Configuración su SAML 2.0 IdP con una relación de confianza para usuario autenticado y agregando reclamos - AWS Identity and Access Management

Configuración su SAML 2.0 IdP con una relación de confianza para usuario autenticado y agregando reclamos

Cuando crea un proveedor de identidad de IAM SAML y un rol para el acceso con SAML, está informando a AWS sobre el proveedor de identidad (IdP) externo y lo que los usuarios pueden hacer. Su siguiente paso consistirá en informar al proveedor de identidades sobre AWS como proveedor de servicios. Esto se denomina añadir una relación de confianza para usuario autenticado entre su proveedor de identidades y AWS. El proceso exacto para añadir una relación de confianza entre partes depende del IdP que se use. Para obtener más información, consulte la documentación del software de administración de identidades.

Muchos proveedores de identidades permiten especificar una URL en la que el proveedor de identidades pueda leer un documento XML que contiene información sobre la parte que confía y certificados. Para AWS, use https://region-code.signin.aws.amazon.com/static/saml-metadata.xml o https://signin.aws.amazon.com/static/saml-metadata.xml. Para obtener una lista de los posibles valores de region-code, consulte la columna Region (Región) en Puntos de conexión de inicio de sesión de AWS.

Si no puede especificar directamente una URL, descargue el documento XML de la URL anterior e impórtelo a su software de proveedor de identidades.

También necesita crear reglas de notificación adecuadas en su proveedor de identidades que indiquen que AWS es la parte que confía. Cuando el proveedor de identidades envía una respuesta SAML al punto de enlace de AWS, que contiene una aserción SAML con una o varias notificaciones. Una notificación es información sobre el usuario y sus grupos. Una regla de notificación asigna dicha información a atributos SAML. Esto le permite asegurarse de que las respuestas de autenticación SAML de su proveedor de identidades contengan los atributos necesarios que AWS utiliza en las políticas de IAM para comprobar los permisos de los usuarios federados. Para obtener más información, consulte los temas siguientes:

nota

Para mejorar la resiliencia de la federación, le recomendamos que configure su IdP y su federación de AWS para que admitan varios puntos de conexión de inicio de sesión de SAML. Para obtener más información, consulte el artículo del blog sobre seguridad de AWS, How to use regional SAML endpoints for failover.