Compartir a través de


Configuración de AWS IAM Identity Center (sucesor de AWS Single Sign-On) para el inicio de sesión único con Microsoft Entra ID

En este artículo, aprenderá a integrar AWS IAM Identity Center (sucesor de AWS Single Sign-On) con Microsoft Entra ID. Al integrar AWS IAM Identity Center con Microsoft Entra ID, puede hacer lo siguiente:

  • Controlar en Microsoft Entra ID quién tiene acceso a AWS IAM Identity Center.
  • Permitir que los usuarios inicien sesión automáticamente en AWS IAM Identity Center con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Nota: Al usar AWS Organizations, es importante delegar otra cuenta como cuenta de administración del Centro de identidades, habilitar el Centro de identidades de IAM en él y configurar el inicio de sesión único de Entra ID con esa cuenta, no la cuenta de administración raíz. Esto garantiza una configuración más segura y manejable.

Requisitos previos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

  • Una configuración de AWS Organizations con otra cuenta delegada como cuenta de administración del Centro de identidades.
  • AWS IAM Identity Center habilitado en la cuenta de administración delegada del Centro de identidades.

Descripción del escenario

En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.

Nota: Asegúrese de delegar otra cuenta como cuenta de administración del Centro de identidades y habilitó el AWS IAM Identity Center en ella antes de continuar con los pasos siguientes.

Para configurar la integración de AWS IAM Identity Center en Microsoft Entra ID, deberá agregar AWS IAM Identity Center desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba AWS IAM Identity Center en el cuadro de búsqueda.
  4. Seleccione AWS IAM Identity Center en el panel de resultados y, a continuación, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Como alternativa, también puede usar el Asistente para configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación, asignar roles y recorrer también la configuración de Inicio de sesión único. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para AWS IAM Identity Center

Configure y pruebe el inicio de sesión único de Microsoft Entra con AWS IAM Identity Center mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de AWS IAM Identity Center.

Para configurar y probar el inicio de sesión único de Microsoft Entra con AWS IAM Identity Center, siga estos pasos:

  1. Configuración del inicio de sesión único de Microsoft Entra: para que los usuarios puedan utilizar esta característica.
    1. Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
    2. Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
  2. Configuración del inicio de sesión único de AWS IAM Identity Center: para configurar los valores de inicio de sesión único en la aplicación.
    1. Creación de un usuario de prueba de AWS IAM Identity Center: para tener un homólogo de B.Simon en AWS IAM Identity Center que esté vinculado a la representación del usuario en Microsoft Entra.
  3. Prueba del inicio de sesión único: para comprobar si la configuración funciona.

Configuración del SSO de Microsoft Entra

Siga estos pasos para habilitar el inicio de sesión único de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Navegue a Entra ID>Aplicaciones empresariales>AWS IAM Identity Center>Inicio de sesión único.

  3. En la página Seleccionar un método de inicio de sesión único, elija SAML.

  4. En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.

    Edición de la configuración básica de SAML

  5. Si tiene un archivo de metadatos del proveedor de servicios, en la sección Configuración básica de SAML, siga estos pasos:

    a) Seleccione Cargar archivo de metadatos.

    b. Seleccione el logotipo de la carpeta para seleccionar el archivo de metadatos que se explica para descargar en la sección Configuración del inicio de sesión único de AWS IAM Identity Center y seleccione Agregar.

    image2

    c. Una vez cargado correctamente el archivo de metadatos, el Identificador y dirección URL de respuesta los valores se rellenan automáticamente en la sección Configuración básica de SAML.

    Nota

    Si los valores identificador y dirección URL de respuesta no se rellenan automáticamente, rellene los valores manualmente según sus necesidades.

    Nota

    Al cambiar el proveedor de identidades en AWS (es decir, de AD a un proveedor externo, como Microsoft Entra ID), los metadatos de AWS cambian y deben volver a cargarse en Azure para que el inicio de sesión único funcione correctamente.

  6. Si no tiene Archivo de metadatos del proveedor de servicios, realice los pasos siguientes en la sección Configuración básica de SAML, si desea configurar la aplicación en modo iniciadoIDP, siga estos pasos:

    a) En el cuadro de texto Identificador, escriba una dirección URL con el patrón siguiente: https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

    b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón: https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

  7. Seleccione Establecer direcciones URL adicionales y realice el paso siguiente si desea configurar la aplicación en modo iniciado por SP :

    En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

    Nota

    Estos valores no son reales. Actualice estos valores con el identificador real, la dirección URL de respuesta y la dirección URL de inicio de sesión. Póngase en contacto con Equipo de soporte técnico al cliente de AWS IAM Identity Center para obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.

  8. La aplicación AWS IAM Identity Center espera las aserciones de SAML en un formato específico, lo que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. En la captura de pantalla siguiente se muestra la lista de atributos predeterminados.

    image

    Nota

    Si ABAC está habilitado en AWS IAM Identity Center, los atributos adicionales se pueden pasar como etiquetas de sesión directamente a cuentas de AWS.

  9. En la página Configuración del inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en el equipo.

    Captura de pantalla que muestra el vínculo Descarga del certificado.

  10. En la sección Configuración de AWS IAM Identity Center, copie las direcciones URL adecuadas según sus necesidades.

    Recorte de pantalla que muestra cómo copiar la dirección URL adecuada para la configuración.

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración del inicio de sesión único de AWS IAM Identity Center

  1. En otra ventana del explorador web, inicie sesión en el sitio de la compañía de AWS IAM Identity Center como administrador.

  2. Vaya a Services -> Security, Identity, & Compliance -> AWS IAM Identity Center (Servicios -> Seguridad, identidad y cumplimiento -> AWS IAM Identity Center).

  3. En el panel de navegación izquierdo, elija Configuración.

  4. En la página Configuración , busque Origen de identidad, seleccione el menú desplegable Acciones y seleccione Cambiar origen de identidad.

    Captura de pantalla del servicio de cambio de origen de identidad.

  5. En la página Cambiar origen de identidad, elija Proveedor de identidades externo.

    Captura de pantalla para seleccionar la sección proveedor de identidades externo.

  6. Realice los pasos siguientes en la secciónConfiguración del proveedor de identidades externo:

    Captura de pantalla de la sección de descarga y carga de metadatos.

    a) En la sección Service provider metadata (Metadatos del proveedor de servicios), busque AWS SSO SAML metadata (Metadatos de SAML de AWS SSO) y seleccione Download metadata file (Descargar archivo de metadatos) para descargar el archivo de metadatos y guardarlo en el equipo para usarlo para la carga en Azure Portal.

    b. Copie valor deDirección URL de inicio de sesión del portal de acceso de AWS, pegue este valor en el cuadro de texto dirección URL de inicio de sesión del cuadro de texto Configuración básica de SAML.

    c. En la sección Metadatos del proveedor de identidades, seleccione Elegir archivo para cargar el archivo de metadatos que descargó.

    d. Elija Siguiente: Revisar.

  7. En el cuadro de texto, escriba ACEPTAR para cambiar el origen de identidad.

    Captura de pantalla para confirmar la configuración.

  8. Seleccione Cambiar origen de identidad.

Creación de un usuario de prueba de AWS IAM Identity Center

  1. Abra la consola de AWS IAM Identity Center.

  2. En el panel de navegación izquierdo, elija Usuarios.

  3. En la página Usuarios, elija Agregar usuarios.

  4. En la página Agregar usuario, siga estos pasos:

    a) En el campo Nombre de usuario, escriba B. Simon.

    b. En el campo Dirección de correo electrónico, escriba username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.

    c. En el campo Dirección de correo electrónico confirmada, vuelva a escribir la dirección de correo electrónico del paso anterior.

    d. En el campo Nombre, escriba Britta.

    e. En el campo Nombre, escriba Simon.

    f. En el campo Nombre para mostrar, escriba B.Simon.

    g. Seleccione Next (Siguiente) y, a continuación, seleccione de nuevo Next (Siguiente).

    Nota

    Asegúrese de que el nombre de usuario y la dirección de correo electrónico especificados en AWS IAM Identity Center coincidan con el nombre de inicio de sesión de Microsoft Entra del usuario’. Esto le ayuda a evitar problemas de autenticación.

  5. Elija Agregar usuario.

  6. A continuación, asigne el usuario a su cuenta de AWS. Para ello, en el panel de navegación izquierdo de la consola de AWS IAM Identity Center, elija Cuentas de AWS.

  7. En la página Cuentas de AWS, active la pestaña Organización de AWS y active la casilla situada junto a la cuenta de AWS que desea asignar al usuario. A continuación, elija Asignar usuarios.

  8. En la página Asignar usuarios, busque y active la casilla situada junto al usuario B.Simon. A continuación, elija Siguiente: Conjuntos de permisos.

  9. En la sección Seleccionar conjuntos de permisos, active la casilla situada junto al conjunto de permisos que desea asignar al usuario B. Simon. Si no tiene un conjunto de permisos existente, elija Crear nuevo conjunto de permisos.

    Nota

    Los conjuntos de permisos definen el nivel de acceso que los usuarios y grupos tienen en una cuenta de AWS. Para más información sobre los conjuntos de permisos, consulte la página AWS IAM Identity Center Multi Account Permissions (Permisos de varias cuentas de AWS IAM Identity Center).

  10. Elija Finalizar.

Nota

AWS IAM Identity Center también admite el aprovisionamiento automático de usuarios. Aquí puede encontrar más detalles sobre cómo configurar el aprovisionamiento automático de usuarios.

Prueba del inicio de sesión único

En esta sección, probará la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

Iniciado por SP:

  • Seleccione Probar esta aplicación, esta opción redirige a la dirección URL de inicio de sesión de AWS IAM Identity Center, donde puede iniciar el flujo de inicio de sesión.

  • Vaya directamente a la dirección URL de inicio de sesión de AWS IAM Identity Center e inicie el flujo de inicio de sesión desde allí.

Iniciado por IDP:

  • Seleccione Probar esta aplicación. Debería iniciar sesión automáticamente en la instancia de AWS IAM Identity Center para la que configuró el inicio de sesión único.

También puede usar Aplicaciones de Microsoft para probar la aplicación en cualquier modo. Al seleccionar el icono de AWS IAM Identity Center en Aplicaciones, si se ha configurado en modo SP, se le redirigirá a la página de inicio de sesión de la aplicación para comenzar el flujo de inicio de sesión y, si se ha configurado en modo IDP, debería iniciar sesión automáticamente en la instancia de AWS IAM Identity Center para la que configuró el inicio de sesión único. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Una vez configurado AWS IAM Identity Center, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender for Cloud Apps.