Creación de proveedores de identidad OpenID Connect (OIDC) - AWS Identity and Access Management

Creación de proveedores de identidad OpenID Connect (OIDC)

Los proveedores de identidad de IAM OIDC son entidades de que describen un servicio de proveedor de identidad (IdP) externo compatible con el estándar OpenID Connect (OIDC), como Google o Salesforce. Puede utilizar un proveedor de identidad de IAM OIDC cuando desee establecer una relación de confianza entre un IdP compatible con OIDC y su cuenta de AWS. Esto resulta útil al crear una aplicación móvil o aplicación web que requiere acceso a los recursos de AWS, pero no desea crear un código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. Para obtener más información acerca de esta situación, consulte Acerca de identidades web federadas.

Puede crear y administrar un proveedor de identidad OIDC de IAM con AWS Management Console, el AWS Command Line Interface, Tools for Windows PowerShell o la API de IAM.

Después de crear un proveedor de identidades OIDC de IAM, debe crear uno más roles de IAM. Un rol es una identidad en AWS que no tiene sus propias credenciales (como las tiene un usuario). Sin embargo, en este contexto, un rol se asigna dinámicamente a un usuario federado que autentica el IdP de la organización. El rol permite al proveedor de identidad (IdP) de la organización solicitar credenciales de seguridad temporales para obtener acceso a AWS. Las políticas asignadas al rol determinan lo que los usuarios federados pueden realizar en AWS. Para crear un rol para un proveedor de identidades de terceros, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Creación y administración de un proveedor OIDC (consola)

Siga estas instrucciones para crear y administrar un proveedor de identidad de IAM OIDC en la AWS Management Console.

importante

Si utiliza un proveedor de identidades OIDC de Google, Facebook o Amazon Cognito, no cree un proveedor de identidades IAM independiente mediante este procedimiento. Estos proveedores de identidad de OIDC ya están integrados a AWS y están disponibles para su uso. En su lugar, siga los pasos para crear nuevos roles para su proveedor de identidades, consulte Creación de un rol para identidades federadas web u OpenID Connect (consola).

Para crear un proveedor de identidad de IAM OIDC (consola)

  1. Antes de crear un proveedor de identidad de IAM OIDC, debe registrar la aplicación en el IdP para recibir un ID de cliente. El ID de cliente (también conocido como público) es un identificador único para la aplicación que se emite al registrar la aplicación con el proveedor de identidades. Para obtener más información sobre cómo obtener un ID de cliente, consulte la documentación de su proveedor de identidad.

    nota

    AWS asegura la comunicación con algunos proveedores de identidad (IdP) de OIDC a través de nuestra biblioteca de entidades de certificación de confianza (CA) en lugar de usar una huella digital de certificado para verificar el certificado del servidor IdP. Estos IDP de OIDC incluyen Google y aquellos que utilizan un bucket de Amazon S3 para alojar un punto de enlace JSON Web Key Set (JWKS). En estos casos, la huella digital heredada permanece en su configuración, pero ya no se utiliza para la validación.

  2. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  3. En el panel de navegación, elija Identity providers (Proveedores de identidades) y, a continuación, Add provider (Agregar proveedor).

  4. En Configure provider (Configurar proveedor), elija OpenID Connect.

  5. En Provider URL (URL del proveedor), escriba la dirección URL del proveedor de identidades. La dirección URL debe cumplir las siguientes restricciones:

    • La dirección URL distingue entre mayúsculas y minúsculas.

    • La dirección URL debe comenzar por https://.

    • La dirección URL no debe contener un número de puerto.

    • En la cuenta de AWS, cada proveedor de identidad IAM OIDC debe utilizar una dirección URL única.

  6. Elija Get thumbprint (Obtener huella digital) para verificar el certificado de servidor de su proveedor de identidades. Para saber cómo hacerlo, consulte Obtención de la huella digital de un proveedor de identidades OpenID Connect.

  7. En Público, escriba el ID del cliente de la aplicación que ha registrado en el proveedor de identidades y recibido en Paso 1. De este modo se realizarán solicitudes a AWS. Si tiene más ID de cliente (también conocido como público) para este proveedor de identidades, puede añadirlos más adelante en la página de detalles de proveedor.

  8. (Opcional) En Agregar etiquetas, puede agregar pares clave-valor para ayudarlo a identificar y organizar los proveedores de identidad. También puede usar etiquetas para controlar el acceso a los recursos de AWS. Para obtener más información sobre cómo etiquetar proveedores de identidad OIDC IAM, consulte Etiquetado de proveedores de identidad OpenID Connect (OIDC). Elija Add tag. Introduzca valores para cada par clave-valor de etiqueta.

  9. Compruebe la información que ha proporcionado. Cuando haya terminado, elija Add provider (Agregar proveedor).

  10. Asigne un rol de IAM a su proveedor de identidades para otorgar a las identidades de usuarios externas administradas por su proveedor de identidades permisos para acceder a los recursos de AWS de su cuenta. Para obtener más información acerca de cómo crear roles para las identidades federadas, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Para agregar o eliminar una huella digital de un proveedor de identidades OIDC de IAM (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Identity providers (Proveedores de identidades). A continuación, elija el nombre del proveedor de identidades de IAM que desea actualizar.

  3. En la sección Thumbprints (Huellas digitales), elija Manage (Administrar). Para introducir un nuevo valor de huella digital, elija Add thumbprint (Agregar huella digital). Para eliminar una huella digital, elija Remove (Eliminar) que está ubicado junto a la huella digital que desea eliminar.

    nota

    Un proveedor de identidad de IAM OIDC debe tener un mínimo de una y un máximo de cinco huellas digitales.

    Cuando haya terminado, elija Save Changes (Guardar cambios).

Para agregar un público a un proveedor de identidades OIDC de IAM (consola)

  1. En el panel de navegación, elija Proveedores de identidades y, a continuación, elija el nombre del proveedor de identidades de IAM que desea actualizar.

  2. En la sección Audiences (Públicos), elija Actions (Acciones) y seleccione Add audience (Agregar público).

  3. Escriba el ID del cliente de la aplicación que registró en el proveedor de identidades y recibió en Paso 1. De este modo, se realizarán solicitudes a AWS. A continuación, seleccione Add audiences (Agregar públicos).

    nota

    Un proveedor de identidades OIDC de IAM debe tener un mínimo de 1 y un máximo de 100 públicos.

Para eliminar un público de un proveedor de identidades OIDC de IAM (consola)

  1. En el panel de navegación, elija Proveedores de identidades y, a continuación, elija el nombre del proveedor de identidades de IAM que desea actualizar.

  2. En la sección Audiences (Públicos), seleccione el botón de opción situado junto al público que desea eliminar y, a continuación, seleccione Actions (Acciones).

  3. Elija Remove audience (Eliminar público). Se abrirá una nueva ventana.

  4. Si elimina un público, las identidades federadas con el público no pueden asumir los roles asociados con aquel. En la ventana, lea la advertencia y confirme que desea eliminar el público escribiendo la palabra remove en el campo.

  5. Elija Remove (Eliminar) para eliminar el público.

Para eliminar un proveedor de identidad de OIDC de IAM (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Identity providers (Proveedores de identidades).

  3. Seleccione la casilla de verificación situada junto al proveedor de identidad de IAM que desea eliminar. Se abrirá una nueva ventana.

  4. Confirme que desea eliminar el proveedor escribiendo la palabra delete en el campo. A continuación, elija Delete (Eliminar).

Creación y administración de un proveedor de identidad de OIDC de IAM (AWS CLI)

Puede utilizar los siguientes comandos de la AWS CLI para crear y administrar proveedores de identidad de OIDC de IAM.

