Crear un proveedor de identidades de SAML en IAM

Un proveedor de identidad de IAM SAML 2.0 es una entidad de IAM que describe un servicio de proveedor de identidad (IdP) externo compatible con el estándar SAML 2.0 (Lenguaje de marcado para confirmaciones de seguridad 2.0). Un proveedor de identidad de IAM SAML se utiliza para establecer una relación de confianza entre un IdP compatible con SAML, como Shibboleth o Active Directory Federation Services, y AWS, de modo que los usuarios de su organización tengan acceso a los recursos de AWS. Los proveedores de identidad de IAM SAML se utilizan como entidades principales en una política de confianza de IAM.

Para obtener más información acerca de esta situación, consulte Federación SAML 2.0.

Puede crear y administrar un proveedor de identidad de IAM en el AWS Management Console o con AWS CLI, Tools for Windows PowerShell o la API de IAM AWS.

Después de crear un proveedor SAML, debe crear uno varios roles de IAM. Un rol es una identidad en AWS que no tiene sus propias credenciales (como las tiene un usuario). Sin embargo, en este contexto, un rol se asigna dinámicamente a un usuario federado que autentica el IdP de la organización. El rol permite al proveedor de identidad (IdP) de la organización solicitar credenciales de seguridad temporales para obtener acceso a AWS. Las políticas asignadas al rol determinan lo que los usuarios federados pueden realizar en AWS. Para crear un rol para la federación SAML, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Por último, después de crear el rol, complete la relación de confianza SAML configurando su proveedor de identidad (IdP) con información sobre AWS y los roles que desea que los usuarios federados utilicen. Esto se denomina configuración de la relación de confianza para usuario autenticado entre su proveedor de identidades y AWS. Para configurar una relación de confianza, consulte Configuración su SAML 2.0 IdP con una relación de confianza para usuario autenticado y agregando reclamos.

Creación y administración de un proveedor de identidad de IAM SAML (consola)

Puede utilizar la AWS Management Console para crear y eliminar proveedores de identidad IAM SAML.

Para crear un proveedor de identidades SAML de IAM (consola)

1. Antes de poder crear un proveedor de identidades SAML de IAM, necesita el documento de metadatos de SAML que se obtiene del proveedor de identidades. Este documento incluye el nombre del emisor, la información del vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) que se reciben del proveedor de identidades. Para generar el documento de metadatos, utilice el software de administración de identidades que su organización utiliza como proveedor de identidad (IdP). Para obtener instrucciones sobre cómo configurar muchos de los proveedores de identidades (IdP) que funcionan con AWS y sobre cómo generar el documento de metadatos de SAML, consulte Integración de proveedores de soluciones SAML externos con AWS.

   importante

   Este archivo de metadatos incluye el nombre del emisor, información de vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) recibida desde el IdP. El archivo de metadatos debe estar codificado en formato UTF-8 sin una marca de orden de bytes (BOM). Para eliminar la BOM, puede codificar el archivo en UTF-8 con una herramienta de edición de texto, como Notepad++.

   El certificado x.509 incluido como parte del documento de metadatos de SAML debe utilizar un tamaño de clave de al menos 1024 bits. Además, el certificado x.509 no debe contener extensiones repetidas. Puede utilizar extensiones, pero estas solo pueden aparecer una vez en el certificado. Si el certificado x.509 no cumple ninguna condición, se produce un error en la creación de proveedor de identidad (IdP) y devuelve el mensaje “Unable to parse metadata” (No se pueden analizar los metadatos).

   Según se define en la versión 1.0 del perfil de interoperabilidad de metadatos SAML V2.0, IAM no evalúa ni toma medidas en relación con la caducidad del certificado X.509 del documento de metadatos.

2. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

3. En el panel de navegación, elija Identity providers (Proveedores de identidades) y, a continuación, Add provider (Agregar proveedor).

4. En Configure provider (Configurar proveedor), elija SAML.

5. Escriba un nombre para el proveedor de identidad.

6. En Metadata document (Documento de metadatos), haga clic en Choose File (Elegir archivo) y especifique el documento de metadatos de SAML que descargó en Paso 1.

7. (Opcional) En Add tags (Agregar etiquetas), puede agregar pares clave-valor para ayudarlo a identificar y organizar los proveedores de identidad. También puede utilizar etiquetas para controlar el acceso a los recursos de AWS. Para obtener más información sobre cómo etiquetar proveedores de identidad SAML, consulte Etiquetado de proveedores de identidad SAML de IAM.

   Seleccione Agregar etiqueta. Introduzca valores para cada par clave-valor de etiqueta.

8. Compruebe la información que ha proporcionado. Cuando haya terminado, elija Add provider (Agregar proveedor).

9. Asigne un rol de IAM a su proveedor de identidades para otorgar a las identidades de usuarios externas administradas por su proveedor de identidades permisos para acceder a los recursos de AWS de su cuenta. Para obtener más información sobre cómo crear roles para la federación de identidades, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

   nota

   Los proveedores de identidad de SAML que se utilizan en una política de confianza de roles deben estar en la misma cuenta en la que se encuentra el rol.

Para eliminar un proveedor SAML (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, elija Proveedores de identidades.

3. Seleccione el botón de opción situado junto al proveedor de identidades que desea eliminar.

4. Elija Eliminar. Se abrirá una nueva ventana.

5. Confirme que desea eliminar el proveedor escribiendo la palabra delete en el campo. A continuación, elija Eliminar.

Creación y administración de un proveedor de identidad SAML de IAM (AWS CLI)

Puedes utilizar la AWS CLI para crear y administrar proveedores SAML.

Antes de poder crear un proveedor de identidades de IAM, necesita el documento de metadatos de SAML que se obtiene del proveedor de identidades. Este documento incluye el nombre del emisor, la información del vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) que se reciben del proveedor de identidades. Para generar el documento de metadatos, utilice el software de administración de identidades que su organización utiliza como proveedor de identidad (IdP). Para obtener instrucciones sobre cómo configurar muchos de los proveedores de identidades (IdP) que funcionan con AWS y sobre cómo generar el documento de metadatos de SAML, consulte Integración de proveedores de soluciones SAML externos con AWS.

importante

Este archivo de metadatos incluye el nombre del emisor, información de vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) recibida desde el IdP. El archivo de metadatos debe estar codificado en formato UTF-8 sin una marca de orden de bytes (BOM). Para eliminar la BOM, puede codificar el archivo en UTF-8 con una herramienta de edición de texto, como Notepad++.

El certificado x.509 incluido como parte del documento de metadatos de SAML debe utilizar un tamaño de clave de al menos 1024 bits. Además, el certificado x.509 no debe contener extensiones repetidas. Puede utilizar extensiones, pero estas solo pueden aparecer una vez en el certificado. Si el certificado x.509 no cumple ninguna condición, se produce un error en la creación de proveedor de identidad (IdP) y devuelve el mensaje “Unable to parse metadata” (No se pueden analizar los metadatos).

Según se define en la versión 1.0 del perfil de interoperabilidad de metadatos SAML V2.0, IAM no evalúa ni toma medidas en relación con la caducidad del certificado X.509 del documento de metadatos.

Para crear un proveedor de identidad de IAM y cargar un documento de metadatos (AWS CLI)

• Ejecute este comando: aws iam create-saml-provider

Para cargar un nuevo documento de metadatos para un proveedor de identidad de IAM (AWS CLI)

• Ejecute este comando: aws iam update-saml-provider

Para etiquetar un proveedor de identidad existente de IAM (AWS CLI)

• Ejecute este comando: aws iam tag-saml-provider

Para enumerar etiquetas del proveedor de identidad de IAM existente (AWS CLI)

• Ejecute este comando: aws iam list-saml-provider-tags

Para quitar etiquetas de un proveedor de identidad de IAM existente (AWS CLI)

• Ejecute este comando: aws iam untag-saml-provider

Para eliminar un proveedor de identidad de IAM SAML (AWS CLI)

1. (Opcional) Para mostrar información de todos los proveedores. como el ARN o la fecha de creación y vencimiento, ejecute el siguiente comando:

   • aws iam list-saml-providers

2. (Opcional) Para obtener información sobre un determinado proveedor, como ARN, fecha de creación y vencimiento, ejecute el siguiente comando:

   • aws iam get-saml-provider

3. Para eliminar un proveedor de identidad de IAM, ejecute este comando:

   • aws iam delete-saml-provider

Creación y administración de un proveedor de identidad SAML de IAM (API de AWS)

Puedes utilizar la API de AWS para crear y administrar proveedores SAML.

Antes de poder crear un proveedor de identidades de IAM, necesita el documento de metadatos de SAML que se obtiene del proveedor de identidades. Este documento incluye el nombre del emisor, la información del vencimiento y las claves que se pueden utilizar para validar la respuesta de autenticación SAML (afirmaciones) que se reciben del proveedor de identidades. Para generar el documento de metadatos, utilice el software de administración de identidades que su organización utiliza como proveedor de identidad (IdP). Para obtener instrucciones sobre cómo configurar muchos de los proveedores de identidades (IdP) que funcionan con AWS y sobre cómo generar el documento de metadatos de SAML, consulte Integración de proveedores de soluciones SAML externos con AWS.

importante

El archivo de metadatos debe estar codificado en formato UTF-8 sin una marca de orden de bytes (BOM). Además, el certificado X.509, que se incluye como parte del documento de metadatos de SAML debe utilizar un tamaño de clave de al menos 1024 bits. Si el tamaño de clave es menor, se produce un error en la creación de proveedor de identidad (IdP) y aparece el mensaje "Unable to parse metadata". Para eliminar la BOM, puede codificar el archivo en UTF-8 con una herramienta de edición de texto, como Notepad++.

Para crear un proveedor de identidad de IAM y cargar un documento de metadatos (API de AWS)

• Llame a esta operación: CreateSAMLProvider

Para cargar un nuevo documento de metadatos para un proveedor de identidad de IAM (API de AWS)

• Llame a esta operación: UpdateSAMLProvider

Para etiquetar un proveedor de identidad de IAM existente (API de AWS)

• Llame a esta operación: TagSAMLProvider

Para enumerar etiquetas de un proveedor de identidad de IAM existente (API de AWS)

• Llame a esta operación: ListSAMLProviderTags

Para quitar etiquetas de un proveedor de identidad de IAM existente (API de AWS)

• Llame a esta operación: UntagSAMLProvider

Para eliminar un proveedor de identidad de IAM (API de AWS)

1. (Opcional) Para mostrar información de todos los proveedores de identidad (IdP), como ARN, fecha de creación y vencimiento, llame a la siguiente operación:

   • ListSAMLProviders

2. (Opcional) Para obtener información sobre un determinado proveedor, como ARN, fecha de creación y vencimiento, llame a la siguiente operación:

   • GetSAMLProvider

3. Para eliminar un IdP, llame a la siguiente operación:

   • DeleteSAMLProvider