Configuración su SAML 2.0 IdP con una relación de confianza para usuario autenticado y agregando reclamos
Cuando crea un proveedor de identidad de IAM SAML y un rol para el acceso con SAML, está informando a AWS sobre el proveedor de identidad (IdP) externo y lo que los usuarios pueden hacer. Su siguiente paso consistirá en informar al proveedor de identidades sobre AWS como proveedor de servicios. Esto se denomina añadir una relación de confianza para usuario autenticado entre su proveedor de identidades y AWS. El proceso exacto para añadir una relación de confianza entre partes depende del IdP que se use. Para obtener más información, consulte la documentación del software de administración de identidades.
Muchos proveedores de identidades permiten especificar una URL en la que el proveedor de identidades pueda leer un documento XML que contiene información sobre la parte que confía y certificados. Para AWS, use https://
o region-code
.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml
. Para obtener una lista de los posibles valores de region-code
, consulte la columna Region (Región) en Puntos de conexión de inicio de sesión de AWS.
Si no puede especificar directamente una URL, descargue el documento XML de la URL anterior e impórtelo a su software de proveedor de identidades.
También necesita crear reglas de notificación adecuadas en su proveedor de identidades que indiquen que AWS es la parte que confía. Cuando el proveedor de identidades envía una respuesta SAML al punto de enlace de AWS, que contiene una aserción SAML con una o varias notificaciones. Una notificación es información sobre el usuario y sus grupos. Una regla de notificación asigna dicha información a atributos SAML. Esto le permite asegurarse de que las respuestas de autenticación SAML de su proveedor de identidades contengan los atributos necesarios que AWS utiliza en las políticas de IAM para comprobar los permisos de los usuarios federados. Para obtener más información, consulte los temas siguientes:
-
Información general acerca del rol que permite el acceso federado SAML a los recursos de AWS. En este tema se trata el uso de claves específicas de SAML en políticas de IAM y cómo utilizarlas para restringir los permisos para usuarios federados de SAML.
-
Configure aserciones SAML para la respuesta de autenticación. En este tema se explica cómo configurar las notificaciones SAML que contienen información sobre el usuario. Las notificaciones están empaquetadas en una aserción SAML y se incluyen en la respuesta de SAML que se envía a AWS. Debe asegurarse de que la información que las políticas de AWS necesitan esté incluida en la aserción SAML en un formato que AWS pueda reconocer y utilizar.
-
Integración de proveedores de soluciones SAML externos con AWS. En este tema se proporcionan enlaces a documentación provista por organizaciones externas sobre cómo integrar las soluciones de identidad con AWS.
nota
Para mejorar la resiliencia de la federación, le recomendamos que configure su IdP y su federación de AWS para que admitan varios puntos de conexión de inicio de sesión de SAML. Para obtener más información, consulte el artículo del blog sobre seguridad de AWS, How to use regional SAML endpoints for failover