fr
Divers

Comment se connecter à AWS directement d’Office 365

Dans cet article, je vais décrire, étape par étape, comment utiliser vos informations d’Office365 pour vous connecter à votre compte AWS et comment attribuer des autorisations AWS à vos utilisateurs Office365 actuels. Je suppose que vous avez déjà (1) un abonnement Office 365 et (2) un compte AWS.


1. Se connecter à Azure Active Directory

a) Sur Office 365, cliquez sur les points dans le coin et sélectionnez Admin.

b) Sélectionnez Azure Active Directory sous Admin Centers

c) Dans le portail Azure, sélectionnez Azure Active Directory. Alternativement, vous pouvez aller à https://aad.portal.azure.com/ dans votre navigateur pour accéder directement à Azure Active Directory.


2. Créer une application d’entreprise AWS

a) Sélectionnez Entreprise applications dans le menu à gauche

b) Cliquez sur + New Application dans le panneau principal

c) Tapez Amazon Web Services sous « Add from the gallery« , puis sélectionnez Amazon Web Services (AWS)

d) Cliquez sur Add


3. Télécharger les métadonnées XML

a) Cliquez sur 2. Set up single sign on

b) Sélectionnez SAML comme méthode d’authentification

c) Sous 3. SAML Signing Certificate, cliquez sur Federation Metadata XML > Download et sauvegardez le fichier comme metadata.xml


4. Créer des rôles dans AWS

Pour cette démonstration, nous allons créer un rôle azure.admin comme administrateur et un rôle azure.reader comme usager. N’hésitez pas à créer des rôles différents si nécessaire.

a) Connectez-vous à AWS et accédez à IAM

b) Dans le menu à gauche, cliquez sur Identity Providers

c) Cliquez sur Create Provider, sélectionnez SAML comme type de provider, entrez un nom, et sélectionnez metadata.xml pour le document de métadonnées. Puis cliquez sur Next Step et Create.

d) Dans le menu à gauche, sélectionnez Roles, puis Create role. Pour notre rôle d’administrateur, nous choisissons SAML 2.0 federation, ainsi que le provider crée à l’étape c) avec Programmatic and console access. Puis nous cliquons sur Next:Permissions, sélectionnons AdministratorAccess, puis cliquons sur Next:Tags, puis sur Next:Review. Finalement, nous nommons le role comme azure.admin et sélectionnons Create role.

e) Pour notre usager régulier, nous créons un autre rôle avec SAML 2.0 federation, Programmatic and console access, la police ViewOnlyAccess, et nous nommons le rôle azure.reader.


5. Créer un utilisateur AzureAAD pour télécharger les rôles

a) Dans IAM, sélectionnez Users dans le menu à gauche, puis Add User

b) Entrez AzureAAD comme nom d’usager, et sélectionnez Programmatic Access. Cliquez sur Next:Permissions, puis Next:Tags, puis sur Next:Review, et finalement sur Create user. Vous devriez recevoir un avertissement indiquant que cet utilisateur ne dispose d’aucune autorisation.

c) Copiez l’ID de la clé d’accès et la Clé d’accès secrète affichés après la création de l’utilisateur.

d) Retournez à IAM > Users > AzureAAD, puis cliquez sur l’onglet Permissions, et + Add Inline Policy. Dans l’onglet JSON, copiez la police suivante, puis cliquez sur Review Policy, nommez la police AzureAAD.Policy et cliquez sur Create Policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        }
    ]
}

6. Configurer Azure

a) Dans Azure Active Directory > Enterprise Applications > Amazon Web Services, cliquez sur Provisioning, puis sur Get Started.

b) Sélectionnez Automatic comme mode de provisionnement, puis entrez l’ID de la clé d’accès et la clé d’accès secrète de l’usager AzureAAD comme clientsecret et secret token. Cliquez sur Test Connection pour valider les informations. Finalement, cliquez sur Save.

c) Cliquez sur Provisioning dans le menu à gauche, puis sur Start Provisioning.

d) Après plusieurs minutes, vous devriez voir les rôles importés. Si cela ne fonctionne pas, modifiez le provisionnement et basculez l’état sur Off, puis sur On, puis cliquez sur Actualiser.


7. Attribuer des rôles aux utilisateurs

a) Dans Azure Active Directory > Enterprise Applications > Amazon Web Services, cliquez sur Users and groups, puis sur +Add User.

b) Sélectionner l’usager qui peut se connecter à AWS et l’un des rôles auquel il a droit. Pour ajouter un autre rôle au même utilisateur, cliquez à nouveau sur ajouter un utilisateur et sélectionnez le deuxième rôle.

Note: Si vous ne voyez que le rôle Default Access, essayez de vous ajouter en tant que propriétaire de l’application, désactivez/réactivez le provisionnement et actualisez son état. Cela peut prendre plusieurs minutes pour que cela fonctionne. N’oubliez pas de vous retirer ensuite en tant que propriétaire de l’application.


8. Se connecter à l’aide de l’icône AWS

a) Les utiliseurs assignées devraient pouvoir se connecter en utilisant l’icône AWS sur leur tableau de bord

b) Si plusieurs rôles leur ont été attribués, ils devraient avoir un menu pour décider quel rôle assumer lors de leur connexion.