Creación de proveedores de identidad SAML de IAM - AWS Identity and Access Management

Creación de proveedores de identidad SAML de IAM

Un proveedor de identidad de IAM SAML 2.0 es una entidad de IAM que describe un servicio de proveedor de identidad (IdP) externo compatible con el estándar SAML 2.0 (Lenguaje de marcado para confirmaciones de seguridad 2.0). Se utiliza un proveedor de identidad de IAM para establecer una relación de confianza entre un proveedor de identidad (IdP) compatible con SAML, como Shibboleth o servicios de federación de Active Directory y AWS, de modo que los usuarios de su organización puedan obtener acceso a los recursos de AWS. Los proveedores de identidad de IAM SAML se utilizan como entidades principales en una política de confianza de IAM.

Para obtener más información acerca de esta situación, consulte Acerca de la federación basada en SAML 2.0.

Puede crear y administrar un proveedor de identidad de IAM SAML en la AWS Management Console o con la AWS CLI, las Tools for Windows PowerShell o llamadas a la API de AWS.

Después de crear un proveedor SAML, debe crear uno varios roles de IAM. Un rol es una identidad en AWS que no tiene sus propias credenciales (como las tiene un usuario). Sin embargo, en este contexto, un rol se asigna dinámicamente a un usuario federado que autentica el IdP de la organización. El rol permite al proveedor de identidad (IdP) de la organización solicitar credenciales de seguridad temporales para obtener acceso a AWS. Las políticas asignadas al rol determinan lo que los usuarios federados pueden realizar en AWS. Para crear un rol para la federación SAML, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Por último, después de crear el rol, complete la relación de confianza SAML configurando su proveedor de identidad (IdP) con información sobre AWS y los roles que desea que los usuarios federados utilicen. Esto se denomina configuración de la relación de confianza para usuario autenticado entre su proveedor de identidades y AWS. Para configurar una relación de confianza, consulte Configuración de una relación de confianza para usuario autenticado y agregación de notificaciones en el proveedor de identidades SAML 2.0.

Creación y administración de un proveedor de identidad de IAM (consola)

Puede utilizar la AWS Management Console para crear y eliminar proveedores de identidad de IAM SAML.

Para crear un proveedor de identidades SAML de IAM (consola)

  1. Antes de poder crear un proveedor de identidades SAML de IAM, necesita el documento de metadatos de SAML que se obtiene del proveedor de identidades. Este documento incluye el nombre del emisor, la información del vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) que se reciben del proveedor de identidades. Para generar el documento de metadatos, utilice el software de administración de identidades que su organización utiliza como proveedor de identidad (IdP). Para obtener instrucciones sobre cómo configurar muchos de los proveedores de identidades (IdP) que funcionan con AWS y sobre cómo generar el documento de metadatos de SAML, consulte Integración de proveedores de soluciones SAML externos con AWS.

    importante

    El archivo de metadatos debe estar codificado en formato UTF-8 sin una marca de orden de bytes (BOM). Además, el certificado X.509, que se incluye como parte del documento de metadatos de SAML debe utilizar un tamaño de clave de al menos 1024 bits. Si el tamaño de clave es menor, se produce un error en la creación de proveedor de identidad (IdP) y aparece el mensaje "Unable to parse metadata". Para eliminar la BOM, puede codificar el archivo en UTF-8 con una herramienta de edición de texto, como Notepad++.

  2. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  3. En el panel de navegación, elija Identity providers (Proveedores de identidades) y, a continuación, Add provider (Agregar proveedor).

  4. En Configure provider (Configurar proveedor), elija SAML.

  5. Escriba un nombre para el proveedor de identidad.

  6. En Metadata document (Documento de metadatos), haga clic en Choose File (Elegir archivo) y especifique el documento de metadatos de SAML que descargó en Paso 1.

  7. (Opcional) Para agregar etiquetas, puede agregar pares clave-valor para ayudarlo a identificar y organizar los IdP. También puede usar etiquetas para controlar el acceso a los recursos de AWS. Para obtener más información sobre cómo etiquetar proveedores de identidades SAML, consulte Etiquetado de proveedores de identidad SAML de IAM.

    Elija Add tag. Introduzca valores para cada par clave-valor de etiqueta.

  8. Compruebe la información que ha proporcionado. Cuando haya terminado, elija Add provider (Agregar proveedor).

  9. Asigne un rol de IAM a su proveedor de identidades para otorgar a las identidades de usuarios externas administradas por su proveedor de identidades permisos para acceder a los recursos de AWS de su cuenta. Para obtener más información acerca de cómo crear roles para las identidades federadas, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Para eliminar un proveedor SAML (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Identity providers (Proveedores de identidades).

  3. Seleccione el botón de opción situado junto al proveedor de identidades que desea eliminar.

  4. Elija Eliminar. Se abrirá una nueva ventana.

  5. Confirme que desea eliminar el proveedor escribiendo la palabra delete en el campo. A continuación, elija Delete (Eliminar).

