Proveedores de confianza de identidad de usuarios

Puede optar por utilizar AWS IAM Identity Center o un proveedor de confianza de identidad de usuario compatible con OpenID Connect.

Uso de IAM Identity Center como proveedor de confianza

Puede utilizar AWS IAM Identity Center como su proveedor de confianza de identidades de usuario con Acceso verificado de AWS.

Requisitos y consideraciones previos

• Su instancia de IAM Identity Center debe ser una instancia AWS Organizations. Una instancia de IAM Identity Center no funcionará con una cuenta independiente de AWS.

• Su instancia de IAM Identity Center debe estar habilitada en la misma región de AWS en la que desea crear el proveedor de confianza de Acceso verificado.

Consulte Administrar las instancias de organización y cuenta de IAM Identity Center en la Guía del usuario de AWS IAM Identity Center para obtener más información sobre los distintos tipos de instancias.

Crear un proveedor de confianza de IAM Identity Center

Una vez que el IAM Identity Center esté habilitado en su cuenta AWS, puede utilizar el siguiente procedimiento para configurar el IAM Identity Center como su proveedor de confianza para Acceso verificado.

Para crear un proveedor de confianza de IAM Identity Center (consola AWS)

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, seleccione proveedores de confianza de Acceso verificado y, a continuación, Crear proveedor de confianza de Acceso verificado.

3. (Opcional) En Etiqueta de nombre y Descripción, introduzca un nombre y una descripción para el proveedor de confianza.

4. En Nombre de referencia de la política, introduzca un identificador para usarlo más adelante cuando trabaje con las reglas de la política.

5. En Tipo de proveedor de confianza, seleccione Proveedor de confianza de usuarios.

6. En Tipo de proveedor de confianza de usuarios, seleccione IAM Identity Center.

7. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

8. Seleccione Crear un proveedor de confianza de Acceso verificado.

Crear un proveedor de confianza de IAM Identity Center (AWS CLI)

• create-verified-access-trust-provider (AWS CLI)

Eliminar un proveedor de confianza de IAM Identity Center

Antes de poder eliminar un proveedor de confianza, debe eliminar toda la configuración de punto de conexión y grupo de la instancia a la que está conectado el proveedor de confianza.

Para eliminar un proveedor de confianza de IAM Identity Center (consola AWS)

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, seleccione los proveedores de confianza de Acceso verificado y, a continuación, seleccione el proveedor de confianza que desea eliminar en la sección Proveedores de confianza de Acceso verificado.

3. Seleccione Acciones y, a continuación, Eliminar proveedor de confianza de Acceso verificado.

4. Para confirmar la eliminación, ingrese delete en el cuadro de texto.

5. Elija Eliminar.

Eliminar un proveedor de confianza (AWS CLI) de IAM Identity Center

• delete-verified-access-trust-provider (AWS CLI)

Uso de un proveedor de confianza de OpenID Connect

Acceso verificado de AWS es compatible con los proveedores de identidades que utilizan métodos estándar de OpenID Connect (OIDC). Con Acceso verificado, puede utilizar proveedores compatibles con OIDC como proveedores de confianza de identidades de usuarios. Sin embargo, debido a la amplia gama de posibles proveedores de OIDC, AWS no puede probar cada integración de OIDC con Acceso verificado.

Acceso verificado obtiene los datos de confianza que evalúa de los proveedores de OIDC UserInfo Endpoint. El parámetro Scope se utiliza para determinar qué conjuntos de datos de confianza se recuperarán. Una vez recibidos los datos de confianza, se evalúa la política de Acceso verificado en función de dichos datos.

nota

Al evaluar la política de Acceso verificado, Acceso verificado no utiliza los datos de confianza de ID token enviados por el proveedor del OIDC. Solo los datos de confianza de UserInfo Endpoint se evalúan con respecto a la política.

