Crear un proveedor de identidades de SAML en IAM - AWS Identity and Access Management

Crear un proveedor de identidades de SAML en IAM

Un proveedor de identidad de IAM SAML 2.0 es una entidad de IAM que describe un servicio de proveedor de identidad (IdP) externo compatible con el estándar SAML 2.0 (Lenguaje de marcado para confirmaciones de seguridad 2.0). Un proveedor de identidad de IAM SAML se utiliza para establecer una relación de confianza entre un IdP compatible con SAML, como Shibboleth o Active Directory Federation Services, y AWS, de modo que los usuarios de su organización tengan acceso a los recursos de AWS. Los proveedores de identidad de IAM SAML se utilizan como entidades principales en una política de confianza de IAM.

Para obtener más información acerca de esta situación, consulte Federación SAML 2.0.

Puede crear y administrar un proveedor de identidad de IAM en el AWS Management Console o con AWS CLI, Tools for Windows PowerShell o la API de IAM AWS.

Después de crear un proveedor SAML, debe crear uno varios roles de IAM. Un rol es una identidad en AWS que no tiene sus propias credenciales (como las tiene un usuario). Sin embargo, en este contexto, un rol se asigna dinámicamente a un usuario federado que autentica el IdP de la organización. El rol permite al proveedor de identidad (IdP) de la organización solicitar credenciales de seguridad temporales para obtener acceso a AWS. Las políticas asignadas al rol determinan lo que los usuarios federados pueden realizar en AWS. Para crear un rol para la federación SAML, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Por último, después de crear el rol, complete la relación de confianza SAML configurando su proveedor de identidad (IdP) con información sobre AWS y los roles que desea que los usuarios federados utilicen. Esto se denomina configuración de la relación de confianza para usuario autenticado entre su proveedor de identidades y AWS. Para configurar una relación de confianza, consulte Configuración su SAML 2.0 IdP con una relación de confianza para usuario autenticado y agregando reclamos.

Requisitos previos

Antes de poder crear un proveedor de identidad SAML de, debe tener la siguiente información de su IdP.

  • Obtenga el documento de metadatos SAML de su IdP. Este documento incluye el nombre del emisor, la información del vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) que se reciben del proveedor de identidades. Para generar el documento de metadatos, utilice el software de administración de identidades proporcionado por su IdP externo.

    importante

    Este archivo de metadatos incluye el nombre del emisor, información de vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) recibida desde el IdP. El archivo de metadatos debe estar codificado en formato UTF-8 sin una marca de orden de bytes (BOM). Para eliminar la BOM, puede codificar el archivo en UTF-8 con una herramienta de edición de texto, como Notepad++.

    El certificado x.509 incluido como parte del documento de metadatos de SAML debe utilizar un tamaño de clave de al menos 1024 bits. Además, el certificado x.509 no debe contener extensiones repetidas. Puede utilizar extensiones, pero estas solo pueden aparecer una vez en el certificado. Si el certificado x.509 no cumple ninguna condición, se produce un error en la creación de proveedor de identidad (IdP) y devuelve el mensaje “Unable to parse metadata” (No se pueden analizar los metadatos).

    Según se define en la versión 1.0 del perfil de interoperabilidad de metadatos SAML V2.0, IAM no evalúa ni toma medidas en relación con la caducidad del certificado X.509 del documento de metadatos.

Para obtener instrucciones sobre cómo configurar muchos de los proveedores de identidades (IdP) que funcionan con AWS y sobre cómo generar el documento de metadatos de SAML, consulte Integración de proveedores de soluciones SAML externos con AWS.

Para obtener ayuda con la federación de SAML, consulta Solución de problemas de la federación de SAML.

Crea y administra un proveedor de identidad IAM SAML (consola)

Puede utilizar la AWS Management Console para crear, actualizar y eliminar proveedores de identidad IAM SAML. Para obtener ayuda con la federación de SAML, consulta Solución de problemas de la federación de SAML.

Para crear un proveedor de identidades SAML de IAM (consola)
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Identity providers (Proveedores de identidades) y, a continuación, Add provider (Agregar proveedor).

  3. En Configure provider (Configurar proveedor), elija SAML.

  4. Escriba un nombre para el proveedor de identidad.

  5. En Metadata document (Documento de metadatos), haga clic en Choose File (Elegir archivo) y especifique el documento de metadatos de SAML que descargó en Requisitos previos.

  6. (Opcional) En Add tags (Agregar etiquetas), puede agregar pares clave-valor para ayudarlo a identificar y organizar los proveedores de identidad. También puede utilizar etiquetas para controlar el acceso a los recursos de AWS. Para obtener más información sobre cómo etiquetar proveedores de identidad SAML, consulte Etiquetado de proveedores de identidad SAML de IAM.

    Seleccione Agregar etiqueta. Introduzca valores para cada par clave-valor de etiqueta.

  7. Compruebe la información que ha proporcionado. Cuando haya terminado, elija Add provider (Agregar proveedor).

  8. Asigne un rol de IAM a su proveedor de identidades para otorgar a las identidades de usuarios externas administradas por su proveedor de identidades permisos para acceder a los recursos de AWS de su cuenta. Para obtener más información sobre cómo crear roles para la federación de identidades, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

    nota

    Los proveedores de identidad de SAML que se utilizan en una política de confianza de roles deben estar en la misma cuenta en la que se encuentra el rol.

Para eliminar un proveedor SAML (consola)
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Proveedores de identidades.

  3. Seleccione el botón de opción situado junto al proveedor de identidades que desea eliminar.

  4. Elija Eliminar. Se abrirá una nueva ventana.

  5. Confirme que desea eliminar el proveedor escribiendo la palabra delete en el campo. A continuación, elija Eliminar.

Cree y administre un proveedor de identidad IAM SAML (AWS CLI)

Puede utilizar la AWS CLI para crear, actualizar y eliminar proveedores de identidad SAML. Para obtener ayuda con la federación de SAML, consulta Solución de problemas de la federación de SAML.

Para crear un proveedor de identidad de IAM y cargar un documento de metadatos (AWS CLI)
Para actualizar un proveedor de identidad de IAM SAML (AWS CLI)
Para etiquetar un proveedor de identidad existente de IAM (AWS CLI)
Para enumerar etiquetas del proveedor de identidad de IAM existente (AWS CLI)
Para quitar etiquetas de un proveedor de identidad de IAM existente (AWS CLI)
Para eliminar un proveedor de identidad de IAM SAML (AWS CLI)
  1. (Opcional) Para mostrar información de todos los proveedores. como el ARN o la fecha de creación y vencimiento, ejecute el siguiente comando:

  2. (Opcional) Para obtener información sobre un determinado proveedor, como ARN, fecha de creación y vencimiento, configuración de cifrado e información de la clave privada, ejecute el siguiente comando:

  3. Para eliminar un proveedor de identidad de IAM, ejecute este comando:

Cree y administre un proveedor de identidad IAM SAML (API de AWS)

Puede utilizar la API de AWS para crear, actualizar y eliminar proveedores de identidad SAML. Para obtener ayuda con la federación de SAML, consulta Solución de problemas de la federación de SAML.

Para crear un proveedor de identidad de IAM y cargar un documento de metadatos (API de AWS)
Para actualizar un proveedor de identidad IAM SAML (API de AWS)
Para etiquetar un proveedor de identidad de IAM existente (API de AWS)
Para enumerar etiquetas de un proveedor de identidad de IAM existente (API de AWS)
Para quitar etiquetas de un proveedor de identidad de IAM existente (API de AWS)
Para eliminar un proveedor de identidad de IAM (API de AWS)
  1. (Opcional) Para mostrar información de todos los proveedores de identidad (IdP), como ARN, fecha de creación y vencimiento, llame a la siguiente operación:

  2. (Opcional) Para obtener información sobre un determinado proveedor, como ARN, fecha de creación y vencimiento, configuración de cifrado e información de la clave privada, llame a la siguiente operación:

  3. Para eliminar un IdP, llame a la siguiente operación: