Federación y proveedores de identidades - AWS Identity and Access Management

Federación y proveedores de identidades

Si ya administra identidades de usuarios fuera de AWS, puede utilizar los proveedores de identidades en lugar de crear usuarios de IAM en su Cuenta de AWS. Con un proveedor de identidades (IdP), puede administrar sus identidades de usuario fuera de AWS y conceder permisos a estas identidades de usuarios externos para utilizar los recursos de AWS en su cuenta. Esto resulta útil si su organización ya tiene su propio sistema de identidad, como por ejemplo, un directorio de usuario corporativo. También resulta útil si crea una aplicación móvil o web que necesita acceso a los recursos de AWS.

Un IdP externo proporciona información de identidad de AWS mediante OpenID Connect (OIDC) o SAML 2.0 (lenguaje de marcado de aserciones de seguridad). El OIDC conecta aplicaciones, como GitHub Actions, que no se ejecutan en AWS los AWS recursos. Algunos ejemplos de proveedores de identidad SAML conocidos son: Shibboleth y Active Directory Federation Services.

nota

Como práctica recomendada de seguridad, le recomendamos que administre usuarios humanos en IAM Identity Center con un proveedor de identidad SAML externo en lugar de utilizar la federación SAML de IAM. Para obtener más información acerca de situaciones específicas en las que se requiere un usuario de IAM, consulte Cuándo crear un usuario de IAM (en lugar de un rol).

Cuando se utiliza un proveedor de identidad, no es necesario crear un código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. El proveedor de identidad lo hace automáticamente. Sus usuarios externos inician sesión a través de un IdP, y usted puede conceder permisos a las identidades externas para utilizar los recursos de AWS en su cuenta. Los proveedores de identidades le ayudan a proteger su Cuenta de AWS, ya que no tiene que distribuir ni integrar credenciales de seguridad a largo plazo, como por ejemplo, claves de acceso, en su aplicación.

Esta guía aborda la federación de IAM. Su caso de uso podría ser más adecuado para IAM Identity Center o Amazon Cognito. Los siguientes resúmenes y tabla proporcionan una visión general de los métodos que sus usuarios pueden emplear para obtener acceso federado a los recursos de AWS.

Tipo de cuenta Administración de acceso a Fuente de identidad compatible

Federación con IAM Identity Center

Cuentas múltiples administradas por AWS Organizations

Usuarios humanos de su plantilla

  • SAML 2.0

  • Active Directory administrado

  • Directorio de ‬Identity Center

Federación con IAM

Cuenta única e independiente

  • Usuarios humanos en implementaciones a corto plazo y a pequeña escala

  • Usuarios no humanos

  • SAML 2.0

  • OIDC

Federación con grupos de identidades de Amazon Cognito

Cualquiera

Los usuarios de aplicaciones que requieren autorización de IAM para acceder a los recursos

  • SAML 2.0

  • OIDC

  • Seleccionar proveedores de identidad social OAuth 2.0

Federación con IAM Identity Center

Si desea administrar el acceso de usuarios humanos de manera centralizada, le recomendamos utilizar IAM Identity Center para administrar el acceso a las cuentas y los permisos dentro de esas cuentas. A los usuarios de IAM Identity Center se les conceden credenciales a corto plazo para sus recursos de AWS. Puede utilizar Active Directory, un proveedor de identidades (IdP) externo o un directorio del Centro de identidades de IAM como fuente de identidad para los usuarios y grupos con el fin de asignar el acceso a sus recursos de AWS.

IAM Identity Center admite la federación de identidades con SAML (Security Assertion Markup Language) 2.0, que proporciona acceso federado de inicio de sesión único para los usuarios autorizados a utilizar aplicaciones dentro del portal de acceso de AWS. A continuación, los usuarios pueden realizar un inicio de sesión único que admita SAML, incluida la AWS Management Console y aplicaciones de terceros, como Microsoft 365, SAP Concur y Salesforce.

Federación con IAM

Aunque recomendamos la administración de usuarios humanos en IAM Identity Center, puede habilitar el acceso de usuario federado con IAM para usuarios humanos en implementaciones a corto plazo y a pequeña escala. IAM le permite utilizar IdPs SAML 2.0 y Open ID Connect (OIDC) por separado y utilizar atributos de usuario federado para el control de acceso. Con IAM, puede proporcionar atributos de usuario, como el centro de costes, el cargo o la ubicación, desde sus IdP a AWS, e implementar permisos de acceso detallados basados en estos atributos.

Una carga de trabajo es un conjunto de recursos y código que ofrece valor comercial, como una aplicación o un proceso de backend. Su carga de trabajo puede requerir una identidad IAM para hacer peticiones a servicios de AWS, aplicaciones, herramientas operativas y componentes. Estas identidades incluyen máquinas que se ejecutan en los entornos de AWS, como instancias de Amazon EC2 o funciones de AWS Lambda.

También se pueden administrar identidades de máquina para las partes externas que necesiten acceso. Para dar acceso a las identidades de máquina, puede utilizar roles de IAM. Los roles de IAM tienen permisos específicos y ofrecen una forma de acceder a AWS empleando credenciales de seguridad temporales con una sesión de rol. Además, es posible que tenga máquinas fuera de AWS que necesiten acceso a los entornos de AWS. Para máquinas que se ejecuten fuera de AWS, puede utilizar Funciones de IAM en cualquier lugar. Para obtener más información acerca de los roles de , consulte Roles de IAM. Para obtener detalles sobre cómo utilizar roles para delegar el acceso en Cuentas de AWS, consulte Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM.

Para vincular un IdP directamente a IAM, debe crear una entidad de proveedor de identidad para establecer una relación de confianza entre su Cuenta de AWS y el IdP. IAM admite proveedores de identidades (IdP) que son compatibles con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). Para obtener más información sobre el uso de uno de estos proveedores de identidad (IdP) con AWS, consulte las siguientes secciones:

Federación con grupos de identidades de Amazon Cognito

Amazon Cognito está diseñado para desarrolladores que desean autenticar y autorizar usuarios en sus aplicaciones móviles y web. Los grupos de usuarios de Amazon Cognito añaden características de inicio de sesión y registro a su aplicación, y los grupos de identidades proporcionan credenciales de IAM que conceden a sus usuarios acceso a recursos protegidos que usted administra en AWS. Los grupos de identidades adquieren credenciales para sesiones temporales a través de la operación AssumeRoleWithWebIdentity de la API.

Amazon Cognito funciona con proveedores de identidad externos compatibles con SAML y OpenID Connect, y con proveedores de identidad social como Facebook, Google y Amazon. Su aplicación puede iniciar sesión en un usuario con un grupo de usuarios o un IdP externo y, a continuación, recuperar recursos en su nombre con sesiones temporales personalizadas en un rol de IAM.