Contenido

• Requisitos previos para crear un proveedor de confianza de OIDC
• Cree un proveedor de confianza de OIDC
• Modificar un proveedor de confianza de OIDC
• Eliminar un proveedor de confianza de OIDC

Requisitos previos para crear un proveedor de confianza de OIDC

Deberá recopilar la siguiente información directamente de su servicio de proveedores de confianza:

• Emisor

• Punto de conexión de autorización

• Punto de conexión de token

• Punto de conexión UserInfo

• ID de cliente

• Secreto del cliente

• Ámbito

Cree un proveedor de confianza de OIDC

Utilice el siguiente procedimiento para crear un OIDC como proveedor de confianza.

Para crear un proveedor de confianza de OIDC (consola AWS)

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, seleccione proveedores de confianza de Acceso verificado y, a continuación, Crear proveedor de confianza de Acceso verificado.

3. (Opcional) En Etiqueta de nombre y Descripción, introduzca un nombre y una descripción para el proveedor de confianza.

4. En Nombre de referencia de la política, introduzca un identificador para usarlo más adelante cuando trabaje con las reglas de la política.

5. En Tipo de proveedor de confianza, seleccione Proveedor de confianza de usuarios.

6. En Tipo de proveedor de confianza de usuarios, seleccione OIDC (OpenID Connect).

7. En Emisor, introduzca el identificador del emisor de OIDC.

8. En Punto de conexión de autorización, introduzca la URL completa del punto de conexión de autorización.

9. En Punto de conexión del token, introduzca la URL completa del punto de conexión del token.

10. En Punto de conexión del usuario, introduzca la URL completa del punto de conexión del usuario.

11. Introduzca el identificador de cliente de OAuth 2.0 para el ID de cliente.

12. Introduzca el secreto de cliente de OAuth 2.0 para el Secreto de cliente.

13. Introduzca una lista de ámbitos delimitados por espacios definidos con su proveedor de identidad. Como mínimo, se requiere el alcance “openid para Scope.

14. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

15. Seleccione Crear un proveedor de confianza de Acceso verificado.

nota

Deberá añadir un URI de redireccionamiento a la lista de permisos de su proveedor de OIDC. Para ello, querrá utilizar el ApplicationDomain del punto de conexión de Acceso verificado. Puede encontrarlo en la AWS Management Console, en la consola Detalles de su punto de conexión de Acceso verificado o utilizando la AWS CLI para describir el punto de conexión. Añada lo siguiente a su lista de permitidos de su proveedor de OIDC: https://ApplicationDomain/oauth2/idpresponse

Para crear un proveedor de confianza de OIDC (AWS CLI)

• create-verified-access-trust-provider (AWS CLI)

Modificar un proveedor de confianza de OIDC

Después de crear un proveedor de confianza, puede actualizar su configuración.

Para modificar un proveedor de confianza de OIDC (AWS consola)

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, seleccione Proveedores de confianza de Acceso verificado y, a continuación, seleccione el proveedor de confianza que desee modificar en Proveedores de confianza de Acceso verificado.

3. Seleccione Acciones y, a continuación, Modificar proveedor de confianza de Acceso verificado.

4. Cambie las opciones que desee modificar.

5. Seleccione Modificar proveedor de confianza de Acceso verificado.

Para modificar un proveedor de confianza (AWS CLI) de OIDC

• modify-verified-access-trust-provider (AWS CLI)

Eliminar un proveedor de confianza de OIDC

Para poder eliminar un proveedor de confianza de usuarios, primero debe eliminar toda la configuración de puntos de conexión y grupos de la instancia a la que está conectado el proveedor de confianza.

Para eliminar un proveedor de confianza de OIDC (consola de AWS)

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, seleccione los proveedores de confianza de Acceso verificado y, a continuación, seleccione el proveedor de confianza que desea eliminar en la sección Proveedores de confianza de Acceso verificado.

3. Seleccione Acciones y, a continuación, Eliminar proveedor de confianza de Acceso verificado.

4. Para confirmar la eliminación, ingrese delete en el cuadro de texto.

5. Elija Eliminar.

Para eliminar un proveedor de confianza de OIDC (AWS CLI )

• delete-verified-access-trust-provider (AWS CLI)