Creación y administración de un proveedor de identidad SAML de IAM (AWS CLI)

Puedes utilizar la AWS CLI para crear y administrar proveedores SAML.

Antes de poder crear un proveedor de identidades de IAM, necesita el documento de metadatos de SAML que se obtiene del proveedor de identidades. Este documento incluye el nombre del emisor, la información del vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) que se reciben del proveedor de identidades. Para generar el documento de metadatos, utilice el software de administración de identidades que su organización utiliza como proveedor de identidad (IdP). Para obtener instrucciones sobre cómo configurar muchos de los proveedores de identidades (IdP) que funcionan con AWS y sobre cómo generar el documento de metadatos de SAML, consulte Integración de proveedores de soluciones SAML externos con AWS.

importante

El archivo de metadatos debe estar codificado en formato UTF-8 sin una marca de orden de bytes (BOM). Además, el certificado X.509, que se incluye como parte del documento de metadatos de SAML debe utilizar un tamaño de clave de al menos 1024 bits. Si el tamaño de clave es menor, se produce un error en la creación de proveedor de identidad (IdP) y aparece el mensaje "Unable to parse metadata". Para eliminar la BOM, puede codificar el archivo en UTF-8 con una herramienta de edición de texto, como Notepad++.

Para crear un proveedor de identidad de IAM y cargar un documento de metadatos (AWS CLI)

Para cargar un nuevo documento de metadatos para un proveedor de identidad de IAM (AWS CLI)

Para etiquetar un proveedor de identidades existente de IAM (AWS CLI)

Para enumerar etiquetas para el proveedor de IAM identidades existente (AWS CLI)

Para quitar etiquetas de un proveedor de IAM identidades existente (AWS CLI)

Para etiquetar un proveedor de identidades existente de IAM (AWS CLI)

Para enumerar etiquetas para el proveedor de IAM identidades existente (AWS CLI)

Para quitar etiquetas de un proveedor de IAM identidades existente (AWS CLI)

Para eliminar un proveedor de identidad de IAM SAML (AWS CLI)

  1. (Opcional) Para mostrar información de todos los proveedores. como el ARN o la fecha de creación y vencimiento, ejecute el siguiente comando:

  2. (Opcional) Para obtener información sobre un determinado proveedor, como ARN, fecha de creación y vencimiento, ejecute el siguiente comando:

  3. Para eliminar un proveedor de identidad de IAM, ejecute este comando:

Creación y administración de un proveedor de identidad SAML de IAM (API de AWS)

Puedes utilizar la API de AWS para crear y administrar proveedores SAML.

Antes de poder crear un proveedor de identidades de IAM, necesita el documento de metadatos de SAML que se obtiene del proveedor de identidades. Este documento incluye el nombre del emisor, la información del vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) que se reciben del proveedor de identidades. Para generar el documento de metadatos, utilice el software de administración de identidades que su organización utiliza como proveedor de identidad (IdP). Para obtener instrucciones sobre cómo configurar muchos de los proveedores de identidades (IdP) que funcionan con AWS y sobre cómo generar el documento de metadatos de SAML, consulte Integración de proveedores de soluciones SAML externos con AWS.

importante

El archivo de metadatos debe estar codificado en formato UTF-8 sin una marca de orden de bytes (BOM). Además, el certificado X.509, que se incluye como parte del documento de metadatos de SAML debe utilizar un tamaño de clave de al menos 1024 bits. Si el tamaño de clave es menor, se produce un error en la creación de proveedor de identidad (IdP) y aparece el mensaje "Unable to parse metadata". Para eliminar la BOM, puede codificar el archivo en UTF-8 con una herramienta de edición de texto, como Notepad++.

Para crear un proveedor de identidad de IAM y cargar un documento de metadatos (API de AWS)

Para cargar un nuevo documento de metadatos para un proveedor de identidad de IAM (API de AWS)

Para etiquetar un proveedor de IAM identidades (API de AWS) existente

Para enumerar etiquetas para un proveedor de IAM identidades (AWS API) existente

Para quitar etiquetas de un proveedor de IAM identidades (AWS API) existente

Para etiquetar un proveedor de IAM identidades (API de AWS) existente

Para enumerar etiquetas para un proveedor de IAM identidades (AWS API) existente

Para quitar etiquetas de un proveedor de IAM identidades (AWS API) existente

Para eliminar un proveedor de identidad de IAM (API de AWS)

  1. (Opcional) Para mostrar información de todos los proveedores de identidad (IdP), como ARN, fecha de creación y vencimiento, llame a la siguiente operación:

  2. (Opcional) Para obtener información sobre un determinado proveedor, como ARN, fecha de creación y vencimiento, llame a la siguiente operación:

  3. Para eliminar un IdP, llame a la siguiente operación: