¿Cómo configuro un equilibrador de carga de aplicación para autenticar a los usuarios a través de un grupo de usuarios de Amazon Cognito?

Descripción corta

Para configurar la autenticación de usuarios con un equilibrador de carga de aplicación y un grupo de usuarios de Amazon Cognito, sigue estos pasos:

1. Crea un equilibrador de carga de aplicación.
2. Obtén el nombre de DNS del equilibrador de carga de aplicación.
3. Crea y configura un grupo de usuarios de Amazon Cognito.
4. Configura el equilibrador de carga de aplicación.
5. Prueba la configuración.

Resolución

Creación de un equilibrador de carga de aplicación

Nota: Si ya has configurado un equilibrador de carga de aplicación, continúa con la sección Obtención del nombre de DNS del equilibrador de carga de aplicación.

Sigue estos pasos:

1. Crea un equilibrador de carga de aplicación.
2. Crea un agente de escucha HTTPS para el equilibrador de carga de aplicación.

Nota: Solo los agentes de escucha HTTPS admiten los tipos de acción de reglas authenticate-cognito y authenticate-oidc.

Obtención del nombre de DNS del equilibrador de carga de aplicación

Sigue estos pasos:

1. Abre la consola de Amazon Elastic Compute Cloud (Amazon EC2).
2. En el panel de navegación, en Equilibrio de carga, selecciona Equilibradores de carga.
3. Selecciona tu equilibrador de carga de aplicación.
4. En la pestaña Detalles, anota el nombre de DNS de tu equilibrador de carga para usarlo en un paso posterior.

Creación y configuración de un grupo de usuarios de Amazon Cognito

Sigue estos pasos:

1. Abre la consola de Amazon Cognito.
2. En el panel de navegación, selecciona Crear un grupo de usuarios.
   Nota: Al crear el grupo de usuarios, configura los ajustes que desees para la producción. Después de crear el grupo de usuarios, no puedes cambiar algunos ajustes del grupo de usuarios. Para obtener más información, consulta ¿Cómo puedo cambiar los atributos de un grupo de usuarios de Amazon Cognito después de crearlo?
3. Configura un cliente de aplicación para tu grupo de usuarios.
   Cuando configures el cliente de aplicación, selecciona el botón de opción Generar un secreto de cliente. Para obtener más información, consulta Prepararse para utilizar Amazon Cognito.
4. En el panel de navegación, selecciona Grupos de usuarios y, a continuación, selecciona tu grupo de usuarios. Anota el ID del grupo de usuarios que utilizarás en un paso posterior.
5. Selecciona la pestaña Integración de aplicaciones de tu grupo de usuarios y, a continuación, agrega un dominio para el grupo de usuarios.
6. En la pestaña Integración de aplicaciones del grupo de usuarios, selecciona el cliente de la aplicación en la sección Clientes de aplicaciones y análisis.
7. En la página del cliente de la aplicación, en Información del cliente de la aplicación, anota el ID de cliente que se utilizará en un paso posterior.
8. En la sección Interfaz de usuario alojada, selecciona Editar.
9. Selecciona Agregar URL de devolución de llamada y, a continuación, escribe https://load-balancer-dns-name/oauth2/idpresponse con tu nombre de DNS.  Si usaste un registro CNAME para asignar un dominio personalizado al equilibrador de carga de aplicación, escribe https://CNAME/oauth2/idpresponse con tu nombre de dominio personalizado.
   Nota: El nombre de DNS no puede contener letras mayúsculas.
10. Selecciona Agregar URL de cierre de sesión y, a continuación, introduce una URL a la que quieras redirigir a los usuarios una vez que cierren sesión. Para probar la redirección, puedes introducir cualquier URL válida, como https://ejemplo.com/.
11. En Proveedores de identidad, selecciona Grupo de usuarios de Cognito.
12. En Tipos de concesión OAuth 2.0, selecciona Concesión de código de autorización. Selecciona tipos de concesión de OAuth adicionales para tu caso práctico.
13. En Ámbitos de OpenID Connect, selecciona OpenID. El ámbito de OpenID devuelve un token de ID. Selecciona ámbitos adicionales de OpenID Connect (OIDC) para tu caso práctico.
14. Selecciona Guardar cambios.

Para obtener más información, consulta Actualización de la configuración del grupo de usuarios y del cliente de aplicación y Inicio de sesión del grupo de usuarios con proveedores de identidades de terceros.

Configuración del equilibrador de carga de aplicación

Sigue estos pasos:

1. Abre la consola de Amazon EC2.
2. En el panel de navegación, en Equilibrio de carga, selecciona Equilibradores de carga.
3. Selecciona tu equilibrador de carga de aplicación.
4. En la pestaña Agentes de escucha y reglas, selecciona el protocolo HTTPS.
5. Selecciona Administrar reglas y, a continuación, Editar reglas.
6. En la sección Reglas de los agentes de escucha, selecciona la regla predeterminada que deseas actualizar.
7. Elige Acción y, a continuación, Editar reglas.
8. Configura los siguientes ajustes para la regla predeterminada del agente de escucha HTTPS:
   En Autenticación, selecciona Utilizar OpenID o Amazon Cognito.
   En Proveedor de identidad, selecciona Amazon Cognito.
   En Grupo de usuarios, selecciona tu ID de grupo de usuarios.
   En Cliente de aplicación, selecciona tu ID de cliente.
   Amplía Configuración avanzada de autenticación.
   Asigna un nombre a la cookie de sesión.
   Establece el tiempo de espera de la sesión. El valor predeterminado es de 7 días.
   En Ámbito, introduce los ámbitos que has configurado para tu cliente de aplicación de grupo de usuarios, separados por espacios. Puedes encontrar los ámbitos en la configuración de OIDC de tu grupo de usuarios. Por ejemplo, si el valor scopes_supported es ["openid","email","phone","profile"], introduce openid email phone profile.
   En Acción en solicitud sin autenticar, mantén el valor predeterminado.
   (Opcional) Amplía los parámetros de solicitud adicionales: opcional para agregar parámetros a un proveedor de identidad, como Cognito, durante la autenticación. Por ejemplo, si el grupo de usuarios de Cognito tiene a Google como su propio proveedor de identidades, puedes agregar un parámetro adicional {Key: identity_provider, Value: Google}. Para obtener más información sobre los parámetros de solicitud, consulta Parámetros de solicitud.
   En Acciones de enrutamiento, selecciona Reenviar al grupo de destino y, a continuación, selecciona grupos de destino.
   (Opcional) En Persistencia del grupo de destino, selecciona Activar la persistencia del grupo de destino cuando tu caso práctico lo requiera.
9. Configura los siguientes ajustes de agente de escucha seguro:
   En Política de seguridad, selecciona la política de seguridad adecuada para tu caso práctico.
   En Certificado de servidor SSL/TLS predeterminado, selecciona el origen del certificado.
10. Selecciona Guardar cambios.

Prueba de la configuración

En el navegador web, introduce una de las siguientes URL:

• https://nombre-de-dns-del-equilibrador-de-carga/
• https://CNAME/

Nota: Sustituye load-balancer-dns-name por tu nombre de DNS y CNAME por tu dominio personalizado.

Al introducir la URL, se te redirigirá a la interfaz de usuario web alojada en Amazon Cognito de tu grupo de usuarios. Una vez que los usuarios inicien sesión y el grupo de usuarios los autentique, se redirigirán al destino.

Información relacionada

Introducción a los equilibradores de carga de aplicación

Simplify login with Application Load Balancer built-in authentication (Simplificación del inicio de sesión con la autenticación integrada del equilibrador de carga de aplicación)

Listener rules for your Application Load Balancer (Reglas del agente de escucha para tu equilibrador de carga de aplicación)

Flujo de autenticación de proveedores de identidad (IdP) de grupos de usuarios OIDC