Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Acceso mediante inicio de sesión único a las aplicaciones SAML 2.0 y 2.0 OAuth

PDF
RSS
Modo de enfoque
Acceso mediante inicio de sesión único a las aplicaciones SAML 2.0 y 2.0 OAuth - AWS IAM Identity Center
SAML 2.0OAuth 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El Centro de identidades de IAM le permite ofrecer a sus usuarios un acceso de inicio de sesión único a las aplicaciones SAML 2.0 o 2.0. OAuth Los siguientes temas proporcionan una descripción general de alto nivel de SAML 2.0 y 2.0. OAuth

SAML 2.0

SAML 2.0 es un estándar del sector utilizado para intercambiar de forma segura aserciones de SAML que transmiten información sobre un usuario entre una autoridad de SAML (denominada proveedor de identidades o IdP) y un consumidor de SAML 2.0 (denominado proveedor de servicios o SP). El Centro de Identidad de IAM utiliza esta información para proporcionar acceso de inicio de sesión único federado a los usuarios que están autorizados a utilizar las aplicaciones del portal de acceso. AWS

OAuth 2.0

OAuth 2.0 es un protocolo que permite a las aplicaciones acceder a los datos de los usuarios y compartirlos de forma segura sin compartir contraseñas. Esta capacidad proporciona a los usuarios una forma segura y estandarizada de permitir que las aplicaciones accedan a sus recursos. El acceso se ve facilitado por diferentes flujos de subvenciones OAuth 2.0.

El IAM Identity Center permite a las aplicaciones que se ejecutan en clientes públicos recuperar credenciales temporales de acceso Cuentas de AWS y servicios mediante programación en nombre de sus usuarios. Los clientes públicos suelen ser computadoras de escritorio, portátiles u otros dispositivos móviles que se utilizan para ejecutar aplicaciones de forma local. Algunos ejemplos de AWS aplicaciones que se ejecutan en clientes públicos son AWS Command Line Interface (AWS CLI) y los kits de desarrollo de AWS software (). AWS Toolkit SDKs Para permitir que estas aplicaciones obtengan credenciales, IAM Identity Center admite partes de los siguientes flujos OAuth 2.0:

  • Concesión de códigos de autorización con clave de prueba para el intercambio de códigos (PKCE) (RFC 6749 y RFC 7636)

  • Concesión de autorización de dispositivo (RFC 8628)

nota

Estos tipos de subvenciones solo se pueden utilizar si Servicios de AWS admiten esta capacidad. Es posible que estos servicios no admitan este tipo de concesión en todas Regiones de AWS. Consulte la documentación relevante Servicios de AWS para conocer las diferencias regionales.

OpenID Connect (OIDC) es un protocolo de autenticación que se basa en el marco 2.0. OAuth El OIDC especifica cómo utilizar la versión 2.0 para la autenticación. OAuth A través del servicio OIDC del IAM Identity Center APIs, una aplicación registra un cliente OAuth 2.0 y utiliza uno de estos flujos para obtener un token de acceso que permite proteger el IAM Identity Center. APIs Una aplicación especifica los ámbitos de acceso para declarar el usuario de API al que va dirigido. Una vez que usted, como administrador de IAM Identity Center, haya configurado su fuente de identidad, los usuarios finales de la aplicación deberán completar un proceso de inicio de sesión, si aún no lo han hecho. A continuación, los usuarios finales deben dar su consentimiento para permitir que la aplicación realice llamadas a la API. Estas llamadas a la API se realizan con los permisos de los usuarios. En respuesta, IAM Identity Center devuelve un token de acceso a la aplicación que contiene los ámbitos de acceso a los que los usuarios dieron su consentimiento.

Uso de un flujo de concesión 2.0 OAuth

OAuth Los flujos de subvenciones 2.0 solo están disponibles a través de aplicaciones AWS gestionadas que admiten los flujos. Para utilizar un flujo OAuth 2.0, su instancia de IAM Identity Center y cualquier aplicación AWS gestionada compatible que utilice deben implementarse en una sola Región de AWS. Consulte la documentación de cada una de ellas Servicio de AWS para determinar la disponibilidad regional de las aplicaciones AWS gestionadas y la instancia del IAM Identity Center que desea utilizar.

Para utilizar una aplicación que utilice un flujo OAuth 2.0, el usuario final debe introducir la URL a la que se conectará la aplicación y registrarse en su instancia de IAM Identity Center. En función de la aplicación, como administrador, debe proporcionar a sus usuarios la URL del portal de acceso AWS o la URL del emisor de su instancia de IAM Identity Center. Puede encontrar estos dos ajustes en la página de Configuración de la consola de IAM Identity Center. Para obtener información adicional sobre la configuración de una aplicación cliente, consulte la documentación de esa aplicación.

La experiencia del usuario final a la hora de iniciar sesión en una aplicación y dar su consentimiento depende de si la aplicación utiliza Concesión de código de autorización con PKCE o Concesión de autorización de dispositivo.

Concesión de código de autorización con PKCE

Este flujo lo utilizan las aplicaciones que se ejecutan en un dispositivo que tiene un navegador.

  1. Se abre una ventana del navegador.

  2. Si el usuario no se ha autenticado, el navegador lo redirige para completar la autenticación del usuario.

  3. Tras la autenticación, se presenta al usuario una pantalla de consentimiento que muestra la siguiente información:

    • El nombre de la aplicación

    • Los ámbitos de acceso para los que la aplicación solicita el consentimiento

  4. El usuario puede cancelar el proceso de consentimiento o puede dar su consentimiento y la aplicación procederá al acceso en función de los permisos del usuario.

Concesión de autorización de dispositivo

Las aplicaciones que se ejecutan en un dispositivo con o sin navegador pueden utilizar este flujo. Cuando la aplicación inicia el flujo, presenta una URL y un código de usuario que el usuario debe verificar más adelante en el flujo. El código de usuario es necesario porque la aplicación que inicia el flujo puede estar ejecutándose en un dispositivo diferente al dispositivo en el que el usuario da su consentimiento. El código garantiza que el usuario dé su consentimiento al flujo que inició en el otro dispositivo.

nota

Si tiene clientes que la utilizandevice.sso.region.amazonaws.com, debe actualizar su flujo de autorización para usar Proof Key for Code Exchange (PKCE). Para obtener más información, consulte Configuración de la autenticación del IAM Identity Center AWS CLI en la Guía del AWS Command Line Interface usuario.

  1. Cuando el flujo se inicia desde un dispositivo con un navegador, se abre una ventana del navegador. Cuando el flujo se inicia desde un dispositivo sin navegador, el usuario debe abrir un navegador en un dispositivo diferente e ir a la URL que presentó la aplicación.

  2. En cualquier caso, si el usuario no se ha autenticado, el navegador lo redirige para completar la autenticación del usuario.

  3. Tras la autenticación, se presenta al usuario una pantalla de consentimiento que muestra la siguiente información:

    • El nombre de la aplicación

    • Los ámbitos de acceso para los que la aplicación solicita el consentimiento

    • El código de usuario que la aplicación presentó al usuario

  4. El usuario puede cancelar el proceso de consentimiento o puede dar su consentimiento y la aplicación procederá al acceso en función de los permisos del usuario.

Ámbitos de acceso

Un ámbito define el acceso a un servicio al que se puede acceder a través de un flujo OAuth 2.0. Los ámbitos permiten al servicio, también denominado servidor de recursos, agrupar los permisos relacionados con las acciones y los recursos del servicio, y especifican las operaciones más generales que OAuth pueden solicitar los clientes de la versión 2.0. Cuando un cliente OAuth 2.0 se registra en el servicio OIDC del IAM Identity Center, especifica los ámbitos para declarar las acciones que pretende realizar, para lo cual el usuario debe dar su consentimiento.

OAuth Los clientes 2.0 utilizan scope los valores definidos en la sección 3.3 de la OAuth versión 2.0 (RFC 6749) para especificar qué permisos se solicitan para un token de acceso. Los clientes pueden especificar un máximo de 25 ámbitos al solicitar un token de acceso. Cuando un usuario da su consentimiento durante una concesión de código de autorización con el PKCE o el flujo de concesión de autorización de un dispositivo, IAM Identity Center codifica los ámbitos en el token de acceso que devuelve.

AWS añade ámbitos al Centro de Identidad de IAM para que sean compatibles. Servicios de AWS En la siguiente tabla, se enumeran los ámbitos que admite el servicio OIDC de IAM Identity Center al registrar un cliente público.

Ámbitos de acceso compatibles con el servicio OIDC de IAM Identity Center al registrar a un cliente público

Alcance Descripción Servicios admitidos por
sso:account:access Acceda a las cuentas administradas y a los conjuntos de permisos de IAM Identity Center. IAM Identity Center
codewhisperer:analysis Habilite el acceso al análisis de código de Amazon Q Developer. ID de creador de AWS y el Centro de identidades de IAM
codewhisperer:completions Habilite el acceso a las sugerencias de código en línea de Amazon Q. ID de creador de AWS y el Centro de Identidad de IAM
codewhisperer:conversations Habilite el acceso al chat de Amazon Q. ID de creador de AWS y el Centro de Identidad de IAM
codewhisperer:taskassist Habilite el acceso al agente de Amazon Q Developer para el desarrollo de software. ID de creador de AWS y el Centro de Identidad de IAM
codewhisperer:transformations Habilite el acceso al agente de Amazon Q Developer para la transformación de código. ID de creador de AWS y el Centro de Identidad de IAM
codecatalyst:read_write Lee y escribe en tus CodeCatalyst recursos de Amazon, lo que te permite acceder a todos tus recursos existentes. ID de creador de AWS y el Centro de Identidad de IAM

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.