directory vers AWS. AWS IAM Identity Center vous permet de mettre en œuvre facilement le contrôle d'accès basé sur les attributs (ABAC) en définissant des autorisations précises en fonction des attributs utilisateur définis dans votre IdP SAML 2.0. AWS IAM Identity Center vous permet de sélectionner vos attributs ABAC à partir des informations utilisateur synchronisées depuis l'IdP via SCIM ou de transmettre plusieurs attributs, tels que le centre de coûts, le titre ou les paramètres régionaux, dans le cadre d'une assertion SAML 2.0. Vous pouvez définir les autorisations une fois pour toute votre organisation AWS, puis accorder, révoquer ou modifier l'accès AWS en changeant simplement les attributs dans votre IdP. Avec AWS IAM Identity Center, vous pouvez également attribuer des autorisations en fonction de l'appartenance au groupe dans le répertoire de votre IdP, puis contrôler l'accès de vos utilisateurs en modifiant simplement les utilisateurs et les groupes dans l'IdP.
AWS IAM Identity Center peut servir d'IdP pour authentifier les utilisateurs auprès des applications intégrées d'AWS IAM Identity Center et des applications cloud compatibles SAML 2.0, telles que Salesforce, Box et Microsoft 365, à l'aide du répertoire de votre choix. Vous pouvez également utiliser AWS IAM Identity Center pour authentifier les utilisateurs auprès de la console de gestion AWS, de l'application mobile de la console AWS et de l'interface de ligne de commande (CLI) AWS. Pour votre source d'identité, vous pouvez choisir Microsoft Active Directory ou l'annuaire des utilisateurs d'AWS IAM Identity Center.
Pour en savoir plus, consultez le guide de l'utilisateur d'AWS IAM Identity Center, la page de présentation d'AWS IAM Identity Center et explorez les ressources supplémentaires suivantes :
- Article de blog : AWS IAM Identity Center between Okta Universal Directory and AWS
- Article de blog : The Next Evolution in AWS IAM Identity Center
Vous pouvez activer l'accès fédéré aux comptes AWS à l'aide d'AWS Identity and Access Management (IAM). La flexibilité d'AWS IAM vous permet d'activer un SAML 2.0 distinct ou un IdP Open ID Connect (OIDC) pour chaque compte AWS et d'utiliser des attributs utilisateur fédérés pour le contrôle d'accès. Avec AWS IAM, vous pouvez transmettre les attributs utilisateur, tels que le centre de coûts, le titre ou les paramètres régionaux, de vos IdP à AWS, et mettre en œuvre des autorisations d'accès précises basées sur ces attributs. AWS IAM vous aide à définir les autorisations en une seule fois, puis à accorder, révoquer ou modifier l'accès à AWS en changeant simplement les attributs dans l'IdP. Vous pouvez appliquer la même politique d'accès fédéré à plusieurs comptes AWS en mettant en œuvre des politiques IAM gérées personnalisées et réutilisables.
Pour en savoir plus, consultez la section Fournisseurs d'identité IAM et fédération, la page Mise en route avec IAM et explorez les ressources supplémentaires :
- Article de blog : New for Identity Federation – Use Employee Attributes for Access Control in AWS
- Article de blog : How to Implement a General Solution for Federated API/CLI Access Using SAML 2.0
- Article de blog : How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS
- Atelier : Choose Your Own SAML Adventure: A Self-Directed Journey to AWS Identity Federation Mastery
Vous pouvez ajouter la prise en charge de la fédération à vos applications Web et mobiles destinées aux clients à l'aide d'Amazon Cognito. Cette solution AWS permet d'ajouter facilement et rapidement l'inscription et la connexion des utilisateurs ainsi que le contrôle d'accès aux applications Web et mobiles. Amazon Cognito s'adapte à des millions d'utilisateurs et prend en charge la connexion avec les fournisseurs d'identité sociale tels qu'Apple, Facebook, Google et Amazon, et les fournisseurs d'identité d'entreprise via SAML 2.0.
Pour en savoir plus, consultez le guide du développeur Amazon Cognito, la page Démarrer avec Amazon Cognito et explorez les ressources supplémentaires :
- Article de blog : Announcing SAML Support for Amazon Cognito
- Article de blog : Amazon Cognito User Pools supports federation with SAML
- Article de blog : SAML for Your Serverless JavaScript Application: Part I
- Documentation Amazon Cognito