aws single sign-on · sus cuentas de aws de producción al grupo devops. a continuación, los...

AWS Single Sign-OnGuía del usuario

AWS Single Sign-On Guía del usuario

AWS Single Sign-On: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of Contents¿Qué es AWS Single Sign-On? ............................................................................................................ 1

Características de AWS SSO ....................................................................................................... 1Introducción ....................................................................................................................................... 3

Requisitos previos de AWS SSO .................................................................................................. 3Paso 1: Habilite AWS SSO .......................................................................................................... 3Paso 2: Seleccione su directorio ................................................................................................... 4Paso 3: Configure SSO en sus cuentas de AWS ............................................................................. 4Paso 4: Configure SSO en sus aplicaciones en la nube ................................................................... 4

Conceptos clave de AWS SSO ............................................................................................................ 6Federación SAML ....................................................................................................................... 6Autenticaciones de usuario .......................................................................................................... 6Conjuntos de permisos ................................................................................................................ 6

Administrar su directorio ...................................................................................................................... 8Administrar su directorio de AWS SSO .......................................................................................... 8

Añadir usuarios .................................................................................................................. 9Añadir grupos .................................................................................................................... 9Añadir usuarios a grupos ................................................................................................... 10Editar propiedades del usuario ............................................................................................ 10Deshabilitar un usuario ...................................................................................................... 10Restablecer la contraseña de un usuario .............................................................................. 11

Conectarse a un directorio de Microsoft AD .................................................................................. 11Conectar AWS SSO a un directorio AWS Managed Microsoft AD ............................................. 12Conectar AWS SSO a un Active Directory local ..................................................................... 12Mapeos de atributos .......................................................................................................... 12

Cambiar el tipo de directorio ....................................................................................................... 15Administrar el SSO a sus cuentas de AWS .......................................................................................... 16

Acceso con inicio de sesión único ............................................................................................... 16Asignar acceso a usuarios ................................................................................................. 17Eliminar el acceso a usuarios ............................................................................................. 18Delegar quién puede asignar acceso SSO a los usuarios de la cuenta maestra ........................... 18

Conjuntos de permisos .............................................................................................................. 19Crear un conjunto de permisos ........................................................................................... 19Eliminar conjuntos de permisos ........................................................................................... 20Definir la duración de la sesión ........................................................................................... 20

Proveedor de identidad de IAM ................................................................................................... 21Reparar el proveedor de identidad de IAM ............................................................................ 21Eliminar el proveedor de identidad de IAM ............................................................................ 21

Roles vinculados a servicios ....................................................................................................... 21Administrar el SSO a sus aplicaciones ................................................................................................. 22

Aplicaciones en la nube ............................................................................................................. 22Aplicaciones compatibles ................................................................................................... 23Agregar y configurar una aplicación en la nube ..................................................................... 24

Aplicaciones de SAML 2.0 personalizadas .................................................................................... 24Agregar y configurar una aplicación de SAML 2.0 personalizada .............................................. 25

Propiedades de la aplicación ...................................................................................................... 25URL de inicio de la aplicación ............................................................................................ 26Estado de retransmisión .................................................................................................... 26Duración de la sesión ........................................................................................................ 27

Asignar acceso a usuarios ......................................................................................................... 27Eliminar el acceso a usuarios ..................................................................................................... 28Mapear atributos de su aplicación con atributos de AWS SSO ......................................................... 28

Autenticación y control de acceso ....................................................................................................... 29Autenticación ............................................................................................................................ 29Control de acceso ..................................................................................................................... 30

iii


Información general sobre la administración de acceso ................................................................... 31Recursos y operaciones de AWS SSO ................................................................................ 31Titularidad de los recursos ................................................................................................. 31Administración del acceso a los recursos ............................................................................. 31Especificación de elementos de política: acciones, efectos, recursos y entidades principales ......... 33Especificación de las condiciones de una política .................................................................. 33

Usar políticas basadas en identidad (políticas de IAM) ................................................................... 34Permisos necesarios para usar la consola de AWS SSO ........................................................ 35AWSPolíticas administradas (predefinidas) para AWS SSO ..................................................... 35Ejemplos de políticas administradas por el cliente .................................................................. 35

Uso de roles vinculados a servicios ............................................................................................. 39Permisos de roles vinculados a servicios para AWS SSO ....................................................... 40Creación de una función vinculada a servicios para AWS SSO ................................................ 41Edición de un rol vinculado al servicio para AWS SSO ........................................................... 41Eliminación de un rol vinculado al servicio para AWS SSO ...................................................... 41

Uso del portal de usuario ................................................................................................................... 43Sugerencias a la hora de usar el portal ........................................................................................ 43Cómo aceptar la invitación para unirse a AWS SSO ...................................................................... 43Cómo iniciar sesión en el portal de usuario .................................................................................. 44Cómo cerrar sesión del portal de usuario ..................................................................................... 44Cómo buscar una cuenta de AWS o aplicación ............................................................................. 44Cómo restablecer la contraseña .................................................................................................. 45Cómo obtener credenciales de un rol de IAM para acceder a una cuenta de AWS desde la CLI ............. 45

Registro de llamadas a la API de AWS SSO con AWS CloudTrail ............................................................ 47Información de AWS SSO en CloudTrail ...................................................................................... 47Descripción de las entradas de archivos de registro de AWS SSO ................................................... 49

Límites ............................................................................................................................................ 51Límites en aplicaciones .............................................................................................................. 51Límites de la cuenta de AWS ..................................................................................................... 51Límites de los directorios conectados ........................................................................................... 51Límites del directorio de AWS SSO ............................................................................................. 52

Solución de problemas ...................................................................................................................... 53No puedo configurar mi aplicación en la nube correctamente ........................................................... 53No sé qué datos contiene la aserción SAML que se transferirá al proveedor de servicios ...................... 53

Historial de versiones ........................................................................................................................ 54AWS Glossary .................................................................................................................................. 55

iv

AWS Single Sign-On Guía del usuarioCaracterísticas de AWS SSO

¿Qué es AWS Single Sign-On?AWS Single Sign-On es un servicio de inicio de sesión único (SSO) basado en la nube que facilita laadministración centralizada del acceso SSO a todas sus cuentas de AWS y aplicaciones en la nube.En concreto, le ayuda a administrar el acceso SSO y los permisos de usuario en todas sus cuentas deAWS en AWS Organizations. AWS SSO también le ayuda a administrar el acceso y los permisos paralas aplicaciones de terceros de software como servicio (SaaS) usadas habitualmente, así como paralas aplicaciones personalizadas que admiten el lenguaje de marcado de aserción de seguridad (SAML,Security Assertion Markup Language) 2.0. AWS SSO incluye un portal de usuarios en el que los usuariosfinales pueden encontrar y obtener acceso a todas sus cuentas de AWS asignadas, aplicaciones en lanube y aplicaciones personalizadas en un solo lugar.

Características de AWS SSOAWS SSO ofrece las siguientes características:

Integración con AWS Organizations

AWS SSO está estrechamente integrado con las operaciones de API de AWS Organizations y AWS, adiferencia de otras soluciones SSO nativas en la nube. AWS SSO está integrado de forma nativa conAWS Organizations y muestra todas sus cuentas de AWS. Si ha organizado sus cuentas en unidadesorganizativas (OU), verá que se muestran de esa forma en la consola de AWS SSO. Esto le permiteencontrar rápidamente sus cuentas de AWS, implementar conjuntos de permisos comunes y administrar elacceso desde una ubicación central.

Acceso SSO a sus cuentas de AWS y a las aplicaciones en la nube

AWS SSO simplifica la administración de los procesos SSO en todas sus cuentas de AWS, aplicacionesen la nube y aplicaciones personalizadas basadas en SAML 2.0, sin scripts personalizados ni solucionesSSO de terceros. Utilice la consola de AWS SSO para asignar rápidamente los usuarios que deben teneracceso con un solo clic únicamente a las aplicaciones que ha autorizado para su portal de usuario finalpersonalizado.

Creación y administración de usuarios y grupos en AWS SSO

Cuando habilita el servicio por primera vez, creamos un directorio predeterminado por usted en AWS SSO.Puede utilizar este directorio para administrar sus usuarios y grupos directamente en la consola. O bien,si lo prefiere, puede conectarse a un directorio AWS Managed Microsoft AD existente y administrar losusuarios con las herramientas de administración de Active Directory estándar proporcionadas en WindowsServer. Si elige administrar los usuarios en AWS SSO, puede crear rápidamente usuarios y despuésorganizarlos fácilmente en grupos, todo ello dentro de la consola.

Aprovechar las identidades corporativas existentes

AWS SSO se integra con Microsoft AD a través de AWS Directory Service. Esto significa que losempleados pueden iniciar sesión en su portal de usuario de AWS SSO con sus credenciales de ActiveDirectory. Para otorgar acceso a cuentas y aplicaciones a los usuarios de Active Directory, solo tieneque añadirlos a los grupos de Active Directory adecuados. Por ejemplo, puede otorgar acceso SSO asus cuentas de AWS de producción al grupo DevOps. A continuación, los usuarios añadidos al grupoDevOps dispondrán de acceso SSO a dichas cuentas de AWS de forma automática. Con ello se simplificala incorporación de nuevos usuarios y se otorga a los usuarios existentes acceso a nuevas cuentas yaplicaciones de forma rápida.

1

AWS Single Sign-On Guía del usuarioCaracterísticas de AWS SSO

Compatible con las aplicaciones en la nube de uso común

AWS SSO es compatible con las aplicaciones en la nube de uso común como Salesforce, Box y Office365. Esto reduce el tiempo necesario para configurar estas aplicaciones para SSO proporcionandoinstrucciones de integración de aplicaciones. Estas instrucciones actúan como medidas de protección paraayudar a los administradores a configurar y solucionar problemas con estas configuraciones de SSO. Deesta forma, ya no es necesario que los administradores aprendan las sutilezas de la configuración de cadaaplicación en la nube.

Fácil de configurar y monitorizar

Con AWS SSO, puede activar un servicio de SSO de alta disponibilidad con tan solo unos pocos clics. Nohay ninguna infraestructura adicional que implementar ni ninguna cuenta de AWS que configurar. AWSSSO es una infraestructura altamente disponible y completamente segura que se escala en función de susnecesidades y no requiere software o hardware que administrar. AWS SSO registra todas las actividadesde inicio de sesión en AWS CloudTrail, lo que le ofrece visibilidad para monitorizar y auditar la actividadSSO en un único lugar.

2

AWS Single Sign-On Guía del usuarioRequisitos previos de AWS SSO

IntroducciónEn este ejercicio de introducción, va a habilitar AWS Single Sign-On, conectar su directorio, configurarSSO en sus cuentas de AWS y, por último, configurar SSO en sus aplicaciones en la nube. Aunque noes necesario, le recomendamos que consulte Comprensión de conceptos clave de AWS Single Sign-On (p. 6) antes de empezar a utilizar la consola para que se familiarice con las características yterminología principales.

Temas• Requisitos previos de AWS SSO (p. 3)• Habilite AWS SSO (p. 3)• Selección de su directorio (p. 4)• Configurar SSO en sus cuentas de AWS (p. 4)• Configurar SSO en sus aplicaciones en la nube (p. 4)

Requisitos previos de AWS SSOPara poder configurar AWS SSO, debe:

• Haber configurado el servicio AWS Organizations y habilitado Todas las características. Para obtenermás información sobre este ajuste, consulte Habilitar todas las características en la organización en laGuía del usuario de AWS Organizations.

• Iniciar sesión con las credenciales de la cuenta maestra de AWS Organizations antes de comenzar aconfigurar AWS SSO. Estas credenciales son necesarias para habilitar AWS SSO. Para obtener másinformación, consulte Creación y administración de una organización de AWS en la Guía del usuariode AWS Organizations. No puede configurar AWS SSO si ha iniciado sesión con credenciales de unacuenta miembro de una organización.

• Haber elegido un almacén de directorios para determinar qué grupo de usuarios tiene acceso SSOal portal de usuarios. Si decide utilizar el directorio de AWS SSO predeterminado para el almacénde usuarios, no se requiere ninguna tarea previa. El directorio de AWS SSO se crea de formapredeterminada una vez que haya activado AWS SSO y está listo para utilizarse inmediatamente. No seaplica ningún cargo por el uso de este tipo de directorio. Si decide conectarse a una instancia existentede Active Directory del almacén de usuarios, debe tener:• Un directorio de AWS Managed Microsoft AD existente configurado en AWS Directory Service, que

debe residir en la cuenta maestra de su organización. Solo puede conectar un único directorio AWSManaged Microsoft AD cada vez. Sin embargo, puede cambiarlo por otro directorio de AWS ManagedMicrosoft AD o cambiarlo de nuevo a un directorio de AWS SSO en cualquier momento. Para obtenermás información, consulte Creación de un directorio de AWS Managed Microsoft AD en la AWSDirectory Service Administration Guide.

• Un directorio de AWS Managed Microsoft AD que esté en la región US East (N. Virginia) (us-east-1)donde AWS SSO también esté disponible. AWS SSO almacena los datos de asignación en la mismaregión que el directorio. Para administrar AWS SSO, debe estar en la región us-east-1. Además, tengaen cuenta que el portal de usuarios de AWS SSO utiliza la misma URL de acceso que el directorioconectado.

Habilite AWS SSOAl abrir la consola de AWS SSO por primera vez, se le pedirá que habilite AWS SSO antes de empezara administrarlo. Si ya ha elegido esta opción, puede omitir este paso. De lo contrario, utilice el siguiente

3

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html

http://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_directory.html

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/access_url.html

AWS Single Sign-On Guía del usuarioPaso 2: Seleccione su directorio

procedimiento para habilitarlo ahora. Una vez habilitado, AWS SSO recibirá los permisos necesariospara crear roles vinculados a servicios de IAM en cualquiera de las cuentas de AWS de su organizaciónde AWS. En ese momento, no se crea ningún rol vinculado al servicio. AWS SSO crea estos roles másadelante durante el proceso de configuración del acceso SSO a sus cuentas de AWS (consulte ConfigurarSSO en sus cuentas de AWS (p. 4)).

Para habilitar AWS SSO

1. Inicie sesión en la Consola de administración de AWS con sus credenciales de cuenta maestra deAWS Organizations.

2. Abra la consola de AWS SSO.3. Choose Enable AWS SSO (Habilitar AWS SSO).4. Si todavía no ha configurado AWS Organizations, se le pedirá que cree una organización. Elija Create

AWS organization (Crear organización de AWS) para completar este proceso.

Selección de su directorioLa selección de un directorio determina dónde AWS SSO busca usuarios y grupos que necesitan accesoSSO. De forma predeterminada, obtiene un directorio de AWS SSO para poder administrar usuarios deforma rápida y sencilla. Si lo prefiere, también puede conectar un directorio AWS Managed Microsoft ADcon el Active Directory local.

AWS SSO proporciona a los usuarios de este directorio un portal de usuario personalizado desde el quepueden lanzar con facilidad varias cuentas de AWS o aplicaciones en la nube. Los usuarios inician sesiónen el portal mediante las credenciales corporativas o con las credenciales que configuran en AWS SSO.Una vez que inicien sesión, tienen acceso con un solo clic a todas las aplicaciones y cuentas de AWS queusted haya autorizado previamente.

En función del tipo de directorio que esté intentando configurar, consulte los temas que se indican acontinuación para obtener instrucciones:

• Administrar su directorio de AWS SSO (p. 8)• Conectarse a un directorio de Microsoft AD (p. 11)

Para obtener más información acerca de los tipos de directorio admitidos, consulte Administrar sudirectorio (p. 8).

Configurar SSO en sus cuentas de AWSEn este paso, puede conceder a los usuarios de su directorio acceso SSO a una o varias consolas deAWS para cuentas de AWS específicas de su organización de AWS. Después, los usuarios solo veránel icono de la cuenta de AWS (por ejemplo, Development) que se les haya asignado desde su portal deusuario. Cuando hagan clic en el icono, podrán elegir el rol de IAM que desean utilizar para iniciar sesiónen la Consola de administración de AWS para dicha cuenta de AWS.

Para empezar a asignar el acceso SSO a sus cuentas de AWS, consulte Asignar acceso ausuarios (p. 17).

Configurar SSO en sus aplicaciones en la nubeEn función del tipo de aplicación que esté intentando configurar, siga uno de los procedimientos que sedescriben a continuación:

4

https://console.aws.amazon.com/singlesignon

AWS Single Sign-On Guía del usuarioPaso 4: Configure SSO en sus aplicaciones en la nube

• Agregar y configurar una aplicación en la nube (p. 24)• Agregar y configurar una aplicación de SAML 2.0 personalizada (p. 25)

Para obtener más información acerca de los tipos de aplicación admitidos, consulte Administrar el SSO asus aplicaciones (p. 22).

Una vez que haya completado el procedimiento adecuado, habrá configurado correctamente AWSSSO y establecido una relación de confianza con su proveedor de servicios. Ahora sus usuarios yapueden acceder a estas aplicaciones desde su portal de usuario en función de los permisos que les hayaasignado.

5

AWS Single Sign-On Guía del usuarioFederación SAML

Comprensión de conceptos clave deAWS Single Sign-On

Podrá sacarle más partido a AWS Single Sign-On si se familiariza con los conceptos clave relacionadoscon la federación SAML, la autenticación de usuarios y los permisos de IAM.

Temas• Federación SAML (p. 6)• Autenticaciones de usuario (p. 6)• Conjuntos de permisos (p. 6)

Federación SAMLAWS SSO admite la identidad federada con el lenguaje de marcado de aserción de seguridad (SAML,Security Assertion Markup Language) 2.0. SAML 2.0 es un estándar de la industria que se utiliza paraintercambiar de forma segura las aserciones SAML que pasan información sobre un usuario entre unaautoridad de SAML (denominada "proveedor de identidad" o IdP) y un consumidor de SAML (denominado"proveedor de servicio" o SP). El servicio AWS SSO utiliza esta información para proporcionar el inicio desesión único (SSO) federado a aquellos usuarios que tienen autorización para usar aplicaciones dentro delportal de usuarios de AWS SSO.

AWS SSO añade funciones de proveedor de identidad de SAML a su directorio AWS Managed MicrosoftAD o al directorio de AWS SSO. A continuación, los usuarios pueden realizar un inicio de sesión únicoque admita SAML, incluida la Consola de administración de AWS y aplicaciones de terceros, como Office365, Concur y Salesforce. Por el momento, AWS SSO no es compatible con otros tipos de directorio oproveedores de identidad.

Autenticaciones de usuarioCuando un usuario inicia sesión en el portal de usuarios utilizando su nombre de usuario, AWS SSOredirige la solicitud al servicio de autenticación de AWS SSO en función del directorio asociado a sudirección de correo electrónico. Tras la autenticación, los usuarios tienen acceso SSO a todas las cuentasde AWS y a las aplicaciones de terceros de software como servicio (SaaS) que se muestran en el portal sintener que realizar inicios de sesión adicionales. Esto significa que los usuarios ya no tienen que realizar unseguimiento de las credenciales de las diferentes cuentas de las distintas aplicaciones de AWS que tienenasignadas y que utilizan diariamente.

Conjuntos de permisosUn conjunto de permisos es una colección de políticas definidas por el administrador que AWS SSO utilizacon el fin de determinar los permisos en vigor del usuario para obtener acceso a una cuenta de AWSdeterminada. Los conjuntos de permisos pueden contener políticas administradas por AWS o políticaspersonalizadas almacenadas en AWS SSO. Las políticas son básicamente documentos que actúan comocontenedores de una o varias instrucciones de permisos. Estas instrucciones representan los controles

6

https://wiki.oasis-open.org/security

https://wiki.oasis-open.org/security

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

AWS Single Sign-On Guía del usuarioConjuntos de permisos

de acceso individuales (permitir o denegar) para diversas tareas que determinan qué tareas pueden o nopueden realizar los usuarios en la cuenta de AWS.

Los conjuntos de permisos se almacenan en AWS SSO y solo se utilizan para las cuentas de AWS. No seutilizan para administrar el acceso a las aplicaciones en la nube. Los conjuntos de permisos se crean enúltima instancia como roles de IAM en una cuenta de AWS determinada con las políticas de confianza quepermiten a los usuarios asumir el rol a través de AWS SSO.

7

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

AWS Single Sign-On Guía del usuarioAdministrar su directorio de AWS SSO

Administrar su directorioPuede configurar su directorio en AWS SSO para determinar dónde se almacenan los usuarios y grupos.Una vez configurados, puede buscar los usuarios o grupos del directorio para concederles acceso de iniciode sesión único a las cuentas de AWS, las aplicaciones en la nube o ambas.

AWS SSO le proporciona automáticamente un directorio de forma predeterminada, que puede utilizarpara administrar sus usuarios y grupos dentro de AWS SSO. Si elige almacenarlos en AWS SSO, creesus usuarios y grupos y asigne su nivel de acceso a sus cuentas de AWS y aplicaciones. También puedeelegir Conectar AWS SSO a un Active Directory local (p. 12) o Conectar AWS SSO a un directorio AWSManaged Microsoft AD (p. 12) mediante AWS Directory Service.

Note

AWS SSO no admite Simple AD basado en SAMBA4 como directorio conectado.

Temas• Administrar su directorio de AWS SSO (p. 8)• Conectarse a un directorio de Microsoft AD (p. 11)• Cambiar el tipo de directorio (p. 15)

Administrar su directorio de AWS SSOAWS Single Sign-On le proporciona un directorio predeterminado para almacenar sus usuarios y grupos. Sielige almacenarlos en AWS SSO, lo único que tiene que hacer es lo siguiente:

1. Cree sus usuarios y grupos.2. Añada sus usuarios como miembros a los grupos.3. Asigne los grupos con el nivel de acceso deseado a sus cuentas de AWS y aplicaciones.

Note

Los usuarios y grupos que cree en su directorio de AWS SSO solo están disponibles en AWSSSO.

Si prefiere administrar los usuarios en AWS Managed Microsoft AD, puede dejar de usar el directoriode AWS SSO en cualquier momento y, en su lugar, conectar AWS SSO a su Microsoft AD medianteAWS Directory Service. Para obtener más información, consulte Conectarse a un directorio de MicrosoftAD (p. 11).

Temas• Añadir usuarios (p. 9)• Añadir grupos (p. 9)• Añadir usuarios a grupos (p. 10)• Editar propiedades del usuario (p. 10)• Deshabilitar un usuario (p. 10)

8

AWS Single Sign-On Guía del usuarioAñadir usuarios

• Restablecer la contraseña de un usuario (p. 11)

Añadir usuariosUtilice el siguiente procedimiento para añadir usuarios a su directorio de AWS SSO.

Para añadir un usuario

1. Abra la consola de AWS SSO.2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).3. En la página Directory (Directorio), seleccione la pestaña Users (Usuarios) y, luego, seleccione Add

user (Añadir usuario).4. En la página Add user (Añadir usuario), proporcione la siguiente información necesaria:

a. Email address (Dirección de correo electrónico)b. Password (Contraseña): elija entre una de las siguientes opciones para enviar la contraseña del

usuario.

i. Send an email to the user with password setup instructions (Enviar un correo electrónicoal usuario con instrucciones de configuración de la contraseña): esta opción envíaautomáticamente un correo electrónico desde Amazon Web Services e invita al usuario ennombre de la empresa a obtener acceso al portal de usuarios de AWS SSO.

ii. Generate a one-time password that you can share with the user (Generar una contraseñapuntual que puede compartir con el usuario): esta opción proporciona información sobre laURL y la contraseña del portal de usuarios que puede enviar manualmente al usuario desdesu dirección de correo electrónico.

c. First name (Nombre)d. Last name (Apellidos)e. Display name (Nombre de visualización)

Note

(Opcional) Puede proporcionar atributos adicionales como Employee ID (ID deempleado) y Office 365 Immutable ID (ID inmutable de Office 365) para ayudar a asignarla identidad del usuario en AWS SSO a determinadas aplicaciones empresariales que elusuario necesite utilizar.

5. Elija Next: Groups (Siguiente: Grupos).6. Seleccione uno o varios grupos de los que desee que el usuario sea miembro y, a continuación, elija

Add user (Añadir usuario).

Añadir gruposUtilice el siguiente procedimiento para añadir grupos a su directorio de AWS SSO.

Para añadir un grupo

1. Abra la consola de AWS SSO.2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).3. En la página Directory (Directorio), seleccione la pestaña Groups (Grupos) y, luego, seleccione Create

group (Crear grupo).4. En el cuadro de diálogo Create group (Crear grupo), escriba un valor en Group name (Nombre del

grupo) y Description (Descripción). La descripción debe proporcionar detalles sobre qué permisos sehan asignado o se van a asignar al grupo.

9



AWS Single Sign-On Guía del usuarioAñadir usuarios a grupos

5. Seleccione Create.

Añadir usuarios a gruposUtilice el siguiente procedimiento para añadir usuarios como miembros de un grupo que ha creadoanteriormente en su directorio de AWS SSO.

Para añadir un usuario como miembro de un grupo

1. Abra la consola de AWS SSO.2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).3. En la página Directory (Directorio), seleccione la pestaña Groups (Grupos) y, luego, elija un grupo de

la lista.4. En la página Details (Detalles) del grupo, bajo Group members (Miembros del grupo), elija Add users

(Añadir usuarios).5. En la página Add users to group (Añadir usuarios a grupo), busque los usuarios que desea añadir

como miembros. A continuación, seleccione la casilla de verificación situada junto a cada uno de ellos.6. Elija Add user.

Editar propiedades del usuarioUtilice el siguiente procedimiento para editar las propiedades de un usuario en su directorio de AWS SSO.

Para editar las propiedades del usuario

1. Abra la consola de AWS SSO.2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).3. En la página Directory (Directorio), seleccione la pestaña Users (Usuarios) y, luego, elija el usuario

que desea editar.4. En la página Details (Detalles) del usuario, elija Edit user (Editar usuario).5. En la página Edit user details (Editar detalles del usuario), modifique las propiedades según sea

necesario y elija Save changes (Guardar cambios).

Note

(Opcional) Puede modificar atributos adicionales como Employee ID (ID de empleado) yOffice 365 Immutable ID (ID inmutable de Office 365) para ayudar a asignar la identidad delusuario en AWS SSO a determinadas aplicaciones empresariales que los usuarios necesitenutilizar.

Deshabilitar un usuarioCuando deshabilita un usuario, no puede editar sus detalles de usuario, restablecer su contraseña,añadir el usuario a un grupo ni ver los grupos a los que pertenece. Utilice el siguiente procedimiento paradeshabilitar un usuario de su directorio de AWS SSO.

Para deshabilitar un usuario

1. Abra la consola de AWS SSO.2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).

10




AWS Single Sign-On Guía del usuarioRestablecer la contraseña de un usuario

3. En la página Directory (Directorio), seleccione la pestaña Users (Usuarios) y, luego, elija el usuarioque desea deshabilitar.

4. En el cuadro de diálogo Disable user (Deshabilitar usuario), seleccione Disable user (Deshabilitarusuario).

Note

Al deshabilitar el usuario se impide que inicie sesión en el portal de usuarios.

Restablecer la contraseña de un usuarioUtilice el siguiente procedimiento para restablecer la contraseña de un usuario en su directorio de AWSSSO.

Para restablecer una contraseña de usuario

1. Abra la consola de AWS SSO.2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).3. En la página Directory (Directorio), seleccione la pestaña Users (Usuarios) y, luego, elija la contraseña

que desea restablecer.4. En el cuadro de diálogo Reset password (Restablecer contraseña), seleccione una de las siguientes

opciones y después elija Reset password (Restablecer contraseña):

a. Send an email to the user with instructions to reset the password (Enviar un correo electrónico coninstrucciones para restablecer la contraseña): esta opción envía automáticamente al usuario uncorreo electrónico desde Amazon Web Services que le guía por el proceso de restablecimiento desu contraseña.

b. Generate a one-time password that you can share with the user (Generar una contraseña puntualque puede compartir con el usuario): esta opción proporciona información sobre la contraseñaque puede enviar manualmente al usuario desde su dirección de correo electrónico.

Conectarse a un directorio de Microsoft ADAWS Single Sign-On permite a los administradores conectar su servicio Active Directory (AD) local o sudirectorio AWS Managed Microsoft AD utilizando AWS Directory Service. Este directorio de Microsoft ADdefine el grupo de identidades que los administradores pueden extraer al utilizar la consola de AWS SSOpara asignar acceso de inicio de sesión único (SSO). Después de conectar su directorio corporativo a AWSSSO, los administradores pueden conceder acceso a sus usuarios o grupos de AD a las cuentas de AWS,las aplicaciones en la nube o a ambas.

AWS Directory Service le ayuda a configurar y ejecutar un directorio AWS Managed Microsoft ADindependiente alojado en la nube de AWS. También puede utilizar AWS Directory Service para conectarsus recursos de AWS a un servicio Microsoft Active Directory local existente. Para configurar AWSDirectory Service para que funcione con su servicio Active Directory local, primero debe configurarrelaciones de confianza para llevar la autenticación desde su instalación local a la nube.

Note

AWS SSO no admite Simple AD basado en SAMBA4 como directorio conectado.

Temas• Conectar AWS SSO a un directorio AWS Managed Microsoft AD (p. 12)• Conectar AWS SSO a un Active Directory local (p. 12)• Mapeos de atributos (p. 12)

11


AWS Single Sign-On Guía del usuarioConectar AWS SSO a un directorio

AWS Managed Microsoft AD

Conectar AWS SSO a un directorio AWS ManagedMicrosoft ADUtilice el siguiente procedimiento para conectar un directorio AWS Managed Microsoft AD administrado porAWS Directory Service a AWS SSO.

Para conectar AWS SSO a AWS Managed Microsoft AD

1. Abra la consola de AWS SSO.

Note

Antes de continuar con el paso siguiente, compruebe que la consola de AWS SSO utilizaalguna de las regiones donde se encuentra su directorio AWS Managed Microsoft AD.

2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).3. En la página Directory (Directorio) haga lo siguiente:

a. En Available directories (Directorios disponibles), seleccione el directorio AWS Managed MicrosoftAD al que quiere que se conecte AWS SSO.

b. En User portal URL (URL del portal de usuarios), escriba el prefijo que se va a utilizar para la URLde inicio de sesión del portal de usuarios.

