Crear un proveedor de identidad de IAM OpenID Connect (OIDC) - AWS Identity and Access Management
Creación y administración de un proveedor OIDC (consola)Creación y administración de un proveedor de identidad de OIDC de IAM (AWS CLI)Creación y administración de un proveedor de identidad de OIDC (API de AWS)

Crear un proveedor de identidad de IAM OpenID Connect (OIDC)

Los proveedores de identidad de IAM OIDC son entidades de que describen un servicio de proveedor de identidad (IdP) externo compatible con el estándar OpenID Connect (OIDC), como Google o Salesforce. Puede utilizar un proveedor de identidad OIDC de IAM cuando desee establecer una relación de confianza entre un IdP compatible con OIDC y su Cuenta de AWS. Esto resulta útil al crear una aplicación móvil o aplicación web que requiere acceso a los recursos de AWS, pero no desea crear un código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. Para obtener más información acerca de esta situación, consulte Federación OIDC.

Puede crear y administrar un proveedor de identidad OIDC de IAM con AWS Management Console, el AWS Command Line Interface, Tools for Windows PowerShell o la API de IAM.

Después de crear un proveedor de identidades OIDC de IAM, debe crear uno más roles de IAM. Un rol es una identidad en AWS que no tiene sus propias credenciales (como las tiene un usuario). Sin embargo, en este contexto, un rol se asigna dinámicamente a un usuario federado que autentica el IdP de la organización. El rol permite al proveedor de identidad (IdP) de la organización solicitar credenciales de seguridad temporales para obtener acceso a AWS. Las políticas asignadas al rol determinan lo que los usuarios federados pueden realizar en AWS. Para crear un rol para un proveedor de identidades de terceros, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

importante

Al configurar políticas basadas en la identidad para acciones que admiten recursos oidc-provider, IAM evalúa la URL completa del proveedor de identidades del OIDC, incluidas las rutas especificadas. Si la URL de su proveedor de identidad OIDC tiene una ruta, debe incluirla en el ARN oidc-provider como un valor del elemento Resource. También tiene la opción de añadir una barra inclinada y un comodín (/*) al dominio URL o de utilizar caracteres comodín (* y ?) en cualquier punto de la ruta URL. Si la URL del proveedor de identidad del OIDC de la solicitud no coincide con el valor establecido en el elemento Resource de la política, la solicitud falla.

Creación y administración de un proveedor OIDC (consola)

Siga estas instrucciones para crear y administrar un proveedor de identidad de IAM OIDC en la AWS Management Console.

importante

Si utiliza un proveedor de identidades OIDC de Google, Facebook o Amazon Cognito, no cree un proveedor de identidades IAM independiente mediante este procedimiento. Estos proveedores de identidad de OIDC ya están integrados a AWS y están disponibles para su uso. En su lugar, siga los pasos para crear nuevos roles para su proveedor de identidades, consulte Creación de un rol para una federación de OpenID Connect (consola).

Para crear un proveedor de identidad de IAM OIDC (consola)

  1. Antes de crear un proveedor de identidad de IAM OIDC, debe registrar la aplicación en el IdP para recibir un ID de cliente. El ID de cliente (también conocido como público) es un identificador único para la aplicación que se emite al registrar la aplicación con el proveedor de identidades. Para obtener más información sobre cómo obtener un ID de cliente, consulte la documentación de su proveedor de identidad.

    nota

    AWS garantiza la comunicación con algunos proveedores de identidad (IdP) de OIDC a través de nuestra biblioteca de entidades de certificación raíz de confianza (CA) en lugar de utilizar una huella digital de certificado para verificar el certificado del servidor IdP. En estos casos, la huella digital heredada permanece en su configuración, pero ya no se utiliza para la validación. Estos proveedores de identidades de OIDC incluyen a Auth0, GitHub, GitLab, Google y aquellos que utilizan un bucket de Amazon S3 para alojar un punto de conexión JSON Web Key Set (JWKS).

  2. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  3. En el panel de navegación, elija Proveedores de identidades y, a continuación, Agregar proveedor.

  4. En Configurar proveedor, elija OpenID Connect.

  5. En URL del proveedor, escriba la dirección URL del proveedor de identidades. La dirección URL debe cumplir las siguientes restricciones:

    • La dirección URL distingue entre mayúsculas y minúsculas.

    • La dirección URL debe comenzar por https://.

    • La dirección URL no debe contener un número de puerto.

    • En la Cuenta de AWS, cada proveedor de identidad OIDC en IAM debe utilizar una dirección URL única.

  6. Elija Obtener huella digital para verificar el certificado de servidor de su proveedor de identidades. Para saber cómo hacerlo, consulte Obtención de la huella digital de un proveedor de identidades OpenID Connect.

    nota

    La cadena de certificados del proveedor de identidades OIDC debe empezar con el dominio o la URL del emisor, luego con el certificado intermedio y terminar con el certificado raíz. Si el orden de la cadena de certificados es diferente o incluye certificados duplicados o adicionales, se produce un error de discordancia de firmas y STS no podrá validar el token web JSON (JWT). Corrija el orden de los certificados de la cadena devuelta por el servidor para resolver el error. Para obtener más información sobre los estándares de la cadena de certificados, consulte el documento certificate_list en el RFC 5246 en el sitio web de la serie RFC.

  7. En Público, escriba el ID del cliente de la aplicación que ha registrado en el proveedor de identidades y recibido en Paso 1. De este modo se realizarán solicitudes a AWS. Si tiene más ID de cliente (también conocido como público) para este proveedor de identidades, puede añadirlos más adelante en la página de detalles de proveedor.

  8. (Opcional) En Agregar etiquetas, puede agregar pares clave-valor para ayudarlo a identificar y organizar los proveedores de identidad. También puede utilizar etiquetas para controlar el acceso a los recursos de AWS. Para obtener más información sobre cómo etiquetar proveedores de identidad OIDC IAM, consulte Etiquetado de proveedores de identidad OpenID Connect (OIDC). Seleccione Agregar etiqueta. Introduzca valores para cada par clave-valor de etiqueta.

  9. Compruebe la información que ha proporcionado. Cuando haya terminado, elija Agregar proveedor.

  10. Asigne un rol de IAM a su proveedor de identidades para otorgar a las identidades de usuarios externas administradas por su proveedor de identidades permisos para acceder a los recursos de AWS de su cuenta. Para obtener más información sobre cómo crear roles para la federación de identidades, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

    nota

    Los proveedores de identidad de OIDC que se utilizan en una política de confianza de roles deben estar en la misma cuenta en la que se encuentra el rol.

Para agregar o eliminar una huella digital de un proveedor de identidades OIDC de IAM (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Proveedores de identidades. A continuación, elija el nombre del proveedor de identidades de IAM que desea actualizar.

  3. En la sección Huellas digitales, elija Administrar. Para introducir un nuevo valor de huella digital, elija Agregar huella digital. Para eliminar una huella digital, elija Eliminar que está ubicado junto a la huella digital que desea eliminar.

    nota

    Un proveedor de identidad de IAM OIDC debe tener un mínimo de una y un máximo de cinco huellas digitales.

    Cuando haya terminado, elija Guardar cambios.

Para agregar un público a un proveedor de identidades OIDC de IAM (consola)

  1. En el panel de navegación, elija Proveedores de identidades y, a continuación, elija el nombre del proveedor de identidades de IAM que desea actualizar.

  2. En la sección Públicos, elija Acciones y seleccione Agregar público.

  3. Escriba el ID del cliente de la aplicación que registró en el proveedor de identidades y recibió en Paso 1. De este modo, se realizarán solicitudes a AWS. A continuación, seleccione Agregar públicos.

    nota

    Un proveedor de identidades OIDC de IAM debe tener un mínimo de 1 y un máximo de 100 públicos.

Para eliminar un público de un proveedor de identidades OIDC de IAM (consola)

  1. En el panel de navegación, elija Proveedores de identidades y, a continuación, elija el nombre del proveedor de identidades de IAM que desea actualizar.

  2. En la sección Públicos, seleccione el botón de opción situado junto al público que desea eliminar y, a continuación, seleccione Acciones.

  3. Elija Eliminar público. Se abrirá una nueva ventana.

  4. Si elimina un público, las identidades federadas con el público no pueden asumir los roles asociados con aquel. En la ventana, lea la advertencia y confirme que desea eliminar el público escribiendo la palabra remove en el campo.

  5. Elija Eliminar para eliminar el público.

Para eliminar un proveedor de identidad de OIDC de IAM (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Proveedores de identidades.

  3. Seleccione la casilla de verificación situada junto al proveedor de identidad de IAM que desea eliminar. Se abrirá una nueva ventana.

  4. Confirme que desea eliminar el proveedor escribiendo la palabra delete en el campo. A continuación, elija Eliminar.

Creación y administración de un proveedor de identidad de OIDC de IAM (AWS CLI)

Puede utilizar los siguientes comandos de la AWS CLI para crear y administrar proveedores de identidad de OIDC de IAM.

Para crear un proveedor de identidad OIDC de IAM (AWS CLI)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, ejecute el siguiente comando:

  2. Para crear un nuevo proveedor de identidad de IAM OIDC, ejecute este comando:

Para actualizar la lista de huellas digitales de certificado de servidor para un proveedor de identidad de IAM OIDC existente (AWS CLI)
Para etiquetar un proveedor de identidad OIDC de IAM existente (AWS CLI)
Para enumerar etiquetas para un proveedor de identidad OIDC de IAM existente (AWS CLI)
Para quitar etiquetas de un proveedor de identidad de OIDC de IAM (AWS CLI)
Para agregar o eliminar un ID de cliente de un proveedor de identidad de IAM OIDC existente (AWS CLI)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, ejecute el siguiente comando:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, ejecute el siguiente comando:

  3. Para agregar un ID de cliente nuevo a un proveedor de identidad de IAM OIDC existente, ejecute el siguiente comando:

  4. Para eliminar un cliente de un proveedor de identidad de IAM OIDC existente, ejecute el siguiente comando:

Para eliminar un proveedor de identidad IAM OIDC (AWS CLI)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, ejecute el siguiente comando:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, ejecute el siguiente comando:

  3. Para eliminar un proveedor de identidad de IAM OIDC, ejecute este comando:

Creación y administración de un proveedor de identidad de OIDC (API de AWS)

Puedes utilizar los siguientes comandos de la API de IAM para crear y administrar proveedores OIDC.

Para crear un proveedor de identidad OIDC de IAM (API de AWS)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, llame a la operación siguiente:

  2. Para crear un nuevo proveedor de identidad de IAM OIDC, llame a la siguiente operación:

Para actualizar la lista de huellas digitales de certificado de servidor para un proveedor de identidad de IAM OIDC existente (API de AWS)

  • Para actualizar la lista de huellas digitales del certificado de servidor de un proveedor de identidad de IAM OIDC, llame a la siguiente operación:

Para etiquetar un proveedor de identidad OIDC de IAM existente (API de AWS)

  • Para etiquetar un proveedor de identidad OIDC de IAM existente, llame a la siguiente operación:

Para enumerar etiquetas de un proveedor de identidad OIDC de IAM existente (API de AWS)
Para quitar etiquetas de un proveedor de identidad OIDC de IAM existente (API de AWS)

  • Para eliminar etiquetas de un proveedor de identidad OIDC de IAM existente, llame a la siguiente operación:

Para agregar OIDC eliminar un ID de cliente de un proveedor de identidad de IAM OIDC existente (API de AWS)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, llame a la operación siguiente:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, llame a la siguiente operación:

  3. Para agregar un ID de cliente nuevo a un proveedor de identidad de IAM OIDC existente, llame a la siguiente operación:

  4. Para eliminar un ID de cliente de un proveedor de identidad de IAM OIDC existente, llame a la siguiente operación:

Para eliminar un proveedor de identidad IAM OIDC (API de AWS)

  1. (Opcional) Para obtener una lista de todos los proveedores de identidad de IAM OIDC de su cuenta de AWS, llame a la operación siguiente:

  2. (Opcional) Para obtener información detallada sobre un proveedor de identidad de IAM OIDC, llame a la siguiente operación:

  3. Para eliminar un proveedor de identidad de IAM OIDC, llame a la siguiente operación: