¿Cómo configuro Okta como proveedor de identidades de SAML en un grupo de usuarios de Amazon Cognito?

Descripción breve

La integración del IdP de SAML de Okta con Amazon Cognito requiere la configuración en ambas plataformas. En primer lugar, debes crear y configurar una integración de la aplicación SAML en Okta. A continuación, añade Okta como IdP al grupo de usuarios de Amazon Cognito y configura el cliente de la aplicación para permitir la autenticación de Okta. Tras la configuración, se recomienda probar el flujo de autenticación para confirmar que los usuarios reciben los tokens de Amazon Cognito después de iniciar sesión a través de Okta.

Resolución

Antes de configurar Okta como un IdP de SAML, sigue estos pasos:

• Crea un grupo de usuarios de Amazon Cognito y un cliente de la aplicación.
• Configura un nombre de dominio para el grupo de usuarios.

(Opcional) Registrarse para obtener una cuenta de desarrollador de Okta

Nota: Si ya tienes una cuenta de desarrollador de Okta, inicia sesión.

Sigue estos pasos:

1. Abre la página de registro para desarrolladores de Okta en el sitio web para desarrolladores de Okta.
2. Introduce la información necesaria y, a continuación, selecciona Sign up (Registrarse). Okta envía un correo electrónico de verificación a la dirección de correo electrónico que proporciones.
3. En el correo electrónico de verificación, busca la información de inicio de sesión de la cuenta.
4. Elige Activate account (Activar cuenta) y, a continuación, inicia sesión para terminar de crear la cuenta.

Creación de una aplicación SAML y configuración de la integración de SAML para la aplicación de Okta

Sigue estos pasos:

1. Abre la consola para desarrolladores de Okta.
2. En el panel de navegación, expande Applications (Aplicaciones) y, a continuación, selecciona Applications (Aplicaciones).
3. Elige Create App Integration (Crear integración de la aplicación).
4. En el menú Create a new app integration (Crear una nueva integración de la aplicación), elige SAML 2.0 en Sign-in method (Método de inicio de sesión).
5. Selecciona Next (Siguiente).
6. En la página Create SAML Integration (Crear integración de SAML), en General Settings (Configuración general), introduce un nombre para la aplicación.
7. (Opcional) Sube un logotipo y elige la configuración de visibilidad de la aplicación.
8. Selecciona Next (Siguiente).
9. En SAML Settings (Configuración de SAML), en Single sign on URL (URL de inicio de sesión único), escribe https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Nota: Sustituye yourDomainPrefix y region por los valores de tu grupo de usuarios. Para encontrar estos valores, abre la consola de Amazon Cognito y, a continuación, selecciona Dominio en la sección Branding (Marca).
10. Para Audience URI (SP Entity ID) (URI de audiencia [ID de entidad SP]), escribe urn:amazon:cognito:sp:yourUserPoolId.
    Nota: Sustituye yourUserPoolId por el identificador del grupo de usuarios. Para encontrar el ID del grupo de usuarios, consulta la sección Información general de la consola de Amazon Cognito.
11. En Attribute Statements (optional) (Instrucciones de atributos [opcional]), añade una instrucción y usa la siguiente información:
    En Nombre, introduce el nombre del atributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    En Valor, introduce user.email.
    Para las demás opciones de configuración de la página, usa los valores predeterminados o ajústalos según tus necesidades.
12. Selecciona Next (Siguiente).
13. Cuando se te pida, elige una respuesta de comentario sobre la experiencia de configuración de la aplicación.
    Nota: Esto forma parte del proceso estándar de creación de aplicaciones de Okta para recopilar comentarios sobre la experiencia del usuario.
14. Selecciona Finalizar.

Asignación de un usuario a la aplicación de Okta

Sigue estos pasos:

1. En la pestaña Assignments (Asiganaciones) de la aplicación de Okta, en Assign (Asignar), selecciona Assign to People (Asignar a personas).
2. Selecciona Assign (Asignar) junto al usuario que desees asignar.
   Nota: Si se trata de una cuenta nueva, solo puedes elegirte a ti mismo como usuario.
3. (Opcional) En User Name (Nombre de usuario), introduce un nombre de usuario personalizado. Okta usa la dirección de correo electrónico del usuario como nombre de usuario si no especificas ninguna.
4. Selecciona Save and Go Back (Guardar y volver) para completar la asignación de usuario.
5. Selecciona Done (Listo).

Obtención de los metadatos del IdP para la aplicación de Okta

En la pestaña Sign On (Iniciar sesión) de la aplicación de Okta, en Metadata details (Detalles de metadatos), copia el valor de Metadata URL (URL de los metadatos).