4. Elija Connect directory (Conectar directorio).

Conectar AWS SSO a un Active Directory localLos usuarios de su servicio Active Directory local también pueden tener acceso SSO a las cuentas de AWSy a las aplicaciones en la nube en el portal de usuarios de AWS SSO. Para ello, AWS Directory Serviceofrece las siguientes dos opciones:

• Crear una relación de confianza bidireccional: las relaciones de confianza bidireccionales creadas entreAWS Managed Microsoft AD y un servicio Active Directory local permiten a los usuarios locales iniciarsesión con sus credenciales corporativas en varios servicios de AWS y aplicaciones empresariales. Lasrelaciones de confianza unidireccionales no funcionan con AWS SSO. Para obtener más informaciónacerca de la configuración de una relación de confianza bidireccional, consulte Cuándo crear unarelación de confianza en la AWS Directory Service Administration Guide.

• Crear un AD Connector: AD Connector es una puerta de enlace de directorio que puede redirigirsolicitudes del directorio al servicio Active Directory local sin almacenar en caché la información quehay en la nube. Para obtener más información, consulte Conectarse a un directorio en la AWS DirectoryService Administration Guide.

Note

AWS SSO no funciona con directorios Simple AD basados en SAMBA4.

Mapeos de atributosLas asignaciones de atributos se utilizan para emparejar tipos de atributos que existen en AWS SSO conatributos de un directorio AWS Managed Microsoft AD. AWS SSO recupera los atributos de usuario deldirectorio de Microsoft AD y los asigna a atributos de usuario de AWS SSO. Estos mapeos de atributos deusuario de AWS SSO también se utilizan para generar aserciones SAML para las aplicaciones en la nube.Cada aplicación en la nube determina la lista de atributos SAML que necesita para un inicio de sesiónúnico correcto.

12


http://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/connect_directory.html

AWS Single Sign-On Guía del usuarioMapeos de atributos

AWS SSO rellena un conjunto de atributos automáticamente en la pestaña Attribute mappings(Asignaciones de atributos) de la página de configuración de la aplicación. AWS SSO utiliza estos atributosde usuario para rellenar aserciones SAML (como atributos SAML) que se envían a la aplicación en lanube. A su vez, estos atributos de usuario se obtienen del directorio de Microsoft AD. Para obtener másinformación, consulte Mapear atributos de su aplicación con atributos de AWS SSO (p. 28).

AWS SSO también administra un conjunto de atributos en la sección Attribute mappings (Asignacionesde atributos) de la página de configuración del directorio. Para obtener más información, consulte Asignaratributos de AWS SSO a atributos del directorio AWS Managed Microsoft AD (p. 15).

Atributos de directorio admitidosEn la siguiente tabla se proporciona la lista completa de los atributos del directorio AWS ManagedMicrosoft AD admitidos y que se pueden asignar a atributos de usuario de AWS SSO.

Atributos admitidos en el directorio de Microsoft AD

${dir:email}

${dir:displayname}

${dir:distinguishedName}

${dir:firstname}

${dir:guid}

${dir:initials}

${dir:lastname}

${dir:proxyAddresses}

${dir:proxyAddresses:smtp}

${dir:proxyAddresses:SMTP}

${dir:windowsUpn}

Puede especificar cualquier combinación de atributos del directorio de Microsoft AD compatibles paraasignarlos a un único atributo de AWS SSO. Por ejemplo, puede elegir el atributo preferredUsernameen la columna User attribute in AWS SSO (Atributo de usuario en AWS SSO) y, a continuación, asignarloa ${dir:displayname} o ${dir:lastname}${dir:firstname }, o a cualquier atributo únicocompatible o cualquier combinación arbitraria de atributos admitidos.

Atributos de AWS SSO admitidosEn la siguiente tabla se proporciona la lista completa de los atributos de AWS SSO admitidos y que sepueden asignar a atributos de usuario del directorio AWS Managed Microsoft AD. Posteriormente, cuandoconfigure los mapeos de los atributos de la aplicación podrá usar estos mismos atributos de AWS SSOpara mapearlos con los atributos reales utilizados por dicha aplicación.

Atributos de AWS SSO admitidos

${user:AD_GUID}

${user:email}

13

AWS Single Sign-On Guía del usuarioMapeos de atributos

Atributos de AWS SSO admitidos

${user:familyName}

${user:firstName}

${user:middleName}

${user:name}

${user:preferredUsername}

${user:subject}

Mapeos predeterminadosEn la tabla siguiente se muestran las asignaciones predeterminadas de los atributos de usuario de AWSSSO a los atributos de usuario del directorio AWS Managed Microsoft AD. Por el momento, AWS SSO soloadmite la lista de atributos que se muestra en la columna User attribute in AWS SSO (Atributo de usuarioen AWS SSO).

Atributo de usuario en AWS SSO Se asigna a este atributo en el directorio deMicrosoft AD

AD_GUID ${dir:guid}

email ${dir:windowsUpn}

familyName ${dir:lastname}

givenName ${dir:firstname}

middleName ${dir:initials}

name ${dir:displayname}

preferredUsername ${dir:displayname}

subject ${dir:windowsUpn}

Puede cambiar los mapeos predeterminados o añadir más atributos a la aserción SAML en función desus requisitos. Por ejemplo, supongamos que su aplicación en la nube requiere las direcciones de correoelectrónico de los usuarios en el atributo SAML User.Email y los mensajes de correo electrónico sealmacenan en el atributo windowsUpn en su directorio de Microsoft AD. Para lograr llevar a cabo estemapeo, es necesario que realice cambios en los siguientes dos lugares en la consola de AWS SSO:

1. En la página Directory (Directorio), en la sección Attribute mappings (Asignaciones de atributos), deberíaasignar el atributo de usuario email al atributo ${dir:windowsUpn} (en la columna Maps to thisattribute in your directory [Se asigna a este atributo en su directorio]).

2. En la página Applications (Aplicaciones), elija la aplicación de la tabla, luego la pestaña Attributemappings (Asignaciones de atributos) y después debería asignar el atributo User.Email al atributo${user:email} (en la columna Maps to this string value or user attribute in AWS SSO [Se asigna aeste valor de cadena o atributo de usuario en AWS SSO]).

Tenga en cuenta que debe proporcionar cada atributo de directorio siguiendo el formato${dir:AttributeName}. Por ejemplo, el atributo firstname en su directorio de Microsoft AD pasará a

14

AWS Single Sign-On Guía del usuarioCambiar el tipo de directorio

ser ${dir:firstname}. Es importante que cada atributo de directorio tenga asignado un valor real. Losatributos que no tengan un valor detrás de ${dir: causarán problemas de inicio de sesión del usuario.

Asignar atributos de AWS SSO a atributos del directorio AWSManaged Microsoft ADPuede utilizar el siguiente procedimiento para especificar cómo deben asignarse sus atributos de usuariode AWS SSO con los atributos correspondientes de su directorio de Microsoft AD.

Para asignar atributos de AWS SSO a atributos de su directorio

1. Abra la consola de AWS SSO.2. Elija Connected directory (Directorio conectado).3. En Attribute mappings (Asignaciones de atributos), elija Edit attribute mappings (Editar asignaciones

de atributos).4. En la página Edit attribute mappings (Editar asignaciones de atributos), busque el atributo en AWS

SSO que desea asignar y, a continuación, escriba un valor en el cuadro de texto. Por ejemplo, esposible que desee asignar el atributo de usuario de AWS SSO email al atributo del directorio deMicrosoft AD ${dir:windowsUpn}.

5. Elija Save changes.

Cambiar el tipo de directorioPuede cambiar el lugar en el que almacena los usuarios en cualquier momento. Utilice el siguienteprocedimiento para cambiar de un directorio que AWS SSO proporciona (el directorio predeterminado) a undirectorio AWS Managed Microsoft AD, o viceversa.

Para cambiar el tipo de directorio

1. Abra la consola de AWS SSO.2. En el Dashboard (Panel) seleccione Manage your directory (Administrar el directorio).3. En la página Directory (Directorio), seleccione Change directory (Cambiar directorio).4. En la página Change directory (Cambiar directorio), seleccione el directorio al que desea cambiar

y después elija Next (Siguiente). Si va a cambiar a un directorio de Microsoft AD, debe elegir eldirectorio disponible en el menú proporcionado.

Important

El cambio de un directorio elimina todas las asignaciones de usuario que se hayanasignado anteriormente. Debe volver a aplicarlas manualmente una vez que haya cambiadocorrectamente el directorio.

5. Elija Next: Review.6. Una vez que haya leído el aviso de exención de responsabilidad y esté listo para continuar, escriba

CONFIRM (CONFIRMAR).7. Elija Finalizar.

15



AWS Single Sign-On Guía del usuarioAcceso con inicio de sesión único

Administrar el SSO a sus cuentas deAWS

AWS Single Sign-On está integrado con AWS Organizations, de modo que los administradores puedanelegir varias cuentas de AWS cuyos usuarios necesiten acceso de inicio de sesión único (SSO) a laConsola de administración de AWS. Estas cuentas de AWS pueden ser la cuenta maestra de las AWSOrganizations o una cuenta miembro. Una cuenta maestra es la cuenta de AWS que se utiliza para crear laorganización. El resto de las cuentas que pertenecen a una organización se denominan cuentas miembro.Para obtener más información sobre los distintos tipos de cuentas, consulte Terminología y conceptos deAWS Organizations en la Guía del usuario de AWS Organizations.

Una vez que asigne el acceso desde la consola de AWS SSO, puede utilizar conjuntos de permisos paradefinir todo lo que pueden hacer los usuarios en la Consola de administración de AWS. Para obtener másinformación sobre los conjuntos de permisos, consulte Conjuntos de permisos (p. 19).

Los usuarios siguen un sencillo proceso de inicio de sesión:

1. Los usuarios utilizan sus credenciales de directorio para iniciar sesión en el portal de usuario.2. A continuación, eligen el nombre de la cuenta de AWS que les proporcionará acceso federado a la

Consola de administración de AWS para esa cuenta.3. Los usuarios que tienen asignados varios conjuntos de permisos eligen el rol de IAM que quieren

utilizar.

Los conjuntos de permisos son una forma de definir permisos de forma centralizada en AWS SSO paraque se puedan aplicar a todas las cuentas de AWS. Estos conjuntos de permisos se aprovisionan en cadacuenta de AWS con un rol de IAM. El portal de usuarios ofrece a los usuarios la capacidad de recuperarcredenciales temporales para dicho rol de IAM de una cuenta de AWS determinada para que puedanutilizarla a corto plazo para el acceso a la CLI de AWS. Para obtener más información, consulte Cómoobtener credenciales de un rol de IAM para acceder a una cuenta de AWS desde la CLI (p. 45).

Para utilizar AWS SSO con AWS Organizations, primero debe Habilite AWS SSO (p. 3), que otorga a AWSSSO la capacidad para crear Roles vinculados a servicios (p. 21) en cada cuenta de su organizaciónde AWS. Estos roles no se crean hasta después de Asignar acceso a usuarios (p. 17) a una cuentadeterminada.

También puede conectar una cuenta de AWS que no forme parte de su organización mediante laconfiguración de la cuenta como aplicación SAML personalizada en AWS SSO. En este caso, debeaprovisionar y administrar los roles de IAM y las relaciones de confianza que son necesarias para activarel acceso SSO. Para obtener más información acerca de cómo hacerlo, consulte Agregar y configurar unaaplicación de SAML 2.0 personalizada (p. 25).

Temas• Acceso con inicio de sesión único (p. 16)• Conjuntos de permisos (p. 19)• Proveedor de identidad de IAM (p. 21)• Roles vinculados a servicios (p. 21)

Acceso con inicio de sesión únicoPuede asignar a los usuarios de su directorio conectado permisos a las cuentas maestras o miembro deAWS de su organización de AWS Organizations de acuerdo con funciones de trabajo comunes. También

16

http://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html

http://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

AWS Single Sign-On Guía del usuarioAsignar acceso a usuarios

puede utilizar permisos personalizados para satisfacer sus requisitos de seguridad específicos. Porejemplo, puede conceder a los administradores de bases de datos permisos para usar Amazon RDS encuentas de desarrollo, pero limitar sus permisos en cuentas de producción. AWS SSO configura todos lospermisos de usuario necesarios en sus cuentas de AWS de forma automática.

Note

Solo el usuario raíz de la cuenta de IAM o el usuario que tenga la políticaAWSSSOMasterAccountAdministrator de IAM asociada puede conceder a los usuarios permisosde directorio conectado a la cuenta maestra de AWS. Para obtener más información sobre cómodelegar estos permisos, consulte Delegar quién puede asignar acceso SSO a los usuarios de lacuenta maestra (p. 18).

Asignar acceso a usuariosUtilice el siguiente procedimiento para asignar el acceso SSO a usuarios y grupos del directorio conectadoy para utilizar conjuntos de permisos para determinar su nivel de acceso.

Note

Para simplificar la administración de los permisos de acceso, se recomienda asignar el accesodirectamente a grupos en lugar de a usuarios individuales. Con los grupos puede conceder odenegar permisos para grupos de usuarios en lugar de asignar esos permisos a cada individuo. Siun usuario se va a otra organización, basta con cambiarlo a un grupo diferente y automáticamenterecibirá los permisos necesarios para la nueva organización.

Para asignar acceso a usuarios o grupos


Note

Antes de continuar con el paso siguiente, compruebe que la consola de AWS SSO utilizala región US East (N. Virginia) (us-east-1) donde se encuentra su directorio AWS ManagedMicrosoft AD.

2. Elija AWS accounts (Cuentas de AWS).3. En la pestaña AWS organization (Organización de AWS) de la lista de cuentas de AWS, elija la cuenta

a la que desea asignar acceso.4. En la página de detalles de la cuenta de AWS, elija Assign users (Asignar usuarios).5. En la página Select users or groups (Seleccionar usuarios o grupos), escriba un nombre de usuario

o grupo y haga clic en Search connected directory (Buscar directorio conectado). Una vez que hayaseleccionado todas las cuentas a las que desea asignar acceso, elija Next: Permission sets (Siguiente:Conjuntos de permisos). Puede especificar varios usuarios o grupos seleccionando las cuentasaplicables tal y como aparecen en los resultados de búsqueda.

6. En la página Select permission sets (Seleccionar conjuntos de permisos), seleccione los conjuntos depermisos que desea aplicar al usuario o grupo de la tabla. A continuación, elija Finish (Finalizar). Deforma opcional, puede elegir Create a new permission set (Crear un nuevo conjunto de permisos) sininguno de los permisos de la tabla satisface sus necesidades. Para obtener instrucciones detalladas,consulte Crear un conjunto de permisos (p. 19).

7. Elija Finish (Finalizar) para iniciar el proceso de configuración de su cuenta de AWS.

Note

Si es la primera vez que asigna el acceso SSO a esta cuenta de AWS, este proceso crea unrol vinculado al servicio en la cuenta. Para obtener más información, consulte Uso de rolesvinculados a servicios en AWS SSO (p. 39).

17


AWS Single Sign-On Guía del usuarioEliminar el acceso a usuarios

Important

El proceso de asignación de usuarios puede tardar unos minutos en completarse. Esimportante que deje esta página abierta hasta que se complete el proceso correctamente.

Eliminar el acceso a usuariosUtilice este procedimiento cuando tenga que eliminar el acceso SSO a una cuenta de AWS a un usuario ogrupo determinado de su directorio conectado.

Para eliminar el acceso de los usuarios a una cuenta de AWS

1. Abra la consola de AWS SSO.2. Elija AWS accounts (Cuentas de AWS).3. En la tabla, seleccione la cuenta de AWS del usuario o grupo cuyo acceso desea eliminar.4. En la página Details (Detalles) de la cuenta de AWS, bajo Assigned users and groups (Usuarios

y grupos asignados), busque el usuario o grupo en la tabla. A continuación, elija Remove access(Eliminar acceso).

5. En el cuadro de diálogo Remove access (Eliminar acceso), confirme el nombre del usuario o delgrupo. A continuación, elija Remove access (Eliminar acceso).

Delegar quién puede asignar acceso SSO a losusuarios de la cuenta maestraLa asignación del acceso de inicio de sesión único a la cuenta maestra utilizando la consola de AWSSSO es una acción que requiere privilegios. De forma predeterminada, solo un usuario raíz de la cuentade AWS o un usuario que tenga la política AWSSSOMasterAccountAdministrator administrada por AWSasociada puede asignar acceso SSO a la cuenta maestra. AWSSSOMasterAccountAdministrator permiteadministrar el acceso SSO a la cuenta maestra de una organización de AWS Organizations.

Siga los pasos que se describen a continuación para delegar permisos para administrar el acceso SSO alos usuarios en su directorio.

Para conceder permisos para administrar el acceso SSO a los usuarios del directorio

1. Inicie sesión en la consola de AWS SSO como usuario raíz de la cuenta maestra o con otro usuario deIAM que tenga permisos de administrador de IAM en la cuenta maestra.

2. Utilice el procedimiento Crear un conjunto de permisos (p. 19) para crear un conjunto de permisos.Cuando llegue al paso 5c, seleccione la opción Attach AWS managed policies (Asociar políticasadministradas por AWS). En la lista de políticas de IAM que aparecen en la tabla, elija la políticaadministrada por AWS AWSSSOMasterAccountAdministrator. Esta política concede permisos a todoslos usuarios a los que se les asigne acceso a este conjunto de permisos en el futuro.

3. Utilice el procedimiento Asignar acceso a usuarios (p. 17) para asignar a los usuarios adecuados elconjunto de permisos que acaba de crear.

4. Comunique lo siguiente a los usuarios asignados: cuando inicien sesión en el portal de usuarios yseleccionen el icono AWS Account (Cuenta de AWS), deben elegir el nombre de rol de IAM adecuadoque se va a autenticar con los permisos que acaba de delegar.

18


AWS Single Sign-On Guía del usuarioConjuntos de permisos

Conjuntos de permisosLos conjuntos de permisos definen el nivel de acceso que tienen los usuarios y grupos en una cuenta deAWS. Los conjuntos de permisos se almacenan en AWS SSO y se aprovisionan en una cuenta de AWScomo roles de IAM. Puedes asignar más de un conjunto de permisos a un usuario. Los usuarios que tienenvarios conjuntos de permisos deben elegir uno al iniciar sesión en el portal de usuario. (Los usuarios losverán como roles de IAM). Para obtener más información, consulte Conjuntos de permisos (p. 6).

Crear un conjunto de permisosUtilice este procedimiento para crear un conjunto de permisos en función de la política de permisospersonalizada que haya creado o en función de las políticas administradas por AWS predefinidas queexistan en IAM, o en función de ambas.

Para crear un conjunto de permisos

1. Abra la consola de AWS SSO.2. Elija AWS accounts (Cuentas de AWS).3. Seleccione la pestaña Permission sets (Conjuntos de permisos).4. Elija Create permission set (Crear conjunto de permisos).5. En el cuadro de diálogo Create new permission set (Crear nuevo conjunto de permisos), elija una de

las siguientes opciones y, a continuación, siga las instrucciones que se indican bajo dicha opción:

• Use an existing job function policy (Utilizar una política de función de trabajo existente)1. En Select job function policy (Seleccionar política de función de trabajo), seleccione una de

las políticas predeterminadas de la función de trabajo de IAM de la lista. Para obtener másinformación, consulte Políticas administradas por AWS para funciones de trabajo.

2. Seleccione Create.• Create a custom permission set (Crear un conjunto de permisos personalizado)

1. En Create a custom permission set (Crear un conjunto de permisos personalizado), escribael nombre que identificará a dicho conjunto de permisos en AWS SSO. Este nombre tambiénaparecerá como un rol de IAM en el portal de usuario para cualquier usuario con acceso almismo.

2. (Opcional) También puede introducir una descripción. Esta descripción solo aparece en laconsola de AWS SSO y los usuarios no la podrán ver en el portal de usuario.

3. Seleccione Attach AWS managed policies (Asociar políticas administradas por AWS) o Createa custom permissions policy (Crear una política de permisos personalizada). O bien, seleccioneambas opciones si tiene que vincular más de un tipo de política a este conjunto de permisos.

4. Si elige Attach AWS managed policies (Asociar políticas administradas por AWS) bajo AttachAWS Managed policies (Asociar políticas administradas por AWS), deberá seleccionar hasta 10políticas administradas por AWS específicas del servicio o relacionadas con el trabajo de la lista.

5. Si elige Create a custom permissions policy (Crear una política de permisos personalizada)bajo Create a custom permissions policy (Crear una política de permisos personalizada), copieun documento de política con sus permisos preferidos. Para obtener una lista de políticas deejemplos que se pueden usar para delegar tareas de AWS SSO, consulte Ejemplos de políticasadministradas por el cliente (p. 35).

Para obtener más información sobre el lenguaje de las políticas de acceso, consulte Informacióngeneral sobre las políticas en la Guía del usuario de IAM. Para probar los efectos de esta políticaantes de aplicar los cambios, utilice el Simulador de políticas de IAM.

6. Seleccione Create.

19


http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html

AWS Single Sign-On Guía del usuarioEliminar conjuntos de permisos

Eliminar conjuntos de permisosUtilice este procedimiento para eliminar uno o más conjuntos de permisos de forma que ya no los puedautilizar ninguna cuenta de AWS de la organización.

Note

Todos los usuarios y grupos que tenían asignado este conjunto de permisos ya no podrán iniciarsesión, independientemente de la cuenta de AWS que utilicen.

Para eliminar un conjunto de permisos de una cuenta de AWS

1. Abra la consola de AWS SSO.2. Elija AWS accounts (Cuentas de AWS).3. Elija la pestaña Permission sets (Conjuntos de permisos).4. Seleccione el conjunto de permisos que desea eliminar y, a continuación, elija Delete (Eliminar).5. En el cuadro de diálogo Delete permission set (Eliminar conjunto de permisos), elija Delete (Eliminar).

Definir la duración de la sesiónPara cada conjunto de permisos, puede especificar una duración de la sesión para controlar el tiempodurante el cual un usuario puede iniciar sesión en una cuenta de AWS. Cuando transcurre la duraciónespecificada, AWS cierra la sesión del usuario. Para las cuentas de AWS, AWS SSO utiliza esta opciónpara establecer la duración máxima de la sesión del rol de IAM que se utiliza para generar una sesión delusuario. La duración de la sesión que especifique para un determinado conjunto de permisos se aplica a lasesión de la Consola de administración de AWS y de la AWS Command Line Interface (CLI).

Cuando se crea un nuevo conjunto de permisos, este está configurado con la duración de sesiónpredeterminada de 1 hora (en segundos). La duración mínima de sesión es de 1 hora y se puedeconfigurar hasta 12 horas.

Important

Como práctica recomendada de seguridad, es aconsejable que no defina una duración de lasesión mayor de la que necesita para realizar el rol.

Una vez que se ha creado un conjunto de permisos, puede actualizarlo para aplicar una nueva duraciónde la sesión. Cuando vuelve a aplicar el conjunto de permisos a sus cuentas de AWS, el valor de duraciónmáxima de la sesión del rol de IAM se actualiza. Utilice el siguiente procedimiento para modificar laduración de la sesión para un determinado conjunto de permisos.

Para definir la duración de la sesión

1. Abra la consola de AWS SSO.2. Elija AWS accounts (Cuentas de AWS).3. Elija la pestaña Permission sets (Conjuntos de permisos).4. Elija el nombre del conjunto de permisos que tendrá la nueva duración de sesión.5. En la pestaña Permissions (Permisos), junto a Session duration (Duración de la sesión), elija Edit

(Editar).6. En la página Edit session duration (Editar la duración de la sesión), junto a New session duration

(Nueva duración de la sesión), elija un nuevo valor de duración de la sesión y, a continuación, elijaContinue (Continuar).

7. Seleccione las cuentas de AWS de la lista a las que desee que se aplique el nuevo valor de duraciónde la sesión y, a continuación, elija Reapply permission set (Volver a aplicar conjunto de permisos).

20



AWS Single Sign-On Guía del usuarioProveedor de identidad de IAM

Proveedor de identidad de IAMAl añadir el acceso SSO a una cuenta de AWS, AWS SSO crea un proveedor de identidad de IAM paracada cuenta de AWS. Un proveedor de identidad de IAM le ayuda a proteger su cuenta de AWS, ya que notiene que distribuir ni integrar credenciales de seguridad a largo plazo, como por ejemplo, claves de accesode IAM, en su aplicación.

Reparar el proveedor de identidad de IAMUtilice el siguiente procedimiento para reparar su proveedor de identidad en el caso de que se hayaeliminado o modificado.

Para reparar un proveedor de identidad para una cuenta de AWS

1. Abra la consola de AWS SSO.2. Elija AWS accounts (Cuentas de AWS).3. En la tabla, seleccione la cuenta de AWS asociada al proveedor de identidad que desea reparar.4. En la página de detalles de la cuenta de AWS, en IAM identity provider (Proveedor de identidad de

IAM), elija Repair identity provider (Reparar proveedor de identidad).

Eliminar el proveedor de identidad de IAMUtilice el siguiente procedimiento para eliminar el proveedor de identidad de IAM de AWS SSO.

Para eliminar el proveedor de identidad de IAM de AWS SSO

1. Abra la consola de administración de AWS SSO.2. Elija AWS accounts (Cuentas de AWS).3. En la tabla, seleccione la cuenta de AWS asociada al proveedor de identidad de IAM que desea

eliminar.4. En la página Details (Detalles) de la cuenta de AWS, bajo IAM identity provider (Proveedor de

identidad de IAM), elija Remove identity provider (Eliminar proveedor de identidad).

Roles vinculados a serviciosLos roles vinculados a servicios son permisos de IAM predefinidos que permiten a AWS SSO delegar ypermitir que determinados usuarios tengan acceso SSO a cuentas de AWS específicas de su organizaciónde AWS. El servicio habilita esta funcionalidad mediante el aprovisionamiento de un rol vinculado a unservicio en cada cuenta de AWS dentro de su organización. A continuación, el servicio permite que otrosservicios de AWS, como AWS SSO, puedan aprovechar dichos roles para realizar tareas relacionadas conel servicio. Para obtener más información, consulte AWS Organizations y roles vinculados a servicios.

Durante el proceso de Habilite AWS SSO (p. 3) por primera vez, el servicio de AWS Organizationsconcede a AWS SSO los permisos necesarios para crear roles de IAM en cualquiera de sus cuentas deAWS. AWS SSO no crea roles en ninguna de las cuentas de AWS en este momento. Solo crea un rolvinculado a un servicio en una cuenta de AWS después de haber usado la consola de AWS SSO paraespecificar a qué cuenta desea asignar acceso SSO. Para obtener más información, consulte Administrarel SSO a sus cuentas de AWS (p. 16).

Los roles vinculados a servicios que se crean en cada cuenta de AWS se llamanAWSServiceRoleForSSO. Para obtener más información, consulte Uso de roles vinculados a servicios enAWS SSO (p. 39).

21



http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role

http://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs

AWS Single Sign-On Guía del usuarioAplicaciones en la nube

Administrar el SSO a susaplicaciones

Con AWS Single Sign-On puede controlar de forma sencilla quién debe tener acceso de inicio de sesiónúnico (SSO) a sus aplicaciones en la nube. Los usuarios obtienen acceso con un solo clic a estasaplicaciones en cuanto inician sesión en su portal de usuario con sus credenciales de directorio.

AWS SSO se comunica de forma segura con estas aplicaciones a través de una relación de confianzaentre AWS SSO y el proveedor de servicios de la aplicación. Esta relación de confianza se crea al añadir laaplicación desde la consola de AWS SSO y al configurarla con los metadatos correspondientes tanto parael servicio de AWS SSO como para el proveedor de servicios.

En cuanto la aplicación se haya añadido correctamente a la consola de AWS SSO, ya podrá administrarlos usuarios o grupos que necesitan permisos para acceder a la aplicación. De forma predeterminada,cuando se añade una aplicación, esta no tiene ningún usuario asignado. En otras palabras, no se puedeobtener acceso a las aplicaciones que se han agregado recientemente a la consola de AWS SSO hastaque se les asignen usuarios. AWS SSO admite los siguientes tipos de aplicaciones:

• Aplicaciones en la nube• Aplicaciones de lenguaje de marcado de aserción de seguridad (SAML 2.0) personalizadas

También puede otorgar acceso a sus empleados a la Consola de administración de AWS para una cuentade AWS determinada de su organización. Para obtener más información acerca de cómo hacerlo, consulteAdministrar el SSO a sus cuentas de AWS (p. 16).

En las siguientes secciones se explica cómo configurar el acceso de los usuarios a sus aplicaciones deterceros de software como servicio (SaaS) y a cualquier aplicación personalizada que admita la identidadfederada con SAML 2.0.

Temas• Aplicaciones en la nube (p. 22)• Aplicaciones de SAML 2.0 personalizadas (p. 24)• Propiedades de la aplicación (p. 25)• Asignar acceso a usuarios (p. 27)• Eliminar el acceso a usuarios (p. 28)• Mapear atributos de su aplicación con atributos de AWS SSO (p. 28)

Aplicaciones en la nubePuede utilizar el asistente de configuración de aplicaciones de AWS SSO para incluir las integraciones deSAML en muchas aplicaciones en la nube populares, como Salesforce, Box y Office 365. Para obteneruna lista completa de las aplicaciones que puede añadir desde el asistente, consulte Aplicacionescompatibles (p. 23).

La mayoría de aplicaciones en la nube incluye instrucciones detalladas sobre cómo configurar la confianzaentre AWS SSO y el proveedor de servicios de la aplicación. Puede encontrar estas instrucciones enla página de configuración de aplicaciones en la nube durante el proceso de configuración y una vez

22

AWS Single Sign-On Guía del usuarioAplicaciones compatibles

configurada la aplicación. En cuanto esté configurada, podrá asignar acceso a los grupos o usuarios que lonecesiten.

Aplicaciones compatiblesAWS SSO incorpora compatibilidad con las siguientes aplicaciones en la nube usadas habitualmente.

Note

Los ingenieros de soporte de AWS pueden ayudar a los clientes que tienen Planes de soporteBusiness y Enterprise con algunas tareas de integración que implican software de terceros. Paraver una lista actual de las plataformas y aplicaciones compatibles, consulte Soporte de softwarede terceros en la página de características de AWS Support.

Adobe Creative Cloud Dropbox Lucidchart UserEcho

Aha DruvalnSync MangoApps UserVoice

AnswerHub EduBrite NewRelic Velpic

AppDynamics Egnyte Office 365 VictorOps

Assembla eLeaP OpsGenie WeekDone

Atlassian Engagedly PagerDuty WhosOnLocation

BambooHR Envoy Panopta Workplace by Facebook

BenSelect Evernote ProdPad Workstars

Bitglass Expensify PurelyHR xMatters

BMCRemedyforce EZOfficeInventory RingCentral Zendesk

Bonusly Freshdesk Salesforce Zoho

Box FreshService Samanage Zoom

BugSnag Front ScaleFT

CakeHR G Suite ScreenSteps

CiscoMeraki GitHub ServiceNow

CiscoUmbrella GitLab Slack

Citrix ShareFile GoToMeeting Sli.do

Clarizen Grovo Smartsheet

ClickTime Humanity SnapEngage

CloudPassage IdeaScale SugarCRM

Convo Igloo SumoLogic

DataDog JamaSoftware SurveyMonkey

Deputy JFrog Artifactory Syncplicity

Deskpro Jitbit Tableau

23

https://aws.amazon.com/premiumsupport/features/

https://aws.amazon.com/premiumsupport/features/

AWS Single Sign-On Guía del usuarioAgregar y configurar una aplicación en la nube

DigiCert join.me TalentLMS

Dmarcian Keeper Security TargetProcess

Docebo Klipfolio TextMagic

DocuSign Kudos ThousandEyes

Dome9 LiquidFiles TitanFile

Domo LogMeInRescue Trello

Agregar y configurar una aplicación en la nubeUtilice este procedimiento cuando tenga que configurar una relación de confianza de SAML entre AWSSSO y su proveedor de servicios de la aplicación en la nube. Antes de comenzar este procedimiento,asegúrese de que dispone del archivo de intercambio de metadatos del proveedor de servicios para quepueda configurar la relación de confianza de manera más eficiente. Aunque no disponga de este archivo,puede utilizar este procedimiento para configurarlo manualmente.

Para agregar y configurar una aplicación en la nube

1. En la consola de AWS SSO, elija Applications (Aplicaciones) en el panel de navegación izquierdo y, acontinuación, seleccione Add a new application (Añadir una nueva aplicación).

2. En el cuadro de diálogo Select an application (Seleccionar una aplicación), seleccione la aplicación dela lista que quiere añadir y, luego, elija Add (Añadir).

3. En la página Configure <application name> (Configurar <nombre de la aplicación>), en Details(Detalles), escriba un Display name (Nombre de visualización) para la aplicación. Por ejemplo,Salesforce.

4. En AWS SSO metadata (Metadatos de AWS SSO), haga lo siguiente:

a. Junto a AWS SSO SAML metadatafile (Archivo de metadatos de SAML de AWS SSO), elijaDownload (Descargar) para descargar los metadatos del proveedor de identidad.

b. Junto a AWS SSO certificate (Certificado de AWS SSO), elija Download certificate (Descargarcertificado) para descargar el certificado del proveedor de identidad.

Note

Necesitará estos archivos más tarde al configurar la aplicación en la nube desde el sitio webdel proveedor de servicios. Siga las instrucciones de dicho proveedor.

5. En Application properties (Propiedades de la aplicación), puede especificar, si lo desea, propiedadesadicionales para Application start URL (URL de inicio de aplicación), Relay State (Estado deretransmisión) y Session Duration (Duración de la sesión). Para obtener más información, consultePropiedades de la aplicación (p. 25).

6. En Application metadata (Metadatos de la aplicación), proporcione valores para Application ACS URL(URL de ACS de la aplicación) y Application SAML audience (Audiencia de SAML de la aplicación).

7. Seleccione Save changes (Guardar cambios) para guardar la configuración.

Aplicaciones de SAML 2.0 personalizadasPuede utilizar el asistente de configuración de aplicaciones de AWS SSO para añadir compatibilidadcon las aplicaciones que permiten la identidad federada mediante el lenguaje de marcado de aserción

24

AWS Single Sign-On Guía del usuarioAgregar y configurar una aplicación

de SAML 2.0 personalizada

de seguridad (SAML, Security Assertion Markup Language) 2.0. En la consola, estas opciones seconfiguran eligiendo Custom SAML 2.0 application (Aplicación de SAML 2.0 personalizada) en el selectorde aplicaciones. Los pasos para configurar una aplicación de SAML personalizada son prácticamente losmismos que para configurar una aplicación en la nube.

Sin embargo, también deberá proporcionar mapeos de atributos SAML adicionales para una aplicaciónde SAML personalizada para que AWS SSO sepa cómo rellenar la aserción SAML correctamente parala aplicación. Puede proporcionar este mapeo de atributos SAML adicionales cuando esté configurandola aplicación por primera vez. También puede proporcionar mapeos de atributos SAML en la página dedetalles de la aplicación a la que se puede acceder desde la consola de AWS SSO.

Agregar y configurar una aplicación de SAML 2.0personalizadaUtilice este procedimiento cuando tenga que configurar una relación de confianza de SAML entre AWSSSO y su proveedor de servicios de la aplicación personalizada. Antes de comenzar este procedimiento,asegúrese de que dispone del certificado y del archivo de intercambio de metadatos del proveedor deservicios para que pueda completar la configuración de la relación de confianza.

Para agregar y configurar una aplicación de SAML personalizada

1. En la consola de AWS SSO, seleccione Applications (Aplicaciones) en el panel de navegación de laizquierda. Después seleccione Add a new application (Añadir una nueva aplicación).

2. En el cuadro de diálogo Select an application (Seleccionar una aplicación), seleccione Custom SAML2.0 application (Aplicación de SAML 2.0 personalizada) de la lista y, luego, elija Configure application(Configurar aplicación).

3. En la página Configure <Custom app name> (Configurar <nombre de la aplicación personalizada>), enDetails (Detalles), escriba un Display name (Nombre de visualización) para la aplicación. Por ejemplo,MyApp.

4. En AWS SSO metadata (Metadatos de AWS SSO), haga lo siguiente:

a. Junto a AWS SSO SAML metadatafile (Archivo de metadatos de SAML de AWS SSO), haga clicen Download (Descargar) para descargar los metadatos del proveedor de identidad.

b. Junto a AWS SSO certificate (Certificado de AWS SSO), haga clic en Download certificate(Descargar certificado) para descargar el certificado del proveedor de identidad.

Note

Necesitará estos archivos más tarde al configurar la aplicación personalizada desde el sitioweb del proveedor de servicios.

5. En Application properties (Propiedades de la aplicación), puede especificar, si lo desea, propiedadesadicionales para Application start URL (URL de inicio de aplicación), Relay State (Estado deretransmisión) y Session Duration (Duración de la sesión). Para obtener más información, consultePropiedades de la aplicación (p. 25).

6. En Application metadata (Metadatos de la aplicación), proporcione valores para Application ACS URL(URL de ACS de la aplicación) y Application SAML audience (Audiencia de SAML de la aplicación).

7. Seleccione Save changes (Guardar cambios) para guardar la configuración.

Propiedades de la aplicaciónEn AWS SSO puede personalizar la experiencia del usuario mediante la configuración de las siguientespropiedades de aplicación adicionales.

25

AWS Single Sign-On Guía del usuarioURL de inicio de la aplicación

URL de inicio de la aplicaciónUtilice una URL de inicio de la aplicación para iniciar el proceso de federación con la aplicación. El usotípico es para una aplicación que solo admite una conexión iniciada por el proveedor de servicio (SP).

Los siguientes pasos y diagrama ilustran el flujo de trabajo de autenticación de la URL de inicio de laaplicación cuando un usuario elige una aplicación en el portal de usuarios:

1. El navegador del usuario redirige la solicitud de autenticación utilizando el valor de la URL de inicio de laaplicación (en este caso https://example.com).

2. La aplicación envía una instrucción POST HTML con un elemento SAMLRequest a AWS SSO.3. AWS SSO envía después una instrucción POST HTML con un elemento SAMLResponse a la aplicación.

Estado de retransmisiónDurante el proceso de autenticación de la federación, el estado de retransmisión redirige a los usuariosdentro de la aplicación. Para SAML 2.0, este valor se pasa sin modificar a la aplicación. Una vezconfigurado, AWS SSO envía el valor de estado de retransmisión junto con una respuesta SAML a laaplicación.

26

AWS Single Sign-On Guía del usuarioDuración de la sesión

Duración de la sesiónLa duración de la sesión es el tiempo durante el que las sesiones de usuario de la aplicación son válidas.Para SAML 2.0, esta duración se utiliza para definir la fecha NotOnOrAfter de los elementos de aserciónde SAML: saml2:SubjectConfirmationData y saml2:Conditions.

Las aplicaciones pueden interpretar la duración de la sesión de las siguientes formas:

• Las aplicaciones pueden utilizarla para determinar durante cuánto tiempo la aserción de SAML es váliday no la tendrán en cuenta cuando se decida el tiempo permitido para el usuario.

• Las aplicaciones pueden utilizarla para determinar el tiempo máximo permitido para la sesión delusuario y podrían generar una sesión de usuario con una duración menor. Esto puede ocurrir cuandola aplicación solo admite sesiones de usuario con una duración menor que la duración de la sesiónconfigurada.

• Las aplicaciones pueden utilizarla como la duración exacta y podrían no permitir que los administradoresconfiguren el valor. Esto puede ocurrir cuando la aplicación solo admite una duración de la sesiónespecífica.

Para obtener más información acerca de cómo se utiliza la duración de la sesión, consulte ladocumentación de su aplicación específica.

Asignar acceso a usuariosUtilice el siguiente procedimiento para asignar a los usuarios acceso SSO a las aplicaciones en la nube o aaplicaciones de SAML 2.0 personalizadas.

Note

Para simplificar la administración de los permisos de acceso, se recomienda asignar el accesodirectamente a grupos en lugar de a usuarios individuales. Con los grupos puede conceder odenegar permisos para grupos de usuarios en lugar de asignar esos permisos a cada individuo. Siun usuario se va a otra organización, basta con cambiarlo a un grupo diferente y automáticamenterecibirá los permisos necesarios para la nueva organización.

Para asignar acceso a usuarios o grupos


Note

Antes de continuar con el paso siguiente, compruebe que la consola de AWS SSO utiliza laregión US East (N. Virginia) donde se encuentra su directorio AWS Managed Microsoft AD.

2. Elija Applications.3. En la lista de aplicaciones, seleccione una aplicación a la que quiere asignar acceso.4. En la página de detalles de la aplicación, seleccione la pestaña Assigned users (Usuarios asignados).

A continuación, elija Assign users (Asignar usuarios).5. En el cuadro de diálogo Assign users (Asignar usuarios), escriba un nombre de usuario o de grupo. A

continuación, elija Search connected directory (Buscar directorio conectado). Puede especificar variosusuarios o grupos seleccionando las cuentas aplicables tal y como aparecen en los resultados debúsqueda.

6. Elija Assign users (Asignar usuarios).

27


AWS Single Sign-On Guía del usuarioEliminar el acceso a usuarios

Eliminar el acceso a usuariosUtilice este procedimiento para eliminar el acceso de los usuarios a las aplicaciones en la nube o aaplicaciones de SAML 2.0 personalizadas.

Para eliminar el acceso de los usuarios a una aplicación

1. Abra la consola de AWS SSO.2. Elija Applications.3. En la lista de aplicaciones, seleccione una aplicación cuyo acceso desea eliminar.4. En la página de detalles de la aplicación, seleccione la pestaña Assigned users (Usuarios asignados),

elija el usuario o grupo que desee eliminar y, a continuación, seleccione Remove (Eliminar).5. En el cuadro de diálogo Remove access (Eliminar acceso), compruebe el nombre del usuario o del

grupo. A continuación, elija Remove access (Eliminar acceso).

Mapear atributos de su aplicación con atributos deAWS SSO

Algunos proveedores de servicios requieren aserciones SAML personalizadas para transferir datosadicionales acerca de los inicios de sesión de los usuarios. En ese caso, puede utilizar el siguienteprocedimiento para especificar cómo deben mapearse los atributos de usuarios de sus aplicaciones conlos atributos correspondientes en AWS SSO.

Para mapear los atributos de la aplicación con atributos de AWS SSO

1. Abra la consola de AWS SSO.2. Elija Applications.3. En la lista de aplicaciones, seleccione la aplicación en la que desea mapear atributos.4. En la página de detalles de la aplicación, seleccione la pestaña Attribute mappings (Asignaciones de

atributos).5. Elija la pestaña Add new attribute mapping (Añadir nueva asignación de atributos).6. En el primer cuadro de texto, escriba el atributo de la aplicación.7. En el segundo cuadro de texto, escriba el atributo de AWS SSO que desea mapear con el atributo

de la aplicación. Por ejemplo, es posible que desee asignar el atributo de la aplicación Username alatributo del usuario de AWS SSO email. Para ver la lista de los atributos de usuario permitidos enAWS SSO, consulte la tabla en Mapeos de atributos (p. 12).

8. En la tercera columna de la tabla, seleccione el formato adecuado del atributo en el menú.9. Elija Save changes.

28



AWS Single Sign-On Guía del usuarioAutenticación

Autenticación y control de acceso deAWS SSO

El acceso a AWS SSO requiere credenciales que AWS puede utilizar para autenticar las solicitudes. Estascredenciales deben tener permisos para obtener acceso a recursos de AWS, como una aplicación de AWSSSO.

La autenticación del portal de usuarios de AWS SSO se controla mediante el directorio que ha conectadoa AWS SSO. Sin embargo, la autorización de las cuentas de AWS disponibles para los usuarios finalesdesde el portal de usuario se determina mediante dos factores:

1. A quién se ha asignado acceso a dichas cuentas de AWS en la consola de AWS SSO. Para obtenermás información, consulte Acceso con inicio de sesión único (p. 16).

2. Qué nivel de permisos se ha otorgado a los usuarios finales en la consola de AWS SSO para permitirlesel acceso adecuado a esas cuentas de AWS. Para obtener más información, consulte Conjuntos depermisos (p. 19).

En las siguientes secciones se explica cómo puede controlar el acceso a la consola de AWS SSO encalidad de administrador o cómo puede delegar el acceso administrativo para las tareas diarias desde laconsola de AWS SSO.

• Autenticación (p. 29)• Control de acceso (p. 30)

AutenticaciónPuede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:

• Usuario de la cuenta raíz de AWS: Cuando se crea por primera vez una cuenta de AWS, se comienzacon una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursosde AWS de la cuenta. Esta identidad recibe el nombre de AWS de la cuenta de usuario raíz y se obtieneacceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó paracrear la cuenta. Le recomendamos que no utilice usuario raíz en sus tareas cotidianas, ni siquieraen las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizarexclusivamente usuario raíz para crear el primer usuario de IAM. A continuación, guarde las credencialesde usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas de administración decuentas y servicios.

• Usuario de IAM: –un usuario de IAM es una identidad dentro de una cuenta de AWS que tiene permisospersonalizados específicos (por ejemplo, permisos para crear un a directory en AWS SSO). Puedeutilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web segurasde AWS, como la Consola de administración de AWS, los foros de debate de AWS o el AWS SupportCenter.

Además de un nombre de usuario y una contraseña, también puede generar claves de acceso paracada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación,ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK ylas herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utilizalas herramientas de AWS, debe firmar usted mismo la solicitud. AWS SSO supports Signature Version

29

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://forums.aws.amazon.com/

https://console.aws.amazon.com/support/home#/

https://console.aws.amazon.com/support/home#/

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/tools/#sdk

https://aws.amazon.com/cli/

AWS Single Sign-On Guía del usuarioControl de acceso

4, un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información acercade la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS GeneralReference.

• Rol de IAM–: Los roles de IAM de Un rol de IAM es una identidad de IAM con permisos específicos

que puede crear en su cuenta. Un rol de IAM es similar a un usuario de IAM, ya que se trata de unaidentidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer o no enAWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquierusuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largoplazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, esteproporciona credenciales de seguridad temporales para la sesión de rol. con credenciales temporalesson útiles en las siguientes situaciones:

• Acceso de usuarios federados: – En lugar de crear un usuario de IAM, puede utilizar identidades

existentes de AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor deidentidades web. A estas identidades se les llama usuarios federados. AWS asigna una función aun usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtenermás información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizar

acciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos queson necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles deservicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuandose cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solodentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puedecrear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permitaa Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargarlos datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrar

credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves deacceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposiciónde todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instanciacontiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credencialestemporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos aaplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Control de accesoAunque disponga de credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrácrear recursos de AWS SSO ni obtener acceso a ellos. Por ejemplo, debe tener permisos para crear undirectorio conectado de AWS SSO.

En las secciones siguientes, se describe cómo administrar los permisos de AWS SSO. Le recomendamosque lea primero la información general.

• Introducción a la administración de permisos de acceso para los recursos de AWS SSO (p. 31)

30

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

AWS Single Sign-On Guía del usuarioInformación general sobre la administración de acceso

• Uso de políticas basadas en identidad (políticas de IAM) de AWS SSO (p. 34)• Uso de roles vinculados a servicios en AWS SSO (p. 39)

Introducción a la administración de permisos deacceso para los recursos de AWS SSO

Cada recurso de AWS pertenece a una cuenta de AWS, y los permisos para crear u obtener acceso a losrecursos se rigen por las políticas de permisos. Un administrador de cuentas puede asociar políticas depermisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios, como AWSLambda, también permiten asociar políticas de permisos a los recursos.

Note

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios deadministrador. Para obtener más información, consulte Prácticas recomendadas de IAM de laGuía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienenpermisos y qué acciones específicas desea permitir en esos recursos.

Temas• Recursos y operaciones de AWS SSO (p. 31)• Titularidad de los recursos (p. 31)• Administración del acceso a los recursos (p. 31)• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 33)• Especificación de las condiciones de una política (p. 33)

Recursos y operaciones de AWS SSOEn AWS SSO, los recursos principales son instancias de aplicación, perfiles y conjuntos de permisos.

Titularidad de los recursosEl propietario del recurso es la cuenta de AWS que ha creado el recurso. Es decir, el propietario de losrecursos es la cuenta de AWS de la entidad principal (la cuenta, un usuario de IAM o un rol de IAM) queautentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:

• Si el usuario raíz de la cuenta de AWS crea un recurso de AWS SSO, como, por ejemplo, una instanciade aplicación o conjunto de permisos, su cuenta de AWS será la propietaria de dicho recurso.

• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear recursos deAWS SSO, el usuario podrá crear recursos de AWS SSO. Sin embargo, su cuenta de AWS, a la quepertenece el usuario, será la propietaria de los recursos.

• Si crea una función de IAM en su cuenta de AWS con permisos para crear recursos de AWS SSO,cualquier persona que pueda asumir esa función podrá crear recursos de AWS SSO. La cuenta de AWSa la que pertenece la función será la propietaria de los recursos de AWS SSO.

Administración del acceso a los recursosUna política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican lasopciones disponibles para crear políticas de permisos.

31

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

AWS Single Sign-On Guía del usuarioAdministración del acceso a los recursos

Note

En esta sección, se explica cómo se utiliza IAM en el contexto de AWS SSO. No se proporcionainformación detallada sobre el servicio de IAM. Para ver la documentación completa de IAM,consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información sobre lasintaxis y descripciones de la política de IAM, consulte Referencia de políticas de AWS IAM en laGuía del usuario de IAM.

Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en la identidad(políticas de IAM). Las políticas que se asocian a un recurso se denominan políticas basadas en recursos.AWS SSO solamente admite las políticas basadas en identidades (políticas de IAM).

Temas• Políticas basadas en identidad (políticas IAM) (p. 32)• Políticas basadas en recursos (p. 33)

Políticas basadas en identidad (políticas IAM)Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

• Asociar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuentapuede utilizar una política de permisos asociada a un usuario determinado para concederle permisospara añadir un recurso de AWS SSO, como una aplicación nueva.

• Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar unapolítica de permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Porejemplo, el administrador de la Cuenta A puede crear una función para conceder permisos entre cuentasa otra cuenta de AWS (por ejemplo, a la Cuenta B) o a un servicio de AWS, tal y como se indica acontinuación:1. El administrador de la Cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que

concede permisos a los recursos de la Cuenta A.2. El administrador de la Cuenta A asocia una política de confianza al rol que identifica la Cuenta B

como la entidad principal que puede asumir el rol.3. A continuación, el administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier

usuario de la Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos y obteneracceso a ellos en la Cuenta A. La entidad principal de la política de confianza también puede ser laentidad principal de un servicio de AWS si desea conceder permisos para asumir el rol a un serviciode AWS.

Para obtener más información acerca del uso de IAM para delegar permisos, consulte Administración deaccesos en la Guía del usuario de IAM.

La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones queempiezan por List. Estas acciones muestran información sobre un recurso de AWS SSO, como unainstancia de la aplicación o un conjunto de permisos. Tenga en cuenta que el carácter comodín (*) enel elemento Resource indica que las acciones están permitidas para todos los recursos de AWS SSOpropiedad de la cuenta.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sso:List*", "Resource":"*" }

32

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

AWS Single Sign-On Guía del usuarioEspecificación de elementos de política: acciones,

efectos, recursos y entidades principales

]}

Para obtener más información acerca del uso de políticas basadas en la identidad con AWS SSO, consulteUso de políticas basadas en identidad (políticas de IAM) de AWS SSO (p. 34). Para obtener másinformación acerca de los usuarios, grupos, funciones y permisos, consulte Identidades (usuarios, grupos yroles) en la Guía del usuario de IAM.

Políticas basadas en recursosOtros servicios, como Amazon S3, admiten también políticas de permisos basadas en recursos. Porejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dichobucket. AWS SSO no admite políticas basadas en recursos.

Especificación de elementos de política: acciones,efectos, recursos y entidades principalesPara cada recurso de AWS SSO (consulte Recursos y operaciones de AWS SSO (p. 31)), el serviciodefine un conjunto de operaciones de API. Para conceder permisos a estas operaciones de la API, AWSSSO define un conjunto de acciones que puede especificar en una política. Tenga en cuenta que larealización de una operación de la API puede requerir permisos para más de una acción.

A continuación, se indican los elementos básicos de la política:

• Recurso: las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al quese aplican. Para los recursos de AWS SSO, use siempre el carácter comodín (*) en las políticas de IAM.Para obtener más información, consulte Recursos y operaciones de AWS SSO (p. 31).

• Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitiro denegar. Por ejemplo, con el permiso sso:DescribePermissionsPolicies, los usuarios puedenrealizar la operación DescribePermissionsPolicies de AWS SSO.

• Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica, que puedeser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso sedeniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarsede que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

• Entidad principal – En las políticas basadas en identidad (políticas de IAM), el usuario al que se asociaesta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar elusuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticasbasadas en recursos). AWS SSO no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulteReferencia de políticas de AWS IAM en la Guía del usuario de IAM.

Especificación de las condiciones de una políticaAl conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condicionesque se deben cumplir para que se aplique una política. Por ejemplo, es posible que desee que solose aplique una política después de una fecha específica. Para obtener más información sobre cómoespecificar condiciones en un lenguaje de política, consulte Condición en la Guía del usuario de IAM.

Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condiciónespecíficas para AWS SSO. No obstante, existen claves de condición de AWS que puede utilizar cuandocorresponda. Para ver una lista completa de las claves de AWS, consulte Claves de condición globalesdisponibles en la Guía del usuario de IAM.

33

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys

AWS Single Sign-On Guía del usuarioUsar políticas basadas en identidad (políticas de IAM)

Uso de políticas basadas en identidad (políticas deIAM) de AWS SSO

En este tema se ofrecen ejemplos de políticas de permisos que un administrador de la cuenta puedeasociar a identidades de IAM (es decir, usuarios, grupos y roles).

Important

Le recomendamos que consulte primero los temas de introducción en los que se explican losconceptos básicos y las opciones disponibles para administrar el acceso a los recursos de AWSSSO. Para obtener más información, consulte Introducción a la administración de permisos deacceso para los recursos de AWS SSO (p. 31).

En las secciones de este tema se explica lo siguiente:

• Permisos necesarios para usar la consola de AWS SSO (p. 35)• AWSPolíticas administradas (predefinidas) para AWS SSO (p. 35)• Ejemplos de políticas administradas por el cliente (p. 35)

A continuación se muestra un ejemplo de una política de permisos.

{ "Version" : "2012-10-17", "Statement" : [ { "Action" : [ "sso:CreateApplicationInstance", "sso:UpdateResponseConfig", "sso:UpdateResponseSchemaConfig", "sso:UpdateSecurityConfig", "sso:UpdateServiceProviderConfig", "sso:UpdateApplicationInstanceStatus", "sso:UpdateApplicationInstanceDisplay", "sso:CreateProfile", "sso:SetupTrust" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "organizations:xxx", "organizations:yyy" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "ds:AuthorizeApplication" ], "Effect" : "Allow", "Resource" : "*" } ]}

34

AWS Single Sign-On Guía del usuarioPermisos necesarios para usar la consola de AWS SSO

La política incluye lo siguiente:

• La primera instrucción concede permiso para administrar las asociaciones de perfil a usuarios y gruposdentro de su directorio. También concede permiso para leer todos los recursos de AWS SSO.

• La segunda instrucción concede permisos para buscar usuarios y grupos en el directorio. Esto esnecesario para poder crear las asociaciones de perfil.

La política no especifica el elemento Principal, ya que en una política basada en la identidad no seespecifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuarioes el elemento principal implícito. Cuando se asocia una política de permisos a un rol de IAM, la entidadprincipal identificada en la política de confianza del rol obtiene los permisos.

Permisos necesarios para usar la consola de AWSSSOPara que un usuario pueda trabajar con la consola de AWS SSO, debe tener los permisos enumerados enla política anterior.

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola nofuncionará del modo esperado para los usuarios con esa política de IAM.

AWSPolíticas administradas (predefinidas) para AWSSSOAWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadasy administradas por AWS. Las políticas administradas por AWS conceden los permisos necesarios paracasos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtenermás información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Ejemplos de políticas administradas por el clienteEn esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversasacciones de AWS SSO.

Ejemplos• Ejemplo 1: Permitir a un usuario configurar y habilitar AWS SSO (p. 35)• Ejemplo 2: Permitir a un usuario administrar el directorio conectado de AWS SSO (p. 36)• Ejemplo 3: Permitir a un usuario administrar aplicaciones en AWS SSO (p. 36)• Ejemplo 4: Permitir a un usuario administrar permisos para las cuentas de AWS en AWS

SSO (p. 37)• Ejemplo 5: Permitir a un usuario administrar el acceso a las aplicaciones en AWS SSO (p. 38)• Ejemplo 6: Permitir a un usuario buscar las aplicaciones en la nube integradas previamente con AWS

SSO (p. 38)• Ejemplo 7: Permitir a un usuario añadir usuarios y grupos en AWS SSO (p. 39)

Ejemplo 1: Permitir a un usuario configurar y habilitar AWS SSOLa siguiente política de permisos otorga permisos para permitir a un usuario abrir la consola de AWSSSO y habilitar el servicio. Para ello, los permisos como los otorgados a la cuenta maestra de AWSOrganizations también son necesarios.

35

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

AWS Single Sign-On Guía del usuarioEjemplos de políticas administradas por el cliente

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:StartSSO, sso:GetSSOStatus ], "Resource":"*" }, { "Effect":"Allow", "Action": [ organizations:DescribeAccount, organizations:EnableAWSServiceAccess ], "Resource":"*"

} ]}

Ejemplo 2: Permitir a un usuario administrar el directorioconectado de AWS SSOLa siguiente política de permisos concede permisos a un usuario para administrar el directorio conectado.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:AssociateDirectory, sso:DisassociateDirectory, sso:ListDirectoryAssociations, sso:UpdateDirectoryAssociation ], "Resource":"*" }, { "Effect":"Allow", "Action": [ ds:DescribeDirectories ], "Resource":"*" } ]}

Ejemplo 3: Permitir a un usuario administrar aplicaciones en AWSSSOLa siguiente política de permisos permite a un usuario crear y administrar instancias de aplicación, perfilesy certificados en la consola de AWS SSO.

{ "Version":"2012-10-17", "Statement":[

36


{ "Effect":"Allow", "Action": [ sso:ListApplicationTemplates, sso:GetApplicationTemplate sso:ListApplicationInstances, sso:GetApplicationInstance, sso:CreateApplicationInstance, sso:UpdateApplicationInstanceStatus, sso:UpdateApplicationInstanceDisplayData, sso:UpdateApplicationInstanceServiceProviderConfiguration, sso:UpdateApplicationInstanceResponseConfiguration, sso:UpdateApplicationInstanceResponseSchemaConfiguration, sso:UpdateApplicationInstanceSecurityConfiguration, sso:DeleteApplicationInstance, sso:ImportApplicationInstanceServiceProviderMetadata, sso:CreateProfile, sso:UpdateProfile, sso:DeleteProfile, sso:GetProfile, sso:ListProfiles, sso:ListApplicationInstanceCertificates, sso:CreateApplicationInstanceCertificate, sso:UpdateApplicationInstanceActiveCertificate, sso:DeleteApplicationInstanceCertificate ], "Resource":"*" } ]}

Ejemplo 4: Permitir a un usuario administrar permisos para lascuentas de AWS en AWS SSOLa siguiente política de permisos permite a un usuario crear y administrar conjuntos de permisos para lascuentas de AWS en la consola de AWS SSO.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:ListApplicationInstances, sso:GetApplicationInstance, sso:CreateApplicationInstance, sso:UpdateApplicationInstanceStatus, sso:UpdateApplicationInstanceDisplayData, sso:UpdateApplicationInstanceServiceProviderConfiguration, sso:UpdateApplicationInstanceResponseConfiguration, sso:UpdateApplicationInstanceResponseSchemaConfiguration, sso:UpdateApplicationInstanceSecurityConfiguration, sso:DeleteApplicationInstance, sso:ImportApplicationInstanceServiceProviderMetadata, sso:CreateProfile, sso:UpdateProfile, sso:DeleteProfile, sso:GetProfile, sso:ListProfiles, sso:ListApplicationInstanceCertificates, sso:CreateApplicationInstanceCertificate, sso:UpdateApplicationInstanceActiveCertificate, sso:DeleteApplicationInstanceCertificate,

37


sso:CreatePermissionSet, sso:GetPermissionSet, sso:ListPermissionSets, sso:DeletePermissionSet, sso:PutPermissionsPolicy, sso:DeletePermissionsPolicy, sso:DescribePermissionsPolicies, sso:GetTrust, sso:CreateTrust, sso:UpdateTrust, sso:DeleteTrust ], "Resource":"*" }, { "Effect":"Allow", "Action": [ organizations:DescribeOrganization ], "Resource":"*" } ]}

Ejemplo 5: Permitir a un usuario administrar el acceso a lasaplicaciones en AWS SSOLa siguiente política de permisos permite a un usuario administrar el acceso a las aplicaciones en laconsola de AWS SSO.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:ListApplicationInstances, sso:ListProfileAssociations, sso:AssociateProfile, sso:DisassociateProfile ], "Resource":"*" }, { "Effect":"Allow", "Action": [ ds:DescribeDirectories ], "Resource":"*" } ]}

Ejemplo 6: Permitir a un usuario buscar las aplicaciones en lanube integradas previamente con AWS SSOLa siguiente política de permisos permite a un usuario localizar las aplicaciones en la nube integradaspreviamente con AWS SSO empleando el asistente Añadir aplicación.

