¿Cómo utilizo un IdP de terceros para configurar IAM Identity Center para mi grupo de usuarios de Amazon Cognito?

7 minutos de lectura

Quiero usar un proveedor de identidades (IdP) de terceros para configurar AWS IAM Identity Center para mi grupo de usuarios de Amazon Cognito.

Resolución

Uso de un cliente de aplicación y un nombre de dominio para crear un grupo de usuarios de Amazon Cognito

Nota: Si tienes un grupo de usuarios que tiene un cliente de aplicación, ve a la sección Activar IAM Identity Center y agregar un usuario.

Sigue estos pasos:

Crea una nueva aplicación.
Crea un dominio de prefijo de Amazon Cognito con el formato: https://cognitoexample.auth.region.amazoncognito.com. O bien, crea un dominio personalizado. Para obtener más información, consulta Configuración de un dominio de grupo de usuarios.
(Opcional) Aplica tu marca a las páginas de inicio de sesión administradas.

Activar IAM Identity Center y agregar un usuario

Nota: Si tienes un entorno de IAM Identity Center que funcione, ve a la sección Configuración de una aplicación SAML.

Sigue estos pasos:

Revisa los requisitos previos y las consideraciones de IAM Identity Center.
Activa IAM Identity Center.
Nota: Para el tipo de instancia, debes elegir una instancia organizativa de IAM Identity Center que crees en la cuenta de administración de AWS Organizations.
Confirma el origen de la identidad y, a continuación, crea un usuario.

Configuración de una aplicación SAML

Sigue estos pasos:

Abre la consola de IAM Identity Center.
En el panel de navegación, selecciona Aplicaciones.
Selecciona Agregar aplicación y, a continuación, selecciona Tengo una aplicación que quiero configurar en Preferencia de configuración.
En Tipo de aplicación, selecciona SAML 2.0 y, a continuación, elige Siguiente.
En la página Configurar la aplicación, introduce un nombre de visualización y una descripción.
Anota la URL del archivo de metadatos SAML de IAM Identity Center o elige el hipervínculo Descargar para descargar el archivo.
En Metadatos de la aplicación, elige Escribir manualmente los valores de los metadatos. A continuación, introduce los siguientes valores:
Para ver la URL del Servicio de consumidor de aserciones (ACS) de la aplicación, introduce https://domain-prefix.auth.region.amazoncognito.com/saml2/idpresponse.
En Público SAML de la aplicación, introduce urn:amazon:cognito:sp:userpool-id.
Nota: Sustituye domain-prefix por el prefijo de tu dominio, region por tu región de AWS y userpool-id por tu ID de grupo de usuarios.
Selecciona Enviar.
En la página de detalles de la aplicación, selecciona la lista desplegable Acciones.
Selecciona Editar asignaciones de atributos y, a continuación, introduce los siguientes atributos:
En Atributo de usuario de la aplicación, mantén el asunto predeterminado.
En Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center, introduce ${user:subject}.
En Formato, introduce Persistente.
En Atributo de usuario de la aplicación, introduce el correo electrónico.
En Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center, introduce ${user:email}.
En Formato, introduce Básico.
Nota: IAM Identity Center envía las asignaciones de atributos a Amazon Cognito cuando inicias sesión. Asegúrate de asignar todos los atributos obligatorios del grupo de usuarios. Para obtener más información sobre los atributos de asignación disponibles, consulta Atributos de proveedores de identidades externos compatibles.
Selecciona Enviar.
En la sección Usuarios y grupos asignados, elige Asignar usuarios y grupos.
Busca tu usuario y, a continuación, selecciona Asignar.

Configurar IAM Identity Center como un IdP SAML en tu grupo de usuarios

Para configurar un IdP de SAML en tu grupo de usuarios, consulta Adición y administración de proveedores de identidades SAML en un grupo de usuarios. Cuando especifiques una asignación de atributos de un proveedor de SAML, introduce un correo electrónico válido en el campo de atributos de SAML. En Atributo de grupo de usuarios, selecciona correo electrónico.

Para obtener información sobre los nombres e identificadores de los proveedores, consulta Nombres e identificadores de los proveedores de identidades SAML.

Uso del cliente de aplicación del grupo de usuarios para integrar el proveedor de identidades

Sigue estos pasos:

Abre la consola de Amazon Cognito.
En el panel de navegación, elige Grupos de usuarios.
En Aplicaciones, elige Clientes de aplicaciones.
Selecciona un cliente de aplicación.
En la sección Páginas de inicio de sesión, selecciona Editar.
En la sección Proveedores de identidades, selecciona tu IdP.
Selecciona Guardar cambios.

Prueba de la configuración

Para probar un inicio de sesión iniciado por un proveedor de servicios (SP), sigue estos pasos:

Abre la consola de Amazon Cognito y, a continuación, selecciona Ver página de inicio de sesión en la pestaña Páginas de inicio de sesión del cliente de aplicación. O bien, crea la URL del punto de enlace de inicio de sesión. Usa el siguiente patrón de nombres de ejemplo y sustituye los valores del ejemplo por tus valores:
https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com
En Tipos de concesión de OAuth 2.0, selecciona Concesión implícita. A continuación, establece response_type en token en la URL de solicitud.
En la pestaña Páginas de inicio de sesión, selecciona el IdP de IAM Identity Center.
Si el navegador te redirige a la URL de devolución de llamada del cliente de aplicación, significa que has iniciado sesión correctamente como usuario. Los tokens del grupo de usuarios aparecen en la URL de la barra de direcciones del navegador web.
Nota: Para omitir este paso, crea una URL de punto de enlace de autorización que tenga el siguiente patrón de nomenclatura:
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes
Introduce las credenciales de usuario y, a continuación, selecciona Iniciar sesión.

Cuando Amazon Cognito te redirige a la URL de devolución de llamada con un código o un token, la configuración está completa.

Para comprobar el inicio de sesión iniciado por el proveedor de identidades (IdP), sigue estos pasos:

Abre la consola de Amazon Cognito.
En el panel de navegación, selecciona Grupos de usuarios y, a continuación, selecciona tu grupo de usuarios.
En el panel de navegación, elige Proveedor externo y social.
Selecciona tu IdP y, a continuación, elige Editar en la sección Información del proveedor de identidades.
En la sección Inicio de sesión SAML iniciado por el IdP, elige Aceptar aserciones SAML iniciadas por el SP y por el IdP.
Nota: Puedes agregar otros proveedores de SAML a un cliente de aplicación que acepte un proveedor de SAML con un inicio de sesión iniciado por un IdP. Elimina otros proveedores sociales o de OpenID Connect (OIDC) o directorios de grupos de usuarios de Cognito del cliente de aplicación.
Selecciona Guardar cambios.
Abre la consola de IAM Identity Center y, a continuación, selecciona tu aplicación SAML 2.0.
Selecciona el menú desplegable Acciones y, a continuación, selecciona Editar configuración.
En Propiedades de la aplicación, agrega el siguiente valor de estado de retransmisión:
identity_provider=identity-provider-name&client_id=app-client-id&redirect_uri=callback-url&response_type=token&scope=openid+email
Nota: Sustituye los valores del ejemplo por tus valores.
Selecciona Enviar.
En el panel de navegación, selecciona Configuración.
En la sección Origen de la identidad, copia la URL del portal de acceso de AWS y ábrela en tu navegador.
Introduce las credenciales de usuario y, a continuación, selecciona Iniciar sesión.
Selecciona la aplicación Cognito.

Si Amazon Cognito te redirige a la URL de devolución de llamada con un código o un token, significa que la configuración está completa.

Información relacionada

Cómo funciona el inicio de sesión federado en los grupos de usuarios de Amazon Cognito

Descripción de los tokens web JSON de grupos de usuarios (JWTs)

Temas: Security, Identity, & Compliance
Etiquetas: Amazon Cognito
Idioma: Español

Vídeos relacionados

Ve el vídeo de Gupta para obtener más información (9:45)

OFICIAL DE AWSActualizada hace 4 meses

Sin comentarios

Contenido relevante

Autenticación de usuarios en chat en Amazon Connect
Eric Vega
preguntada hace 8 meses
Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace 8 días
Cognito lang=es
Daniel
preguntada hace 5 meses
Bot lex cuando se integra con connect no opera en idioma español
Respuesta aceptada
hvilla
preguntada hace 7 meses
Como validar que servicios protege AWS Guarduty si no tengo Findings.
Respuesta aceptada
David
preguntada hace 8 meses
¿Cómo puedo configurar un proveedor de identidades SAML de terceros con un grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo obtener los tokens de OIDC o identidad social emitidos por un IdP para los grupos de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo utilizar la AWS CLI para obtener credenciales temporales para un usuario de IAM Identity Center?
OFICIAL DE AWSActualizada hace 2 meses
¿El uso de IAM Identity Center afecta a mis identidades de IAM o a mi configuración de federación?
OFICIAL DE AWSActualizada hace 3 años