Configuración de Okta como un IdP de SAML en el grupo de usuarios

Sigue estos pasos:

1. Abre la consola de Amazon Cognito.
2. Elige tu grupo de usuarios.
3. En el panel de navegación, en Autenticación, elige Social and external providers (Proveedores externos y sociales).
4. Elige Add identity provider (Añadir proveedor de identidades) y, a continuación, selecciona SAML.
5. En Register your app with your SAML provider (Registra tu aplicación con tu proveedor de SAML), en Provider name (Nombre del proveedor), introduce Okta.
6. (Opcional) Añade identificadores de SAML para enviar las solicitudes de inicio y cierre de sesión a Okta.
7. (Opcional) Activa el cierre de sesión único para cerrar la sesión de los usuarios en Okta cuando cierren sesión en el grupo de usuarios.
8. En Metadata document source (Origen del documento de metadatos), selecciona Enter metadata document endpoint URL (Introducir la URL del punto de enlace del documento de metadatos) y, a continuación, pega el valor de Metadata URL (URL de metadatos) que copiaste en la pestaña Sign On (Inicio de sesión) de Okta.
9. En Map attributes between your SAML provider and your user pool (Asignar atributos entre el proveedor de SAML y el grupo de usuarios), especifica el correo electrónico para el atributo de SAML.
10. Selecciona Add identity provider (Añadir proveedor de identidades).

Para obtener más información, consulta Adición y administración de proveedores de identidad de SAML a un grupo de usuarios.

Cambio de la configuración del cliente de la aplicación para el grupo de usuarios

Sigue estos pasos:

1. En la consola de Amazon Cognito, en Clientes de aplicación, elige tu grupo de usuarios.
2. En el panel de navegación, en Aplicaciones, elige Clientes de aplicación.
3. En la página del cliente de la aplicación, ve a la sección Login pages (Páginas de inicio de sesión). A continuación, en Managed login pages configuration (Configuración de páginas de inicio de sesión administradas), elige Edit (Editar).
4. En la lista desplegable Identity Providers (Proveedores de identidades), selecciona Okta y Cognito User Pool (Grupo de usuarios de Cognito).
   En Callback URL(s) (URL de devolución de llamada), especifica la URL de destino de los usuarios después de iniciar sesión correctamente.
   En Sign out URL(s) (URL de cierre de sesión), especifica la URL de destino de los usuarios después de cerrar sesión.
   Nota: Si quieres probar la integración, usa una URL de marcador de posición, como https://www.ejemplo.com/. Más adelante, podrás actualizar este marcador de posición con la URL de la aplicación.
   En Allowed OAuth Flows (Flujos de OAuth permitidos), selecciona Implicit grant (Concesión implícita).
   En Allowed OAuth Scopes (Ámbitos de OAuth permitidos), selecciona email y openid.
5. Selecciona Save changes (Guardar cambios).

Para obtener más información, consulta Condiciones del cliente de aplicación.

Acceso a la página de inicio de sesión para probar el flujo de autenticación de SAML

Puedes acceder a la página de inicio de sesión a través de la consola de Amazon Cognito o crear una URL de punto de enlace de inicio de sesión.

1. En la consola de Amazon Cognito, en Clientes de aplicación, elige tu grupo de usuarios.
2. Selecciona la pestaña Login pages (Páginas de inicio de sesión) y, a continuación, elige View login page (Ver página de inicio de sesión).
   Alternativa:
   Crea la URL del punto de enlace de inicio de sesión. Para crear el punto de enlace de inicio de sesión, utiliza el siguiente patrón de nomenclatura:
   https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl
   Nota: Sustituye yourDomainPrefix y region por los valores de tu grupo de usuarios. Para encontrar estos valores en la consola de Amazon Cognito, selecciona la página Domain name (Nombre de dominio).
3. En la página web del punto de enlace de inicio de sesión, selecciona Okta.
   Nota: Si el sistema te redirige a la URL de devolución de llamada del cliente de la aplicación, significa que ya has iniciado sesión en la cuenta de Okta. Continúa con el paso 5.
4. En la página Sign In (Inicio de sesión) de Okta, introduce el nombre de usuario y la contraseña del usuario que asignaste a la aplicación.
5. Selecciona Sign in (Iniciar sesión).
6. Busca los tokens del grupo de usuarios en la barra de direcciones del navegador.

(Opcional) Omitir la interfaz de usuario alojada en Amazon Cognito

Para omitir la interfaz de usuario web alojada en Amazon Cognito y enviar a los usuarios directamente a Okta para que inicien sesión, utiliza la siguiente URL del punto de enlace /oauth2/authorize:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Nota: Sustituye yourDomainPrefix, region, samlProviderName, yourClientId, redirectUrl y allowedOauthScopes por tus valores. Para encontrar los valores de yourDomainPrefix y region, en la consola de Amazon Cognito, selecciona Dominio en la sección Branding (Marca). En yourClientId y redirectUrl, elige la página de configuración del cliente de la aplicación en la consola de Amazon Cognito.

(Opcional) Si has añadido un identificador de SAML, sustituye el marcador de posición identity_provider=samlProviderName por idp_identifier=idpIdentifier. Sustituye idpIdentifier por la cadena del identificador personalizado.

Información relacionada

Inicio de sesión SAML en grupos de usuarios de Amazon Cognito

¿Cómo puedo configurar un proveedor de identidades SAML de terceros con un grupo de usuarios de Amazon Cognito?

¿Cómo configuro Okta como proveedor de identidades de OpenID Connect en un grupo de usuarios de Amazon Cognito?

Inicio de sesión en el grupo de usuarios con proveedores de identidad externos