AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

¿Cómo configuro AD FS en una instancia de EC2 de Windows para que funcione con federación para un grupo de usuarios de Cognito?

9 minutos de lectura

Quiero utilizar Servicios de federación de Active Directory (AD FS) como proveedor de identidades (IdP) de Security Assertion Markup Language 2.0 (SAML 2.0) con un grupo de usuarios de Amazon Cognito. Quiero configurar AD FS en una instancia de Windows de Amazon Elastic Compute Cloud (Amazon EC2).

Resolución

Utiliza el Administrador de servidores para configurar un servidor AD FS y un controlador de dominio en una instancia de EC2 de Windows. Para completar la configuración, debes tener un grupo de usuarios de Cognito con un cliente de aplicación y un nombre de dominio de tu propiedad. Si no tienes un dominio, puedes registrar uno nuevo con Amazon Route 53 u otro servicio DNS.

Para más información, consulta ¿Cómo puedo configurar AD FS como proveedor de identidades SAML con un grupo de usuarios de Amazon Cognito?

Configuración de inicio de una instancia de Windows

Sigue estos pasos:

Abre la consola de EC2.
Selecciona Iniciar instancia.
En la página Elegir una imagen de máquina de Amazon (AMI), selecciona una AMI para Windows Server, como la AMI base de Microsoft Windows Server 2025.
Selecciona tu tipo de instancia.
En Pares de claves, selecciona un par de claves existente en la lista desplegable o crea uno nuevo.
Importante: Guarda el archivo .pem de clave privada del par de claves para conectarte a tu instancia de Windows.
En el panel de navegación, elige Crear grupo de seguridad y, a continuación, selecciona Permitir tráfico RDP.
Nota: Para restringir el acceso del Protocolo de escritorio remoto (RDP) a tu instancia solo a direcciones IP específicas, cambia la dirección IP de origen de Cualquier lugar a Mi IP o Personalizada.
Seleccione Iniciar.

Asociación de una dirección IP elástica a la instancia de Windows

Asigna una dirección IP elástica a tu cuenta de AWS. A continuación, asocia tu dirección IP elástica a tu instancia de Windows.

Uso de una dirección IP elástica para crear un registro para un dominio

El dominio de los servicios de dominio de Active Directory (AD DS) debe tener un registro A de dirección IPv4 con una dirección IP elástica como valor. Para crear el registro, usa la dirección IP elástica asociada a tu instancia de Windows.

Instalación de AD DS, IIS y AD FS en la instancia de Windows

Usa tu cliente RDP para conectarte a la instancia de Windows.

Abre el Administrador de servidores en Windows y, a continuación, utiliza el Asistente para agregar roles y características para instalar los siguientes roles:

Servicios de dominio de Active Directory
Servicios de federación de Active Directory
Servicios de información de Internet (IIS)

Para más información, consulta Instalación o desinstalación de roles, servicios de rol o características en el sitio web de Microsoft.

Configuración de AD DS en una instancia de Windows

Para configurar AD DS, utiliza el Asistente de configuración de los servicios de dominio de Active Directory en el Administrador de servidores. En la página Configuración de despliegue, introduce tu dominio, por ejemplo, ejemplo.com. Tras completar la instalación de la configuración, Windows te notifica que estás a punto de cerrar la sesión. Cuando se reinicie el servidor, usa tu cliente RDP para conectarte a tu instancia de Windows.

Para obtener más información, consulta Instalación de los servicios de dominio de Active Directory en el sitio web de Microsoft.

Configuración de la vinculación de sitios HTTP en IIS

En el Administrador de servidores, utiliza IIS para editar la vinculación de sitios HTTP de tu sitio web. Para más información, consulta Cómo agregar información de vinculación a un sitio en el sitio web de Microsoft.

Importante: Al editar la vinculación HTTP en IIS, introduce el nombre de tu dominio para nombre de host, por ejemplo, ejemplo.com. No cambies la dirección IP (Todas sin asignar) ni el puerto (80).

Configuración de una instancia de Windows para permitir la descarga de archivos

Consulta ¿Cómo puedo configurar una instancia de Windows de EC2 para permitir la descarga de archivos a través de Internet Explorer?

Solicitud de un certificado digital para un dominio

Se requiere un certificado de servidor SSL/TLS para la vinculación HTTPS. Para solicitar un certificado de terceros para tu dominio, usa una herramienta de creación de certificados de terceros de confianza.

Para más información, consulta Elección de un certificado en el sitio web de Microsoft.

(Opcional) Configuración de la vinculación de sitios HTTPS en IIS

Si la herramienta de creación de certificados que usas no agrega automáticamente la vinculación de sitios HTTPS en IIS, agrega la vinculación de sitio manualmente.

Para más información, consulta Creación de una vinculación SSL en el sitio web de Microsoft.

Configuración de AD FS en una instancia de Windows

Para configurar la instancia de Windows como servidor de federación, utiliza el Asistente de configuración del servidor de federación AD FS en el Administrador de servidores.

Para obtener más información, consulta Preparación y despliegue de los Servicios de federación de Active Directory: confianza de certificados locales en el sitio web de Microsoft.

En la página Especificar cuenta de servicio, en Seleccionar usuario o cuenta de servicio, elige el usuario que se llama Administrador. A continuación, introduce la contraseña que utilizaste para que RDP se conectara a la instancia de Windows.

Creación de un usuario en Active Directory

Para crear un nuevo usuario en Active Directory, utiliza la herramienta Usuarios y equipos de Active Directory. Agrega el nuevo usuario al grupo Administradores.

Para más información, consulta Creación de un usuario e incorporación de este a un grupo en el sitio web de Microsoft.

Adición de una dirección de correo electrónico para un usuario de Active Directory

Sigue estos pasos:

En la herramienta Usuarios y equipos de Active Directory, abre (haz doble clic en) Usuarios para ver la lista de usuarios.
En la lista de usuarios, busca el usuario que has creado. Abre (haz clic con el botón derecho del ratón sobre) el usuario para abrir el menú contextual y, a continuación, selecciona Propiedades.
En la ventana Propiedades, en nombre de usuario, introduce una dirección de correo electrónico válida para el usuario. Esta dirección de correo electrónico se incluye en la aserción SAML.

Para más información, consulta la página de propiedades General en el sitio web de Microsoft.

Añadir una relación de confianza para usuario autenticado compatible con notificaciones en AD FS

En el Administrador del servidor, ve a Administración de herramientas de AD FS. Para agregar una relación de confianza para usuario autenticado compatible con notificaciones, utiliza el Asistente para agregar relación de confianza para usuario autenticado.

En la página Configurar URL del asistente, selecciona Activar soporte para el protocolo SAML 2.0 WebSSO. Para URL de servicio SAML 2.0 SSO del usuario autenticado, introduce una URL de punto de enlace de consumidor de aserción, como https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse. Sustituye yourDomainPrefix por el prefijo de dominio de tu grupo de usuarios de Cognito. Sustituye Region por la región de AWS del grupo de usuarios.

En la página Configurar identificadores del asistente, para Identificador de relación de confianza para un usuario autenticado, introduce el URN urn:amazon:cognito:sp:yourUserPoolID. Sustituye yourUserPoolID por el ID de tu grupo de usuarios de Cognito.

Para obtener más información, consulta Uso de proveedores de identidad SAML con un grupo de usuarios y Creación manual de una relación de confianza para usuario autenticado compatible con notificaciones en el sitio web de Microsoft.

Edición de la política de emisión de notificaciones de la aplicación en AD FS

Utiliza el Asistente para agregar relación de confianza para usuario autenticado para agregar una regla a la confianza y enviar los atributos de LDAP como notificaciones.

En la página Regla de configuración, sigue estos pasos:

En Nombre de la regla de notificación, introduce Correo electrónico.
En Almacén de atributos, elige Active Directory.
En Atributo LDAP, elige Direcciones de correo electrónico.
En Tipo de notificación saliente, selecciona Dirección de correo electrónico.

Para más información, consulta Creación de una regla para enviar atributos LDAP como notificaciones para una Relación de confianza para usuario autenticado en Windows Server 2016 en el sitio web de Microsoft.

Nota: Asigna la dirección de correo electrónico entrante de Active Directory a la notificación de ID de nombre saliente. Las notificaciones de ID de correo electrónico e ID de nombre aparecen como la dirección de correo electrónico del usuario en la aserción SAML de la respuesta SAML. A continuación, crea una regla para enviar los atributos de LDAP como notificaciones en su lugar.

Para más información, consulta Creación de una regla para enviar atributos LDAP como notificaciones a Windows Server 2012 R2 en el sitio web de Microsoft.

Probar la URL de metadatos del IdP SAML para el servidor

Introduce la URL del punto de enlace del documento de metadatos https://example.com/federationmetadata/2007-06/federationmetadata.xml en tu navegador web con tu dominio.

Si se te pide que descargues el archivo federationmetadata.xml, significa que has configurado todo correctamente. Anota la URL que has utilizado o descarga el archivo .xml. Debes usar la URL o el archivo para configurar SAML en la consola de Cognito.

Para obtener más información, consulta Configuración del proveedor de identidades SAML de terceros.

Configuración de AD FS como un IdP SAML en Cognito

Para obtener instrucciones sobre cómo configurar AD FS como IdP SAML en Cognito, consulta Paso 4: Completa la configuración de Amazon Cognito en Simplificar la autenticación de aplicaciones web: Guía sobre la federación de AD FS con grupos de usuarios de Amazon Cognito.

Información relacionada

Inicio de sesión en grupos de usuarios con proveedores de identidad de terceros

Introducción a Amazon EC2

Pares de claves e instancias de Amazon EC2

Grupos de seguridad de Amazon EC2 para las instancias de EC2

Reglas de grupos de seguridad para diferentes casos prácticos

Temas: Security, Identity, & Compliance
Etiquetas: Amazon Cognito
Idioma: Español

OFICIAL DE AWSActualizada hace 7 meses

Sin comentarios

Contenido relevante

Actualizar nivel funcional AD
Hasier
preguntada hace 6 meses
Autenticación de usuarios en chat en Amazon Connect
Eric Vega
preguntada hace un año
Cognito lang=es
Daniel
preguntada hace 7 meses
¿Porque el grupo destino en una instancia EC2 se desvincula?
LuisRodriguez
preguntada hace 6 meses
Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace 2 meses
¿Cómo configuro AD FS como proveedor de identidades SAML con un grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo concedo a mis usuarios de Active Directory acceso a la API o a la AWS CLI con AD FS?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo configurar un proveedor de identidades SAML de terceros con un grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo vincular o desvincular usuarios federados externos con usuarios nativos de Cognito?
OFICIAL DE AWSActualizada hace 5 meses