{

38

AWS Single Sign-On Guía del usuarioUso de roles vinculados a servicios

"Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:ListApplicationTemplates, sso:GetApplicationTemplate ], "Resource":"*" } ]}

Ejemplo 7: Permitir a un usuario añadir usuarios y grupos enAWS SSOLa siguiente política de permisos concede permisos para permitir a un usuario abrir la consola de AWSSSO y añadir usuarios y grupos al directorio que AWS SSO proporciona de forma predeterminada.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "sso-directory:*" ], "Resource":"*" } ]}

Uso de roles vinculados a servicios en AWS SSOAWS Single Sign-On usa roles vinculados a servicios de AWS Identity and Access Management (IAM).Un rol vinculado a servicio es un tipo único de rol de IAM que está vinculado directamente a AWSSSO. Está predefinido por AWS SSO e incluye todos los permisos que el servicio requiere para llamara otros servicios de AWS en su nombre. Para obtener más información, consulte Roles vinculados aservicios (p. 21).

Con un rol vinculado al servicio, resulta más sencillo configurar AWS SSO, porque no es preciso agregarlos permisos necesarios manualmente. AWS SSO define los permisos del rol vinculado al servicio y, amenos que esté definido de otra manera, solo AWS SSO puede asumir su rol. Los permisos definidosincluyen las políticas de confianza y de permisos, y establecen que la política de permisos no se puedeasociar a ninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Serviciosde AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado aservicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado alservicio en cuestión.

39

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

AWS Single Sign-On Guía del usuarioPermisos de roles vinculados a servicios para AWS SSO

Permisos de roles vinculados a servicios para AWSSSOAWS SSO usa el rol vinculado al servicio llamado AWSServiceRoleForSSO para conceder permisos deAWS SSO para administrar recursos de AWS, incluidos los roles de IAM, las políticas y el proveedor deidentidad SAML en su nombre.

La función vinculada al servicio AWSServiceRoleForSSO confía en los siguientes servicios para asumir lafunción:

• AWS SSO

La política de permisos del rol vinculado al servicio AWSServiceRoleForSSO permite que AWS SSOrealice las siguientes acciones en los roles en la ruta "/aws-reserved/sso.amazonaws.com/" y con el prefijodel nombre "AWSReservedSSO_":

• iam:AttachRolePolicy

• iam:CreateRole

• iam:DeleteRole

• iam:DeleteRolePolicy

• iam:DetachRolePolicy

• iam:GetRole

• iam:ListRolePolicies

• iam:PutRolePolicy

• iam:ListAttachedRolePolicies

La política de permisos del rol vinculado al servicio AWSServiceRoleForSSO permite que AWS SSOrealice las siguientes acciones en los proveedores SAML con el prefijo del nombre "AWSSSO_":

• iam:CreateSAMLProvider

• iam:GetSAMLProvider

• iam:UpdateSAMLProvider

• iam:DeleteSAMLProvider

La política de permisos del rol vinculado al servicio AWSServiceRoleForSSO permite que AWS SSOrealice las siguientes acciones en todas las organizaciones:

• organizations:DescribeAccount

• organizations:DescribeOrganization

• organizations:ListAccounts

La política de permisos del rol vinculado al servicio AWSServiceRoleForSSO permite que AWS SSOrealice las siguientes acciones en todos los roles de IAM (*):

• iam:listRoles

La política de permisos del rol vinculado al servicio AWSServiceRoleForSSO permite que AWSSSO realice las siguientes acciones en "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO":

40

AWS Single Sign-On Guía del usuarioCreación de una función vinculada

a servicios para AWS SSO

• iam:GetServiceLinkedRoleDeletionStatus

• iam:DeleteServiceLinkedRole

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear,editar o eliminar la descripción de una función vinculada a un servicio. Para obtener más información,consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de una función vinculada a servicios paraAWS SSONo necesita crear manualmente un rol vinculado a un servicio. When a user who is signed in with the AWSorganization’s master account assigns access to an AWS account for the first time, AWS SSO creates theservice-linked role automatically in that AWS account.

Important

Si utilizaba el servicio AWS SSO antes de December 7, 2017, cuando AWS SSO comenzó aadmitir las funciones vinculadas a servicios, creó la función AWSServiceRoleForSSO en sucuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en la cuenta de IAM.

Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede seguir el mismo proceso paravolver a crear el rol en su cuenta.

Edición de un rol vinculado al servicio para AWS SSOAWS SSO no le permite editar la función vinculada al servicio AWSServiceRoleForSSO. Después decrear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacerreferencia al mismo. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtenermás información, consulte Editar una función vinculada a un servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado al servicio para AWSSSONo es necesario eliminar manualmente el rol de AWSServiceRoleForSSO. When an AWS account isremoved from an AWS organization, AWS SSO automatically cleans up the resources and deletes theservice-linked role from that AWS account.

También puede utilizar la consola de IAM, la CLI de IAM o la API de IAM para eliminar manualmente elrol vinculado a un servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado alservicio para poder eliminarlo después manualmente.

Note

Si el servicio AWS SSO está utilizando el rol cuando intenta eliminar los recursos, la eliminaciónpodría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de AWS SSO que se utilizan en AWSServiceRoleForSSO

1. Eliminar el acceso a usuarios (p. 18) para todos los usuarios y grupos que tengan acceso a la cuentade AWS.

2. Eliminar conjuntos de permisos (p. 20) que ha asociado a la cuenta de AWS.3. Eliminar el proveedor de identidad de IAM (p. 21) para eliminar la relación de confianza entre AWS

SSO y la cuenta de AWS.

41

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

AWS Single Sign-On Guía del usuarioEliminación de un rol vinculado al servicio para AWS SSO

Para eliminar manualmente la función vinculada al servicio utilizando IAM

Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar la función vinculada al servicioAWSServiceRoleForSSO. Para obtener más información, consulte Eliminar un rol vinculado a un servicioen la Guía del usuario de IAM.

42

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

AWS Single Sign-On Guía del usuarioSugerencias a la hora de usar el portal

Uso del portal de usuarioEl portal de usuario le proporciona acceso de inicio de sesión único a todas sus cuentas de AWS y alas aplicaciones en la nube que se utilizan con mayor frecuencia como Office 365, Concur, Salesforce ymuchas más. Desde aquí puede lanzar rápidamente varias aplicaciones. Solo tiene que elegir el iconode la aplicación o de la cuenta de AWS en el portal. La presencia de iconos en su portal significa que unadministrador o un empleado designado del servicio de asistencia de su empresa le ha otorgado accesoa dichas cuentas de AWS o aplicaciones. También significa que puede acceder a todas esas cuentas oaplicaciones desde el portal sin tener que realizar inicios de sesión adicionales.

Póngase en contacto con su administrador o con el servicio de asistencia para solicitar acceso adicional enlas siguientes situaciones:

• Cuando no ve una cuenta de AWS o una aplicación a la que necesita acceder.• Si el acceso que tiene a una cuenta o aplicación determinada no es el previsto.

Temas• Sugerencias a la hora de usar el portal (p. 43)• Cómo aceptar la invitación para unirse a AWS SSO (p. 43)• Cómo iniciar sesión en el portal de usuario (p. 44)• Cómo cerrar sesión del portal de usuario (p. 44)• Cómo buscar una cuenta de AWS o aplicación (p. 44)• Cómo restablecer la contraseña (p. 45)• Cómo obtener credenciales de un rol de IAM para acceder a una cuenta de AWS desde la

CLI (p. 45)

Sugerencias a la hora de usar el portalAl igual que cualquier herramienta empresarial o aplicación que utiliza diariamente, el portal de usuariopodría no funcionar como se espera. En ese caso, pruebe estas recomendaciones:

• En alguna ocasión, es posible que tenga que cerrar la sesión del portal de usuario e iniciarla de nuevo.Esto puede ser necesario para poder acceder a las nuevas aplicaciones que el administrador le hayaasignado recientemente. Sin embargo, no será necesario, ya que todas las nuevas aplicaciones seactualizan cada hora.

• Al iniciar sesión en el portal de usuario, puede abrir cualquiera de las aplicaciones que se enumeran enel portal eligiendo el icono de la aplicación. En cuanto haya terminado de usar la aplicación, puede obien cerrar la aplicación o bien cerrar la sesión del portal de usuario. Al cerrar la aplicación solo finalizala sesión de la aplicación en cuestión. Las demás aplicaciones que haya abierto desde el portal deusuario seguirán abiertas y en funcionamiento.

• Antes de iniciar sesión con otro usuario, primero debe cerrar la sesión del portal de usuario. El cierre desesión del portal elimina por completo sus credenciales de la sesión del navegador.

Cómo aceptar la invitación para unirse a AWS SSOSi es la primera vez que inicia sesión en el portal de usuarios, consulte su correo electrónico para obtenerinstrucciones sobre cómo activar su cuenta.

43

AWS Single Sign-On Guía del usuarioCómo iniciar sesión en el portal de usuario

Para activar su cuenta

1. Según el correo electrónico que haya recibido de su empresa, elija uno de los siguientes métodospara activar su cuenta para que pueda comenzar a utilizar el portal de usuarios.

a. Si ha recibido un correo electrónico con el asunto Invitation to join AWS Single Sign-On (Invitaciónpara unirse a AWS Single Sign-On), ábralo y seleccione Accept invitation (Aceptar invitación),lo que le llevará a la página Single Sign-On (Inicio de sesión único). Aquí especificará unacontraseña, que utilizará cada vez que inicie sesión en el portal. Una vez que haya proporcionadouna contraseña y la haya confirmado, seleccione Update User (Actualizar usuario).

b. Si fue el equipo de soporte de TI o el administrador de TI de la empresa quien le envió el correoelectrónico, siga las instrucciones proporcionadas para activar su cuenta.

2. Una vez que active su cuenta proporcionando una nueva contraseña, se inicia sesión en el portal deusuarios de forma automática. Si esto no ocurre, puede iniciar sesión manualmente en el portal deusuarios usando las instrucciones que se indican en el siguiente paso.

Cómo iniciar sesión en el portal de usuarioA estas alturas, un administrador o empleado del servicio de asistencia ya tendría que haberleproporcionado una URL de inicio de sesión específica del portal de usuario. En cuanto la tenga, podrácontinuar con los pasos que se describen a continuación para iniciar sesión en el portal.

Para iniciar sesión en el portal de usuario

1. En la ventana del navegador, pegue la URL de inicio de sesión que se le proporcionó. Luego pulseIntro. Le recomendamos que guarde este enlace al portal como marcador para que pueda acceder almismo más rápidamente en futuras ocasiones.

2. Inicie sesión con su nombre de usuario y contraseña de empresa estándar.3. Después de iniciar sesión, podrá acceder a cualquier cuenta de AWS y aplicación que aparezca en el

portal. Solo tiene que seleccionar un icono.

Cómo cerrar sesión del portal de usuarioAl cerrar sesión del portal, se eliminan por completo sus credenciales de la sesión del navegador.

Note

Si quiere iniciar sesión con otro usuario, primero debe cerrar la sesión del portal de usuario.

Para cerrar sesión del portal de usuario

• En el portal de usuarios, elija Sign out (Cerrar sesión) en la esquina superior derecha del portal.

Cómo buscar una cuenta de AWS o aplicaciónSi su lista de aplicaciones o cuentas de AWS es demasiado grande para encontrar lo que necesita, puedeusar el cuadro Search (Buscar).

Para buscar una cuenta de AWS o aplicación en el portal de usuario

1. Con una sesión iniciada en el portal, elija el cuadro Search (Buscar).

44

AWS Single Sign-On Guía del usuarioCómo restablecer la contraseña

2. Escriba el nombre de la aplicación. Luego pulse Intro.

Cómo restablecer la contraseñaDe vez en cuando es posible que tenga que restablecer la contraseña, en función de las políticas de suempresa.

Para restablecer la contraseña

1. Abra un navegador y vaya a la página de inicio de sesión del portal de usuarios.2. En el botón Sign In (Iniciar sesión), elija Forgot Password? (¿Ha olvidado la contraseña?).3. Proporcione su Username (Nombre de usuario) y escriba los caracteres de la imagen para confirmar

que no es un robot. A continuación, elija Recover Password (Recuperar contraseña). Se enviaráun correo electrónico con el asunto AWS Directory Service Reset Password Request (Solicitud derestablecimiento de contraseña de AWS Directory Service).

4. Cuando reciba el correo electrónico, elija Reset Password (Restablecer contraseña).5. En la página Single Sign-On (Inicio de sesión único), debe especificar una nueva contraseña para

el portal. Una vez que haya proporcionado una contraseña y la haya confirmado, seleccione ResetPassword (Restablecer contraseña).

Cómo obtener credenciales de un rol de IAM paraacceder a una cuenta de AWS desde la CLI

Utilice este procedimiento en el portal de usuarios cuando necesite credenciales de seguridad temporalespara un acceso a corto plazo a los recursos de una cuenta de AWS utilizando la AWS CLI. El portal deusuarios le permite seleccionar rápidamente una cuenta de AWS y obtener las credenciales temporalespara un rol de IAM determinado. A continuación, puede copiar la sintaxis de la CLI necesaria (incluidastodas las credenciales necesarias) y pegarlas en el símbolo del sistema de la AWS CLI.

De manera predeterminada, las credenciales obtenidas a través del portal de usuario son válidas durante1 hora. Puede cambiar este valor hasta 12 horas. Una vez que haya completado este procedimiento,podrá ejecutar cualquier comando de la AWS CLI (al que le haya dado acceso su administrador) hasta quedichas credenciales temporales caduquen.

Note

Antes de comenzar con los pasos de este procedimiento, primero debe instalar la AWS CLI. Paraobtener instrucciones, consulte Instalación de la AWS Command Line Interface.

Para obtener credenciales temporales de un rol de IAM para obtener acceso a una cuenta deAWS desde la CLI

1. Con una sesión iniciada en el portal, seleccione el icono AWS Accounts (Cuentas de AWS) paraexpandir la lista de cuentas.

2. Elija la cuenta de AWS desde la que desea obtener las credenciales de acceso. A continuación, juntoal nombre del rol de IAM (por ejemplo Administrator (Administrador), seleccione Command line orprogrammatic access (Línea de comandos o acceso mediante programación).

3. En el cuadro de diálogo Get credentials (Obtener credenciales), seleccione MacOS and Linux (MacOSy Linux) o Windows, en función del sistema operativo en el que tiene previsto utilizar el símbolo delsistema de la CLI.

4. En función de cómo desee utilizar las credenciales temporales, elija una o varias de las siguientesopciones:

45

https://docs.aws.amazon.com/cli/latest/userguide/installing.html

AWS Single Sign-On Guía del usuarioCómo obtener credenciales de un rol de IAM

para acceder a una cuenta de AWS desde la CLI

• Si necesita ejecutar comandos desde la AWS CLI en la cuenta de AWS seleccionada, en Option 1:Set AWS environment variables (Opción 1: Establecer las variables de entorno de AWS) coloque elcursor sobre los comandos. A continuación, elija Copy (Copiar). Pegue los comandos en la ventanade terminal de la CLI y pulse Intro para definir las variables de entorno necesarias.

• Si necesita ejecutar comandos de varios símbolos del sistema en la misma cuenta de AWS, enOption 2: Add a profile to your AWS credentials file (Opción 2: Añadir un perfil a su archivo decredenciales de AWS), coloque el cursor sobre los comandos. A continuación, elija Copy (Copiar).Pegue los comandos en el archivo de credenciales de AWS para configurar un perfil con un nuevonombre. Para obtener más información, consulte Archivos de configuración y credenciales en laGuía del usuario de AWS CLI. Al modificar archivos de credenciales de esta forma se admite laopción --profile en el comando de la AWS CLI para que pueda utilizar estas credenciales. Estoafecta a todos los símbolos del sistema que utilicen el mismo archivo de credenciales.

• Si necesita obtener acceso a los recursos de AWS desde un cliente de servicio de AWS, en Option3: Use individual values in your AWS service client (Opción 3: Utilizar valores individuales en sucliente de servicio de AWS), elija Copy (Copiar) junto a los comandos que tiene que utilizar. Paraobtener más información, consulte Obtención de credenciales temporales con AWS STS en la Guíadel usuario de AWS CLI o consulte Herramientas para Amazon Web Services.

5. Continúe utilizando la AWS CLI para su cuenta de AWS mientras la necesite hasta que caduquen lascredenciales.

46

https://docs.aws.amazon.com/cli/latest/userguide/cli-config-files.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-config-files.html

https://aws.amazon.com/tools/

AWS Single Sign-On Guía del usuarioInformación de AWS SSO en CloudTrail

Registro de llamadas a la API deAWS SSO con AWS CloudTrail

AWS SSO está integrado con AWS CloudTrail, un servicio que registra las acciones de usuarios, roles oservicios de AWS en AWS SSO. Si crea un registro de seguimiento, puede habilitar la entrega continuade eventos de CloudTrail a un bucket de Amazon S3, Amazon CloudWatch Logs y Amazon CloudWatchEvents. Mediante la información que recopila CloudTrail, se puede determinar la solicitud que se envióa AWS SSO, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y losdetalles adicionales.

Para obtener más información sobre CloudTrail, consulte la AWS CloudTrail User Guide.

Información de AWS SSO en CloudTrailCloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad en AWS SSO,dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demás servicios deAWS en el Event history (Historial de eventos). Puede ver, buscar y descargar los últimos eventos dela cuenta de AWS. Para obtener más información, consulte Visualización de eventos con el historial deeventos de CloudTrail.

Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de AWSSSO, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos deregistro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimientoen la consola, este se aplica a todas las regiones de AWS. El registro de seguimiento registra los eventosde todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3especificado. También puede configurar otros servicios de AWS para analizar y actuar en función de losdatos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte lossiguientes temas:

• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail• Recibir archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro de

CloudTrail de varias cuentas

Cuando el registro de CloudTrail está habilitado en la cuenta de AWS, se hace un seguimiento de lasllamadas a las acciones de AWS SSO realizadas por la API. Los registros de AWS SSO se agrupan juntocon otros registros de servicios de AWS en un archivo de registro. CloudTrail determina cuándo se crea unarchivo nuevo para usarlo como registro en función del periodo de tiempo y el tamaño del archivo.

Se admiten las siguientes acciones:

• AssociateDirectory

• AssociateProfile

• CreateApplicationInstance

• CreateApplicationInstanceCertificate

• CreatePermissionSet

• CreateProfile

47

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html


AWS Single Sign-On Guía del usuarioInformación de AWS SSO en CloudTrail

• DeleteApplicationInstance

• DeleteApplicationInstanceCertificate

• DeletePermissionsPolicy

• DeletePermissionSet

• DeleteProfile

• DescribePermissionsPolicies

• DisassociateDirectory

• DisassociateProfile

• GetApplicationInstance

• GetApplicationTemplate

• GetPermissionSet

• GetSSOStatus

• ImportApplicationInstanceServiceProviderMetadata

• ListApplicationInstances

• ListApplicationInstanceCertificates

• ListApplicationTemplates

• ListDirectoryAssociations

• ListPermissionSets

• ListProfileAssociations

• ListProfiles

• PutPermissionsPolicy

• StartSSO

• UpdateApplicationInstanceActiveCertificate

• UpdateApplicationInstanceDisplayData

• UpdateApplicationInstanceServiceProviderConfiguration

• UpdateApplicationInstanceStatus

• UpdateApplicationInstanceResponseConfiguration

• UpdateApplicationInstanceResponseSchemaConfiguration

• UpdateApplicationInstanceSecurityConfiguration

• UpdateDirectoryAssociation

• UpdateProfile

Cada entrada de log contiene información sobre quién generó la solicitud. La información de identidadque figura en el registro le ayudará a determinar si la solicitud la ha realizado un usuario raíz de la cuentade AWS o si se han utilizado las credenciales de usuario de IAM. También puede saber si la solicitud serealizó con credenciales de seguridad temporales de un rol o fue un usuario federado u otro servicio deAWS. Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Puede crear un registro de seguimiento y almacenar los archivos de registro en su bucket de Amazon S3durante el tiempo que desee. También puede definir reglas de ciclo de vida de Amazon S3 para archivaro eliminar archivos de registro automáticamente. De forma predeterminada, los archivos log se cifran concifrado de servidor de Amazon S3 (SSE).

Si desea recibir notificaciones de la entrega de archivos de log, configure CloudTrail para que publique lasnotificaciones de Amazon SNS cuando se envíen nuevos archivos de log. Para obtener más información,consulte Configuring Amazon SNS Notifications for CloudTrail.

También puede agrupar los archivos de registro de AWS SSO procedentes de varias regiones de AWS yvarias cuentas de AWS en un solo bucket de Amazon S3. Para obtener más información, consulte Recibir

48

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html


AWS Single Sign-On Guía del usuarioDescripción de las entradas de

archivos de registro de AWS SSO

archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro de CloudTrail devarias cuentas.

Descripción de las entradas de archivos de registrode AWS SSO

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienenuna o varias entradas de registro. Un evento representa una única solicitud de cualquier origen e incluyeinformación sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a laAPI públicas, por lo que no aparecen en ningún orden específico.

En el siguiente ejemplo, se muestra una entrada de registro de CloudTrail de un administrador([email protected]) que tuvo lugar en la consola de AWS SSO:

{ "Records":[ { "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"AIDAJAIENLMexample", "arn":"arn:aws:iam::08966example:user/samadams", "accountId":"08966example", "accessKeyId":"AKIAIIJM2K4example", "userName":"samadams" }, "eventTime":"2017-11-29T22:39:43Z", "eventSource":"sso.amazonaws.com", "eventName":"DescribePermissionsPolicies", "awsRegion":"us-east-1", "sourceIPAddress":"203.0.113.0", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36", "requestParameters":{ "permissionSetId":"ps-79a0dde74b95ed05" }, "responseElements":null, "requestID":"319ac6a1-d556-11e7-a34f-69a333106015", "eventID":"a93a952b-13dd-4ae5-a156-d3ad6220b071", "readOnly":true, "resources":[

], "eventType":"AwsApiCall", "recipientAccountId":"08966example" } ]}

En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail de la acción de un usuario final([email protected]) que tuvo lugar en el portal de usuario de AWS SSO:

{ "Records":[ { "eventVersion":"1.05",

49




AWS Single Sign-On Guía del usuarioDescripción de las entradas de

archivos de registro de AWS SSO

"userIdentity":{ "type":"Unknown", "principalId":"example.com//S-1-5-21-1122334455-3652759393-4233131409-1126", "accountId":"08966example", "userName":"[email protected]" }, "eventTime":"2017-11-29T18:48:28Z", "eventSource":"sso.amazonaws.com", "eventName":"https://portal.sso.us-east-1.amazonaws.com/instance/appinstances", "awsRegion":"us-east-1", "sourceIPAddress":"203.0.113.0", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36", "requestParameters":null, "responseElements":null, "requestID":"de6c0435-ce4b-49c7-9bcc-bc5ed631ce04", "eventID":"e6e1f3df-9528-4c6d-a877-6b2b895d1f91", "eventType":"AwsApiCall", "recipientAccountId":"08966example" } ]}

50

AWS Single Sign-On Guía del usuarioLímites en aplicaciones

Límites en AWS SSOEn la siguiente tabla se describen los límites de AWS SSO. Para obtener más información sobre los límitesque pueden cambiarse, consulte AWS Service Limits.

Límites en aplicacionesRecurso Límite predeterminado

Tamaño del archivo de los certificados SAML deproveedores de servicios (en formato PEM)

2 kb

Límites de la cuenta de AWSRecurso Límite predeterminado

Número máximo de conjuntos de permisos enAWS SSO

50

Número de conjuntos de permisos permitido porcuenta de AWS

20

Número de referencias a políticas administradaspor AWS por conjunto de permisos

10

Número de políticas insertadas por conjunto depermisos

1

Tamaño máximo de la política insertada porconjunto de permisos

10,000 bytes

Número de roles de IAM de la cuenta de AWS quepuede repararse de forma simultánea*

1

Número de directorios que puede tener de formasimultánea

1

* Los conjuntos de permisos se aprovisionan en una cuenta de AWS como roles de IAM. Para obtener másinformación, consulte Conjuntos de permisos (p. 6).

Límites de los directorios conectadosRecurso Límite predeterminado

Número de grupos de Active Directory únicos quese puede asignar*

50

51

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html

AWS Single Sign-On Guía del usuarioLímites del directorio de AWS SSO

Recurso Límite predeterminado

Número de directorios conectados que se puedetener de forma simultánea

1

* Los usuarios dentro de su Active Directory pueden pertenecer a muchos grupos de directorios. Sinembargo, en AWS SSO el número máximo de grupos de Active Directory asignados para utilizaraplicaciones es de 50.

Límites del directorio de AWS SSORecurso Límite predeterminado

Número máximo de usuarios admitidos en AWSSSO

500

Número máximo de grupos admitidos en AWSSSO

100

52

AWS Single Sign-On Guía del usuarioNo puedo configurar mi aplicación en la nube correctamente

Solución de problemas de AWS SSOLa siguiente información puede ayudarle a solucionar algunos problemas comunes que puede encontrarsea la hora de configurar o utilizar la consola de AWS SSO.

No puedo configurar mi aplicación en la nubecorrectamente

Cada proveedor de servicios de una aplicación en la nube integrada previamente en AWS SSO tienesu propio manual de instrucciones detalladas. Puede obtener acceso al manual desde la pestañaConfiguration (Configuración) de dicha aplicación en la consola de AWS SSO.

Si el problema está relacionado con la configuración de la confianza entre la aplicación del proveedorde servicios y AWS SSO, consulte el manual de instrucciones para ver los pasos para la resolución deproblemas.

No sé qué datos contiene la aserción SAML que setransferirá al proveedor de servicios

Siga los siguientes pasos en el portal de usuario para ver qué datos de la aserción SAML se enviarán alproveedor de servicios de la aplicación del usuario registrado actualmente. Este procedimiento muestra elcontenido en la ventana del navegador antes de que se envíe al proveedor.

1. Cuando haya iniciado sesión en el portal, mantenga presionada la tecla Mayús y elija la aplicación.2. Revise la información de la página titulada You are now in administrator mode (Ahora está en modo

administrador).3. Si la información es correcta, puede elegir Send to (Enviar a)<application> para enviar la aserción al

proveedor de servicios y revisar el resultado de la respuesta.

53


Historial de documentosEn la siguiente tabla se describe la documentación de esta versión de AWS Single Sign-On.

• Última actualización de la documentación: 30 de octubre de 2018

update-history-change update-history-description update-history-date

Compatibilidad con la duraciónde la sesión en las cuentas deAWS

Se ha añadido contenido sobrecómo definir la duración de lasesión de una cuenta de AWS.

October 30, 2018

Nueva opción para usar eldirectorio de AWS SSO

Se ha añadido contenido paraelegir un directorio de AWS SSOo conectarse a un directorio deAD.

October 17, 2018

Compatibilidad con el estado deretransmisión y la duración de lasesión en aplicaciones

Se ha añadido contenido sobreel estado de retransmisión yla duración de la sesión paraaplicaciones en la nube.

October 10, 2018

Compatibilidad adicional connuevas aplicaciones en la nube

Se ha añadido 4me, BambooHR,Bonusly, Citrix ShareFile,ClickTime, Convo, Deputy,Deskpro, Dome9, DruvaInSync,Egnyte, Engagedly, Expensify,Freshdesk, IdeaScale, Igloo,Jitbit, Kudos, LiquidFiles,Lucidchart, PurelyHR,Samanage, ScreenSteps,Sli.do, SmartSheet, Syncplicity,TalentLMS, Trello, UserVoice,Zoho, OpsGenie, DigiCert,WeekDone, ProdPad y UserEchoal catálogo de aplicaciones.

August 3, 2018

Compatibilidad con el accesoSSO a cuentas maestras

Se ha añadido contenido sobrecómo delegar el acceso SSOa los usuarios en una cuentamaestra.

July 9, 2018

Compatibilidad con las nuevasaplicaciones en la nube

Se ha añadido DocuSign, KeeperSecurity y SugarCRM al catálogode aplicaciones.

March 16, 2018

Obtener las credencialestemporales para acceder a la CLI

Se ha añadido informaciónacerca de cómo obtenercredenciales temporales paraejecutar comandos de la CLI deAWS.

February 22, 2018

Nueva guía Esta es la primera versión de laGuía de usuario de AWS SSO.

December 7, 2017

54

https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html



https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-directory.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-directory.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/appproperties.html



https://docs.aws.amazon.com/singlesignon/latest/userguide/saasapps.html


https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html



https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html


AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

55

https://docs.aws.amazon.com/general/latest/gr/glos-chap.html

aws single sign-on · sus cuentas de aws de producción al grupo devops. a continuación, los...

Documents