Para crear un proveedor de identidad OIDC de IAM (AWS CLI)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, ejecute el siguiente comando:

  2. Para crear un nuevo proveedor de identidad de IAM OIDC, ejecute este comando:

Para actualizar la lista de huellas digitales de certificado de servidor para un proveedor de identidad de IAM OIDC existente (AWS CLI)

Para etiquetar un proveedor de identidad OIDC de IAM existente (AWS CLI)

Para enumerar etiquetas para un proveedor de identidad OIDC de IAM existente (AWS CLI)

Para quitar etiquetas de un proveedor de identidad de OIDC de IAM (AWS CLI)

Para etiquetar un proveedor de identidad OIDC de IAM existente (AWS CLI)

Para enumerar etiquetas para un proveedor de identidad OIDC de IAM existente (AWS CLI)

Para quitar etiquetas de un proveedor de identidad de OIDC de IAM (AWS CLI)

Para agregar o eliminar un ID de cliente de un proveedor de identidad de IAM OIDC existente (AWS CLI)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, ejecute el siguiente comando:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, ejecute el siguiente comando:

  3. Para agregar un ID de cliente nuevo a un proveedor de identidad de IAM OIDC existente, ejecute el siguiente comando:

  4. Para eliminar un cliente de un proveedor de identidad de IAM OIDC existente, ejecute el siguiente comando:

Para eliminar un proveedor de identidad IAM OIDC (AWS CLI)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, ejecute el siguiente comando:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, ejecute el siguiente comando:

  3. Para eliminar un proveedor de identidad de IAM OIDC, ejecute este comando:

Creación y administración de un proveedor de identidad de OIDC (API de AWS)

Puedes utilizar los siguientes comandos de la API de IAM para crear y administrar proveedores OIDC.

Para crear un proveedor de identidad OIDC de IAM (API de AWS)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, llame a la operación siguiente:

  2. Para crear un nuevo proveedor de identidad de IAM OIDC, llame a la siguiente operación:

Para actualizar la lista de huellas digitales de certificado de servidor para un proveedor de identidad de IAM OIDC existente (API de AWS)

  • Para actualizar la lista de huellas digitales del certificado de servidor de un proveedor de identidad de IAM OIDC, llame a la siguiente operación:

Para etiquetar un proveedor de identidad OIDC de IAM existente (API de AWS)

  • Para etiquetar un proveedor de identidad OIDC de IAM existente, llame a la siguiente operación:

Para enumerar etiquetas de un proveedor de identidad OIDC de IAM existente (API de AWS)

Para quitar etiquetas de un proveedor de identidad OIDC de IAM existente (API de AWS)

  • Para eliminar etiquetas de un proveedor de identidad OIDC de IAM existente, llame a la siguiente operación:

Para etiquetar un proveedor de identidad OIDC de IAM existente (API de AWS)

  • Para etiquetar un proveedor de identidad OIDC de IAM existente, llame a la siguiente operación:

Para enumerar etiquetas de un proveedor de identidad OIDC de IAM existente (API de AWS)

Para quitar etiquetas de un proveedor de identidad OIDC de IAM existente (API de AWS)

  • Para eliminar etiquetas de un proveedor de identidad OIDC de IAM existente, llame a la siguiente operación:

Para agregar OIDC eliminar un ID de cliente de un proveedor de identidad de IAM OIDC existente (API de AWS)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, llame a la operación siguiente:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, llame a la siguiente operación:

  3. Para agregar un ID de cliente nuevo a un proveedor de identidad de IAM OIDC existente, llame a la siguiente operación:

  4. Para eliminar un ID de cliente de un proveedor de identidad de IAM OIDC existente, llame a la siguiente operación:

Para eliminar un proveedor de identidad IAM OIDC (API de AWS)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, llame a la operación siguiente:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, llame a la siguiente operación:

  3. Para eliminar un proveedor de identidad de IAM OIDC, llame a la siguiente operación: