Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Introducción a los grupos de usuarios
<a name="getting-started-user-pools"></a>

Tiene una aplicación que requiere autenticación y control de acceso. Puede trabajar dentro del marco OpenID Connect (OIDC) para el inicio de sesión único (SSO). Amazon Cognito cuenta con herramientas para gestionar la lógica de autenticación en el back-end de la aplicación con un AWS SDK y para invocar un navegador en el cliente para acceder a un servidor de autorización gestionado.

La consola de Amazon Cognito lo guía a través de la creación de un grupo de usuarios desde el punto de vista de su marco de aplicación preferido. A partir de ahí, puede continuar añadiendo funciones como el inicio de sesión federado con [redes sociales](tutorial-create-user-pool-social-idp.md) externas o proveedores de identidad de [SAML 2.0 ().](tutorial-create-user-pool-saml-idp.md) IdPs Los modelos de aplicaciones de la consola de Amazon Cognito se basan en la adición de bibliotecas OIDC al proyecto y en la invocación de un navegador.

A medida que vaya ampliando el conjunto de características e incorporando más componentes de Amazon Cognito, lea el capítulo sobre los [grupos de usuarios de Amazon Cognito](cognito-user-pools.md) para obtener una descripción completa de todo lo que puede hacer con los grupos de usuarios.

Los ejemplos de este capítulo y de la consola de Amazon Cognito muestran una integración básica de los recursos de la aplicación con los grupos de usuarios de Amazon Cognito. Más adelante, podrá ajustar el grupo de usuarios para utilizar más opciones que tenga a su disposición. Luego, puedes actualizar tu aplicación para adoptar nuevas funciones e interactuar con ellas. IdPs

Si no desea utilizar las [páginas de inicio de sesión administradas](cognito-terms.md#terms-managedlogin), puede crear una aplicación con interfaces de autenticación personalizadas mediante un AWS SDK o. AWS Amplify Las aplicaciones que cree de esta manera interactúan con la [API de grupos de usuarios](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html) y solo son adecuadas para autenticar a [usuarios locales](cognito-terms.md#terms-localuser). Siga aprendiendo sobre este modelo de autenticación en [Otras opciones de aplicación](getting-started-user-pools-application-other-options.md).

**Topics**
+ [Creación de una nueva aplicación en la consola de Amazon Cognito](getting-started-user-pools-application.md)
+ [Otras opciones de aplicación](getting-started-user-pools-application-other-options.md)
+ [Incorporación de más características y opciones de seguridad al grupo de usuarios](user-pool-next-steps.md)

# Creación de una nueva aplicación en la consola de Amazon Cognito
<a name="getting-started-user-pools-application"></a>

Los grupos de usuarios añaden opciones de autenticación a las aplicaciones de software. Para empezar a usarlos de forma más sencilla, entre en la consola de Amazon Cognito y siga las instrucciones que aparecen allí. El proceso de creación que se realiza allí lo guía no solo en la configuración de los recursos del grupo de usuarios, sino también en la configuración de las partes iniciales de la aplicación.

Cuando esté listo para empezar, vaya a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools) y seleccione el botón para crear un nuevo grupo de usuarios. El proceso de configuración lo guiará por las opciones de configuración y del lenguaje de programación.

**Recursos adicionales para conceptos de autenticación**
+ [Autenticación con grupos de usuarios de Amazon Cognito](authentication.md)
+ [Descripción de la autenticación mediante API, OIDC y páginas de inicio de sesión administrado](authentication-flows-public-server-side.md#user-pools-API-operations)
+ [Funcionamiento de la autenticación con Amazon Cognito](cognito-how-to-authenticate.md)
+ [Integración de la autenticación y la autorización de Amazon Cognito con aplicaciones web y móviles](cognito-integrate-apps.md)

**Cómo crear recursos de Amazon Cognito para su aplicación**

1. Vaya a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/). A fin de asignar permisos a la entidad principal de IAM para que pueda crear y gestionar los recursos de Amazon Cognito, consulte [AWS políticas gestionadas para Amazon Cognito](security-iam-awsmanpol.md). La política de `AmazonCognitoPowerUser` es suficiente para crear grupos de usuarios.

1. Seleccione **Crear grupo de usuarios** en el menú **Grupos de usuarios** o seleccione **Comenzar de forma gratuita en menos de cinco minutos**.

1. En **Defina su aplicación**, elija el **tipo de aplicación** que mejor se adapte al escenario de aplicación para el que desea crear los servicios de autenticación y autorización.

1. En **Poner un nombre a la aplicación**, introduzca un nombre descriptivo o continúe con el nombre predeterminado.

1. Debe realizar algunas elecciones básicas en **Configurar opciones**, con ajustes que no podrá cambiar después de crear el grupo de usuarios.

   1. En **Opciones para los identificadores de inicio de sesión**, díganos cómo quiere identificar a los usuarios cuando inicien sesión. Puede elegir nombres de usuario, direcciones de correo electrónico o números de teléfono generados por usuarios. También puede permitir una combinación de varias opciones. Amazon Cognito acepta las opciones que se configuran aquí en el campo de nombre de usuario de los formularios de inicio de sesión con el [inicio de sesión administrado](cognito-user-pools-managed-login.md).

   1. En **Atributos necesarios para el inicio de sesión**, díganos qué información de usuario desea recopilar cuando los usuarios registren una cuenta nueva. En las páginas del inicio de sesión administrado, Amazon Cognito presenta solicitudes para todos los atributos necesarios.

      Las **opciones para los identificadores de inicio de sesión** influyen en los atributos necesarios. El **nombre de usuario** requiere atributos de correo electrónico o teléfono para que cada usuario pueda recibir un código de restablecimiento de contraseña en un correo electrónico o mensaje SMS. El **correo electrónico** requiere el atributo de correo electrónico y el **número de teléfono** requiere el atributo de número de teléfono.

1. En **Agregar una URL de retorno**, introduzca una ruta de redireccionamiento a su aplicación para que los usuarios completen la autenticación. Esta ubicación debe ser una ruta de la aplicación que utilice las bibliotecas OpenID Connect (OIDC) para procesar los resultados de la autenticación de los usuarios. Un ejemplo de URL de retorno para una aplicación de prueba es `https://localhost:3000/callback`. En la aplicación NodeJS de ejemplo de la consola de Amazon Cognito, esta ruta emplea [openid-client](https://www.npmjs.com/package/openid-client) para recopilar el token de acceso y canjearlo por información del usuario. Podrás explorar ejemplos para su plataforma de desarrollo después de crear los recursos.

1. Seleccione **Cree su aplicación**. Amazon Cognito crea un grupo de usuarios y un cliente de aplicación con la configuración predeterminada para el tipo de aplicación. Puede configurar opciones adicionales, como [proveedores de identidad externos](cognito-user-pools-identity-federation.md) y [autenticación multifactor (MFA)](user-pool-settings-mfa.md#user-pool-configuring-mfa), después de crear los recursos iniciales.

1. En la página **Configurar la aplicación**, puede obtener inmediatamente ejemplos de código para su aplicación. Para explorar su nuevo grupo de usuarios, desplácese hacia abajo y seleccione **Ir a descripción general**.

1. Para añadir más aplicaciones al mismo grupo de usuarios, navegue hasta el menú **Clientes de aplicación** y añada un nuevo cliente de aplicación. Esto repetirá el proceso de creación centrado en las aplicaciones, pero solo añadirá un nuevo cliente de aplicación al grupo de usuarios existente.

Tras crear un grupo de usuarios y uno o más clientes de aplicación mediante este proceso, puede empezar a probar las operaciones de autenticación con el inicio de sesión administrado. Estas opciones de inicio rápido están abiertas al autorregistro público. Le recomendamos que cree un entorno de pruebas con el proceso de la consola y que, luego, pase el diseño final a producción. Dedique tiempo a familiarizarse con las funciones de Amazon Cognito. Luego, para pasar a las cargas de trabajo de producción, cree configuraciones personalizadas e impleméntelas con herramientas de automatización como AWS CloudFormation y la. AWS Cloud Development Kit (AWS CDK)

Amazon Cognito establece algunas configuraciones predeterminadas en este proceso que no se pueden revertir. Para obtener más información sobre los ajustes del grupo de usuarios que no se podrán cambiar y las opciones que puede elegir en la consola, consulte [Actualización de la configuración del grupo de usuarios y del cliente de aplicación](cognito-user-pool-updating.md).


| Opción | Efecto | Cómo cambiar | Más información | 
| --- | --- | --- | --- | 
| Secreto del cliente | Requiere un hash de secreto de cliente en las solicitudes de autenticación. | Cree un nuevo cliente de aplicaciones con una aplicación web tradicional o un perfil de Machine-to-machine aplicación. | [Ajustes específicos de una aplicación en los clientes de aplicación](user-pool-settings-client-apps.md) | 
| Nombre de usuario preferido | El grupo de usuarios no acepta el atributo preferred\$1username como alias. | Cree un grupo de usuarios mediante programación con un AWS SDK. | [Personalización de los atributos de inicio de sesión](user-pool-settings-attributes.md#user-pool-settings-aliases) | 
| Sensibilidad de mayúsculas y minúsculas | Los nombres de usuario del grupo de usuarios no distinguen entre mayúsculas y minúsculas; por ejemplo, JohnD se considera el mismo usuario que johnd. | Cree un grupo de usuarios mediante programación con un SDK. AWS  | [Sensibilidad de mayúsculas y minúsculas en el grupo de usuarios](user-pool-case-sensitivity.md) | 

# Otras opciones de aplicación
<a name="getting-started-user-pools-application-other-options"></a>

Es posible que ya tenga una interfaz de usuario de aplicación existente que desee integrar con la autenticación de Amazon Cognito. Es posible que incluso tenga sus propias páginas de autenticación existentes con una configuración de directorio menos funcional que la de los grupos de usuarios de Amazon Cognito. Puede añadir o sustituir un componente de autenticación a una aplicación de este tipo con las integraciones de Amazon Cognito AWS SDKs para diversos lenguajes de programación. A continuación se muestran algunos ejemplos.

Si crea un grupo de usuarios para este fin en la consola de Amazon Cognito, puede que no sea necesario tener un [dominio de grupo de usuarios](cognito-user-pools-assign-domain.md) que aloje páginas de inicio de sesión interactivas y servicios de OpenID Connect (OIDC). El proceso de creación del grupo de usuarios en la consola genera automáticamente un dominio para usted. Puede eliminar este dominio desde la pestaña **Dominio** de su grupo de usuarios. Otras opciones incluyen la creación programática de los recursos de Amazon Cognito para su aplicación con solicitudes AWS SDKs de API y con las opciones de configuración automática de la CLI. AWS Amplify Para obtener más información, consulte [Integración de la autenticación y la autorización de Amazon Cognito con aplicaciones web y móviles](cognito-integrate-apps.md).

**Topics**
+ [Configuración de una aplicación de ejemplo de una sola página de React](#getting-started-test-application-react)
+ [Configuración de una aplicación de ejemplo Android con Flutter](#getting-started-test-application-flutter)

## Configuración de una aplicación de ejemplo de una sola página de React
<a name="getting-started-test-application-react"></a>

En este tutorial, creará una aplicación React de una sola página en la que podrá probar el registro, la confirmación y el inicio de sesión de los usuarios. React es una biblioteca JavaScript basada en aplicaciones web y móviles, que se centra en la interfaz de usuario (UI). Esta aplicación de ejemplo muestra algunas funciones básicas de los grupos de usuarios de Amazon Cognito. Si ya tienes experiencia en el desarrollo de aplicaciones web con React, [descarga la aplicación de ejemplo de GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/cognito-identity-provider/scenarios/cognito-developer-guide-react-example).

La siguiente captura de pantalla es la página de autenticación inicial de la aplicación que va a crear.

![\[Captura de pantalla de la página de registro de una aplicación de ejemplo web basada en React.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/cognito-getting-started-react-app-running.png)


Para configurar esta aplicación, su grupo de usuarios debe cumplir los siguientes requisitos:
+ Los usuarios pueden iniciar sesión con su dirección de correo electrónico. **Opciones de inicio de sesión del grupo de usuarios de Cognito**: **correo electrónico**.
+ Los nombres de usuario no distinguen entre mayúsculas y minúsculas. **Requisitos de nombre de usuario**: la opción **Establecer que el nombre de usuario distinga entre mayúsculas y minúsculas** no debe estar seleccionada.
+ La autenticación multifactor (MFA) no es obligatoria. **Cumplimiento de MFA**: **MFA opcional**.
+ El grupo de usuarios verifica los atributos para la confirmación del perfil de usuario mediante un mensaje de correo electrónico. **Atributos a verificar**: **Enviar mensaje de correo electrónico, verificar la dirección de correo electrónico**.
+ El correo electrónico es el único atributo obligatorio. **Atributos obligatorios**: **correo electrónico**.
+ Los usuarios pueden registrarse ellos mismos en el grupo de usuarios. **Autorregistro**: la opción **Habilitar el registro automático** debe estar seleccionada.
+ El cliente de aplicación inicial es un cliente público que permite iniciar sesión con un nombre de usuario y una contraseña. **Tipo de aplicación**: **Cliente público**, **Flujos de autenticación**: `ALLOW_USER_PASSWORD_AUTH`.

### Creación de una aplicación de
<a name="getting-started-test-application-react-create-app"></a>

Para crear esta aplicación, debe configurar un entorno de desarrollador. Los requisitos del entorno de desarrollador son:

1. Node.js debe estar instalado y actualizado.

1. El administrador de paquetes de nodos (npm) está instalado y actualizado al menos a la versión 10.2.3.

1. Se puede acceder al entorno en el puerto TCP 5173 de un navegador web.

**Creación de una aplicación web React de ejemplo**

1. Inicie sesión en su entorno de desarrollador y desplácese hasta el directorio principal de su aplicación.

   ```
   cd ~/path/to/project/folder/
   ```

1. Cree un nuevo servicio de React.

   ```
   npm create vite@latest frontend-client -- --template react-ts
   ```

1. Clona la [carpeta `cognito-developer-guide-react-example` del proyecto](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/cognito-identity-provider/scenarios/cognito-developer-guide-react-example) desde el repositorio de ejemplos de AWS código en adelante GitHub.

   ```
   cd ~/some/other/path
   ```

   ```
   git clone https://github.com/awsdocs/aws-doc-sdk-examples.git
   ```

   ```
   cp -r ./aws-doc-sdk-examples/javascriptv3/example_code/cognito-identity-provider/scenarios/cognito-developer-guide-react-example/frontend-client ~/path/to/project/folder/
   ```

1. Vaya al directorio `src` de su proyecto.

   ```
   cd ~/path/to/project/folder/frontend-client/src
   ```

1. Edite `config.json` y reemplace los siguientes valores:

   1. `YOUR_AWS_REGION`Sustitúyala por un Región de AWS código. Por ejemplo: `us-east-1`.

   1. Sustituya `YOUR_COGNITO_USER_POOL_ID` por el ID del grupo de usuarios que ha designado para las pruebas. Por ejemplo: `us-east-1_EXAMPLE`. El grupo de usuarios debe estar en el Región de AWS que ingresó en el paso anterior.

   1. Sustituya `YOUR_COGNITO_APP_CLIENT_ID` por el ID del cliente de aplicación que ha designado para las pruebas. Por ejemplo: `1example23456789`. El cliente de aplicación debe estar en el grupo de usuarios del paso anterior.

1. Si quiere acceder a la aplicación de ejemplo desde una IP distinta a `localhost`, edite `package.json` y cambie la línea `"dev": "vite",` a `"dev": "vite --host 0.0.0.0",`.

1. Instale la aplicación.

   ```
   npm install
   ```

1. Inicie la aplicación.

   ```
   npm run dev
   ```

1. Acceda a la aplicación mediante un navegador web en `http://localhost:5173` o `http://[IP address]:5173`.

1. Registre un nuevo usuario con una dirección de correo electrónico válida.

1. Tome el código de confirmación de su mensaje de correo electrónico. Introduzca el código de confirmación en la aplicación.

1. Inicie sesión con su nombre de usuario y contraseña.

### Creación de un entorno para desarrolladores de React con Amazon Lightsail
<a name="getting-started-test-application-react-lightsail"></a>

Una forma rápida de empezar a utilizar esta aplicación es crear un servidor virtual en la nube con Amazon Lightsail. 

Con Lightsail, puede crear rápidamente una pequeña instancia de servidor que venga preconfigurada con los requisitos previos para esta aplicación de ejemplo. Puede conectarse mediante SSH a su instancia con un cliente basado en un navegador y conectarse al servidor web desde una dirección IP pública o privada.

**Para crear una instancia de Lightsail para esta aplicación de ejemplo**

1. Vaya a la consola [Lightsail](https://lightsail.aws.amazon.com/ls/webapp/). Si se le solicita, introduzca sus credenciales. AWS 

1. Elija **Crear instancia**.

1. En **Seleccione una plataforma**, elija **Linux/Unix**.

1. En **Seleccione un plan**, elija **Node.js**.

1. En **Identifique su instancia**, asigne un nombre descriptivo al entorno de desarrollo.

1. Elija **Crear instancia**.

1. Una vez que Lightsail haya creado la instancia, selecciónela y, en la pestaña **Connect**, elija **Connect** using SSH.

1. Se abre una sesión de SSH en una ventana del navegador. Ejecute `node -v` y `npm -v` para confirmar que la instancia se haya aprovisionado con Node.js y la versión npm mínima de 10.2.3.

1. Continúe con la [configuración de la aplicación React](#getting-started-test-application-react).

## Configuración de una aplicación de ejemplo Android con Flutter
<a name="getting-started-test-application-flutter"></a>

En este tutorial, creará una aplicación móvil en Android Studio en la que podrá emular un dispositivo y probar el registro, la confirmación y el inicio de sesión de los usuarios. Esta aplicación de ejemplo crea un cliente móvil básico de grupos de usuarios de Amazon Cognito para Android en Flutter. Si ya tiene experiencia en el desarrollo de aplicaciones móviles con Flutter, [descargue la](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/kotlin/usecases/cognito_flutter_mobile_app) aplicación de ejemplo desde. GitHub

La siguiente captura de pantalla muestra la ejecución de la aplicación en un dispositivo Android virtual.

![\[Captura de pantalla de la página de registro de una aplicación de ejemplo de Android virtualizada.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/cognito-getting-started-android-app-running.png)


Para configurar esta aplicación, su grupo de usuarios debe cumplir los siguientes requisitos:
+ Los usuarios pueden iniciar sesión con su dirección de correo electrónico. **Opciones de inicio de sesión del grupo de usuarios de Cognito**: **correo electrónico**.
+ Los nombres de usuario no distinguen entre mayúsculas y minúsculas. **Requisitos de nombre de usuario**: la opción **Establecer que el nombre de usuario distinga entre mayúsculas y minúsculas** no debe estar seleccionada.
+ La autenticación multifactor (MFA) no es obligatoria. **Cumplimiento de MFA**: **MFA opcional**.
+ El grupo de usuarios verifica los atributos para la confirmación del perfil de usuario mediante un mensaje de correo electrónico. **Atributos a verificar**: **Enviar mensaje de correo electrónico, verificar la dirección de correo electrónico**.
+ El correo electrónico es el único atributo obligatorio. **Atributos obligatorios**: **correo electrónico**.
+ Los usuarios pueden registrarse ellos mismos en el grupo de usuarios. **Autorregistro**: la opción **Habilitar el registro automático** debe estar seleccionada.
+ El cliente de aplicación inicial es un cliente público que permite iniciar sesión con un nombre de usuario y una contraseña. **Tipo de aplicación**: **Cliente público**, **Flujos de autenticación**: `ALLOW_USER_PASSWORD_AUTH`.

### Creación de una aplicación de
<a name="getting-started-test-application-flutter-create-app"></a>

**Creación de un ejemplo de aplicación de Android**

1. Instale [Android Studio](https://developer.android.com/studio) y [herramientas de línea de comandos](https://developer.android.com/tools).

1. En Android Studio, instale el [complemento Flutter](https://docs.flutter.dev/get-started/editor?tab=androidstudio).

1. Cree un nuevo proyecto de Android Studio a partir del contenido del directorio `cognito_flutter_mobile_app` en [esta aplicación de ejemplo](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/kotlin/usecases/cognito_flutter_mobile_app).

   1. Edita `assets/config.json` `<<YOUR USER POOL ID>>` y reemplaza `<< YOUR CLIENT ID>>` con tu grupo IDs de usuarios y tu cliente de aplicaciones.

1. Instale [Flutter](https://docs.flutter.dev/get-started/install).

   1. Agregue Flutter a la variable PATH.

   1. Acepte licencias con el siguiente comando.

      `flutter doctor --android-licenses`

   1. Verifique el entorno de Flutter e instale los componentes que falten.

      `flutter doctor`

      1. Si falta algún componente, ejecute `flutter doctor -v` para saber cómo solucionar el problema.

   1. Cambie al directorio del nuevo proyecto de Flutter e instale las dependencias.

      1. Ejecute `flutter pub add amazon_cognito_identity_dart_2`.

   1. Ejecute `flutter pub add flutter_secure_storage`.

1. Cree un dispositivo Android virtual.

   1. En la GUI de Android Studio, cree un nuevo dispositivo con el [administrador de dispositivos](https://developer.android.com/studio/run/managing-avds).

   1. En la CLI, ejecute `flutter emulators --create --name android-device`.

1. Inicie el dispositivo Android virtual.

   1. En la GUI de Android Studio, seleccione el icono ![\[Play button icon with a blue triangle pointing to the right.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/cognito-getting-started-android-virtual-device-start.png) de inicio situado junto al dispositivo virtual.

   1. En la CLI, ejecute `flutter emulators --launch android-device`.

1. Inicie la aplicación en el dispositivo virtual.

   1. En la GUI de Android Studio, selecciona el icono ![\[Green play button icon representing a start or play action.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/cognito-getting-started-android-app-start.png) de implementación.

   1. En la CLI, ejecute `flutter run`.

1. Diríjase a su dispositivo virtual que se está ejecutando en Android Studio.

1. Registre un nuevo usuario con una dirección de correo electrónico válida.

1. Tome el código de confirmación de su mensaje de correo electrónico. Introduzca el código de confirmación en la aplicación.

1. Inicie sesión con su nombre de usuario y contraseña.

# Incorporación de más características y opciones de seguridad al grupo de usuarios
<a name="user-pool-next-steps"></a>

Una vez que haya seguido los tutoriales para completar las aplicaciones de ejemplo, puede ampliar el ámbito de implementación del grupo de usuarios. O bien, si no ha creado una aplicación de prueba, cree un nuevo grupo de usuarios según sus preferencias. Puede personalizar las características del grupo de usuarios para otras aplicaciones o [añadir proveedores de identidades externos](tutorial-create-user-pool-social-idp.md). Cuando planifique la transición para incluir grupos de usuarios de Amazon Cognito en aplicaciones de producción, puede evaluar [ejemplos y tutoriales adicionales](cognito-guided-setup.md).

Si su siguiente prioridad es examinar y aplicar las opciones de seguridad de las aplicaciones en sus grupos de usuarios, consulte [Prácticas recomendadas de seguridad de los grupos de usuarios de Amazon Cognito](user-pool-security-best-practices.md).

Amazon Cognito tiene planes de características que añaden opciones funcionales y de seguridad al optar por niveles superiores. Puede empezar con el plan *Lite*, añadir opciones avanzadas de autenticación y autorización con el plan *Essentials* y añadir barreras de protección y razonamiento automatizado con el plan *Plus*. Para obtener más información, consulte [Planes de características de grupo de usuarios](cognito-sign-in-feature-plans.md).

A continuación se muestran algunas características adicionales de los grupos de usuarios de Amazon Cognito:
+ [Aplicación de la creación de marca en las páginas de inicio de sesión administrado](managed-login-branding.md)
+ [Adición de MFA a un grupo de usuarios.](user-pool-settings-mfa.md)
+ [Seguridad avanzada con protección contra amenazas](cognito-user-pool-settings-threat-protection.md)
+ [Personalización de flujos de trabajo de grupos de usuarios con desencadenadores de Lambda](cognito-user-pools-working-with-lambda-triggers.md)
+ [Uso de Amazon Pinpoint para analizar grupos de usuarios](cognito-user-pools-pinpoint-integration.md)

Para obtener información general sobre modelos de autorización y autenticación de Amazon Cognito, consulte [Funcionamiento de la autenticación con Amazon Cognito](cognito-how-to-authenticate.md).

Para acceder a otros Servicios de AWS después de una autenticación correcta del grupo de usuarios, consulte[Acceder Servicios de AWS mediante un grupo de identidades después de iniciar sesión](amazon-cognito-integrating-user-pools-with-identity-pools.md).

Además de usar el Consola de administración de AWS y el grupo de usuarios SDKs, también puede administrar sus grupos de usuarios mediante el [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/index.html).

**Topics**
+ [Adición del inicio de sesión de redes sociales a un grupo de usuarios](tutorial-create-user-pool-social-idp.md)
+ [Adición de un proveedor de identidades SAML 2.0](tutorial-create-user-pool-saml-idp.md)

# Adición del inicio de sesión de redes sociales a un grupo de usuarios
<a name="tutorial-create-user-pool-social-idp"></a>

Ofrecer a los usuarios la posibilidad de iniciar sesión en la aplicación a través de sus proveedores de identidades públicos o de redes sociales existentes puede mejorar su experiencia de autenticación. Los grupos de usuarios de Amazon Cognito se integran con los proveedores de identidad social más populares (IdPs), como Facebook, Google, Amazon y Apple, lo que ofrece a los usuarios opciones de inicio de sesión prácticas con las que ya están familiarizados.

Al configurar el inicio de sesión mediante redes sociales, ofrece a los usuarios una alternativa a la creación de una cuenta exclusiva para su aplicación. Esto puede mejorar las tasas de conversión y hacer que el proceso de registro sea más fluido. Desde la perspectiva del usuario, puede utilizar las credenciales de redes sociales que ya posee para autenticarse rápidamente, sin la molestia de tener que recordar otro nombre de usuario y contraseña.

La configuración de un IdP de redes sociales en su grupo de usuarios supone seguir algunos pasos clave. Debe registrar la aplicación en el proveedor de redes sociales para obtener un identificador de cliente y un secreto. A continuación, puede agregar la configuración del IdP de redes sociales a su grupo de usuarios, especificando los ámbitos que desea solicitar y los atributos del grupo de usuarios que desea asignar a partir de los atributos del IdP. En tiempo de ejecución, Amazon Cognito administra el intercambio de tokens con el proveedor, asigna los atributos de los usuarios y emite los tokens para la aplicación en el formato de grupo de usuarios compartido.

## Registrarse en un proveedor de identidad social
<a name="cognito-user-pools-social-step-1"></a>

Para poder crear un IdP de redes sociales con Amazon Cognito, debe registrar su aplicación en él para recibir un ID y un secreto del cliente.

### Para registrar una aplicación en Facebook
<a name="register-an-app-with-facebook"></a>

1. Cree una [cuenta de desarrollador con Facebook](https://developers.facebook.com/docs/facebook-login).

1. [Inicie sesión](https://developers.facebook.com/) con sus credenciales de Facebook.

1. En el menú **My Apps** (Mis aplicaciones), elija **Create New App** (Crear nueva aplicación). 

   Si no tiene una aplicación de Facebook, verá otra opción. Seleccione **Crear una aplicación**.

1. En la página **Create an app**, elija un caso de uso para la aplicación y, a continuación, elija **Next**.

1. Ingrese un nombre para la aplicación de Facebook y elija **Create App**.

1. En la barra de navegación de la izquierda, elija **App Settings** y luego **Basic**.

1. Tome nota del valor de **App ID** (ID de aplicación) y de **App Secret** (Secreto de la aplicación). Los usará en la sección siguiente.

1. Elija **\$1 Add platform** en la parte inferior de la página.

1. En la pantalla **Seleccionar la plataforma**, seleccione las plataformas y, a continuación, seleccione **Siguiente**.

1. Seleccione **Save changes (Guardar cambios)**.

1. Para**Dominios de aplicación**, introduzca el dominio del grupo de usuarios.

   ```
   https://your_user_pool_domain
   ```

1. Seleccione **Save changes (Guardar cambios)**.

1. En la barra de navegación elija **Productos** y, a continuación, **Configurar** en **Iniciar sesión con Facebook**.

1. En el menú **Iniciar sesión con Facebook** **Configurar**, elija **Configuración**.

   Introduzca la URL de redireccionamiento en **Valid OAuth ** Redirect. URIs La URL de redirección se compone de su dominio de grupo de usuarios con el punto de conexión `/oauth2/idpresponse`.

   ```
   https://your_user_pool_domain/oauth2/idpresponse
   ```

1. Seleccione **Save changes (Guardar cambios)**.

### Para registrar una aplicación en Amazon
<a name="register-an-app-with-amazon"></a>

1. Cree una [cuenta de desarrollador con Amazon](https://developer.amazon.com/login-with-amazon).

1. [Inicie sesión](https://developer.amazon.com/lwa/sp/overview.html) con las credenciales de Amazon.

1. Debe crear un perfil de seguridad de Amazon para recibir un ID y un secreto de cliente de Amazon.

   Elija **Aplicaciones y servicios** en la barra de navegación de la parte superior de la página y, a continuación, elija **Login with Amazon**.

1. Elija **Create a Security Profile** (Crear un perfil de seguridad).

1. Escriba un valor en **Security Profile Name** (Nombre del perfil de seguridad), en **Security Profile Description** (Descripción del perfil de seguridad) y en **Consent Privacy Notice URL** (URL del aviso sobre consentimiento de confidencialidad).

1. Seleccione **Save** (Guardar).

1. Elija **Client ID** (ID de cliente) y **Client Secret** (Secreto de cliente) para mostrar el ID de cliente y el secreto. Los usará en la sección siguiente.

1. Coloque el cursor sobre el engranaje, elija **Web Settings** (Configuración de web) y, a continuación, elija **Edit** (Editar).

1. Escriba el dominio del grupo de usuarios en **Allowed Origins** (Orígenes permitidos).

   ```
   https://<your-user-pool-domain>
   ```

1. Introduzca el dominio de su grupo de usuarios con el `/oauth2/idpresponse` punto final en **Allowed Return URLs**.

   ```
   https://<your-user-pool-domain>/oauth2/idpresponse
   ```

1. Seleccione **Save**.

### Para registrar una aplicación en Google
<a name="register-an-app-with-google"></a>

Para obtener más información sobre la OAuth versión 2.0 en la plataforma Google Cloud, consulta [Más información sobre la autenticación y la autorización](https://developers.google.com/workspace/guides/auth-overview) en la documentación de Google Workspace para desarrolladores.

1. Cree una [cuenta de desarrollador con Google](https://developers.google.com/identity).

1. Inicie sesión en la [consola de Google Cloud Platform](https://console.cloud.google.com/home/dashboard).

1. En la barra de navegación superior, elija **Select a project** (Seleccionar un proyecto). Si ya tiene un proyecto en la plataforma de Google, este menú muestra tu proyecto predeterminado.

1. Seleccione **NEW PROJECT** (NUEVO PROYECTO).

1. Escriba un nombre para su proyecto y, a continuación, elija **CREATE** (CREAR).

1. En la barra de navegación izquierda, selecciona **Servicios APIs y**, a continuación, selecciona la pantalla de **consentimiento de Oauth**.

1. Introduzca la información de la aplicación, un **dominio de aplicaciones**, los **dominios autorizados** y la **información de contacto del desarrollador**. Los **dominios autorizados** deben incluir `amazoncognito.com` y la raíz del dominio personalizado. Por ejemplo: `example.com`. Elija **SAVE AND CONTINUE** (GUARDAR Y CONTINUAR).

1. 1. En **Ámbitos**, selecciona **Añadir o eliminar ámbitos** y, a continuación, selecciona, como mínimo, los siguientes ámbitos. OAuth

   1. `.../auth/userinfo.email`

   1. `.../auth/userinfo.profile`

   1. openid

1. En **Test Users** (Usuarios de prueba), elija **Add Users** (Añadir usuarios). Introduzca su dirección de correo electrónico y cualquier otro usuario de prueba autorizado y, a continuación, elija **GUARDAR Y CONTINUAR**.

1. **Vuelva a expandir la barra de navegación izquierda, elija **Servicios APIs y**, a continuación, elija Credenciales.** 

1. Elija **CREAR CREDENCIALES** y, a continuación, elija el **ID de OAuth cliente**.

1. Seleccione un **tipo de aplicación**y asigne un **nombre** al cliente.

1. En ** JavaScript Orígenes autorizados**, selecciona **AGREGAR URI**. Introduzca el dominio del grupo de usuarios.

   ```
   https://<your-user-pool-domain>
   ```

1. En **Redirección autorizada URIs**, selecciona **AGREGAR URI**. Introduzca la al punto de conexión `/oauth2/idpresponse` de su dominio de grupo de usuarios.

   ```
   https://<your-user-pool-domain>/oauth2/idpresponse
   ```

1. Seleccione **CREAR**.

1. Almacene de forma segura los valores que muestra Google en **ID del cliente** y **Secreto del cliente**. Proporcione estos valores a Amazon Cognito cuando agregue un proveedor de IdP Google.

### Para registrar una aplicación con Apple, siga estos pasos:
<a name="register-an-app-with-apple"></a>

Para obtener más información sobre la configuración de inicio de sesión con Apple, consulte [Configuring Your Environment for Sign in with Apple](https://developer.apple.com/documentation/signinwithapple/configuring-your-environment-for-sign-in-with-apple) en la documentación del desarrollador de Apple.

1. Cree una [cuenta de desarrollador en Apple](https://developer.apple.com/programs/enroll/).

1. [Inicie sesión](https://developer.apple.com/account/#/welcome) con las credenciales de Apple.

1. En la barra de navegación de la izquierda, elija **Certificates, Identifiers & Profiles** (Certificados, identificadores y perfiles).

1. En la barra de navegación de la izquierda, elija **Identifiers** (Identificadores).

1. En la página **Identifiers** (Identificadores), elija el icono **\$1**.

1. En la página **Registrar un nuevo identificador**, selecciona **Aplicación** y IDs, a continuación, selecciona **Continuar**.

1. En la página **Seleccionar un tipo**, elija **Aplicación** y, a continuación, elija **Continuar**.

1. En la página **Register an App ID** (Registrar un ID de aplicación), haga lo siguiente:

   1. En **Description** (Descripción), introduzca una descripción.

   1. En **App ID Prefix** (Prefijo de ID de aplicación), introduzca un **ID del paquete**. Anote el valor de la**Prefijo de ID de aplicación**. Utilizarás este valor después de elegir Apple como proveedor de identidad en[Configuración de un grupo de usuarios con un IdP social](cognito-user-pools-social-idp.md#cognito-user-pools-social-idp-step-2).

   1. En **Capabilities** (Funcionalidades), elija **SignInWithApple** y, a continuación, elija **Edit** (Editar).

   1. **En la página Iniciar sesión con Apple: configuración del ID de la aplicación**, elige configurar la aplicación como principal o agrupada con otra aplicación y IDs, a continuación, selecciona **Guardar**.

   1. Elija **Continue** (Continuar).

1. En la página **Confirm your App ID** (Confirmar ID de Apple), elija **Register** (Registrarse).

1. En la página **Identifiers** (Identificadores), elija el icono **\$1**.

1. En la página **Registrar un nuevo identificador**, selecciona **Servicios** y IDs, a continuación, selecciona **Continuar**.

1. En la página **Register a Services ID** (Registrar un ID de servicio), haga lo siguiente:

   1. En **Description** (Descripción), introduzca una descripción.

   1. En **Identificador** (Identifier), ingrese un identificador. Tome nota del ID de servicios, porque necesitará este valor para configurar Apple como proveedor de identidades en el [Configuración de un grupo de usuarios con un IdP social](cognito-user-pools-social-idp.md#cognito-user-pools-social-idp-step-2).

   1. Seleccione **Continue (Continuar)** y, a continuación, **Register (Registrarse)**.

1. Elija el ID de servicios que acaba de crear en la página de identificadores.

   1. Seleccione **SignInWithApple** y, a continuación, elija **Configure** (Configurar).

   1. En la página **Web Authentication Configuration** (Configuración de autenticación web), seleccione el ID de aplicación creado anteriormente como**Primary App ID** (ID de aplicación principal). 

   1. Selecciona el icono **\$1** situado junto al **sitio web URLs**. 

   1. En **Domains and subdomains** (Dominios y subdominios), introduzca el dominio del grupo de usuarios sin un prefijo `https://`.

      ```
      <your-user-pool-domain>
      ```

   1. En **Retorno URLs**, introduce la ruta al `/oauth2/idpresponse` punto final del dominio de tu grupo de usuarios.

      ```
      https://<your-user-pool-domain>/oauth2/idpresponse
      ```

   1. Elija **Siguiente** y, a continuación, elija **Listo**. No es necesario verificar el dominio.

   1. Elija ** Continue** (Continuar) y, a continuación, elija **Save** (Guardar).

1. En la barra de navegación de la izquierda, elija **Keys** (Claves).

1. En la página **Keys** (Claves), elija el icono **\$1**.

1. En la página **Register a New Key** (Registrar una nueva clave), haga lo siguiente:

   1. En **Key Name** (Nombre de clave), escriba un nombre de clave. 

   1. Elija **SignInWithApple** y, a continuación, **Configure** (Configurar).

   1. En la página **Configurar clave**, seleccione el ID de aplicación creado anteriormente como **ID de aplicación principal**. Seleccione **Save**.

   1. Seleccione **Continue** (Continuar) y, a continuación, **Register** (Registrarse).

1. En la página **Descargar clave**, elija **Descargar** para descargar la clave privada, tome nota del **ID de la clave** y, a continuación, seleccione **Listo**. Necesitará esta clave privada y el valor de **ID de clave** que se muestra en esta página después de elegir Apple como proveedor de identidad en [Configuración de un grupo de usuarios con un IdP social](cognito-user-pools-social-idp.md#cognito-user-pools-social-idp-step-2).

## Añadir un proveedor de identidad social al grupo de usuarios
<a name="cognito-user-pools-social-step-2"></a>

En esta sección configurará un proveedor de identidad social en el grupo de usuarios utilizando el ID y el secreto de cliente de la sección anterior.

**Para configurar un proveedor de identidad social para un grupo de usuarios con Consola de administración de AWS**

1. Vaya a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Es posible que se le pidan sus AWS credenciales.

1. Elija **User Pools** (Grupos de usuarios).

1. Elija un grupo de usuarios existente en la lista o [cree un grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Seleccione el menú **Proveedores sociales y externos**. Localizar**Inicio de sesión federado**y seleccione**Añadir un proveedor de identidad**.

1. Elija un proveedor de identidad de red social: **Facebook**, **Google**, **Login with Amazon** o **Apple**.

1. Elija uno de los siguientes pasos, según su elección de proveedor de identidad social:
   + **Google** y **Login with Amazon**: escriba el **ID de cliente de la aplicación** y la **Clave secreta de cliente de aplicación** que se ha generado en la sección anterior.
   + **Facebook**: escriba el **ID de cliente de la aplicación** y la **Clave secreta de cliente de aplicación** que se ha generado en la sección anterior y, a continuación, elija una versión de API (por ejemplo, la versión 2.12). Recomendamos elegir la versión más reciente disponible posible, ya que cada versión de la API de Facebook tiene un ciclo de vida y una fecha de obsolescencia. Los ámbitos y atributos de Facebook pueden variar según las versiones de la API. Te recomendamos que pruebes tu inicio de sesión de identidad social con Facebook para asegurarte de que la federación funcione según lo previsto.
   + **Inicio de sesión con Apple**: escriba el **ID de servicios**, **ID de equipo**, **ID de clave** y la **clave privada** que se ha generado en la sección anterior.

1. Introduzca los nombres de los **ámbitos autorizados** que desea utilizar. Los ámbitos definen a qué atributos de usuario (como `name` y `email`) desea acceder con su aplicación. En el caso de Facebook, deben separarse con comas. En el caso de Google y Login with Amazon, deben separarse con espacios. Para SignInWithApple, marque las casillas de verificación de los ámbitos a los que desee acceder.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/tutorial-create-user-pool-social-idp.html)

   Al usuario de la aplicación se le pedirá que esté de acuerdo con proporcionar estos atributos a su aplicación. Para obtener más información acerca de sus ámbitos, consulte la documentación de Google, Facebook, Login with Amazon o Inicio de sesión con Apple. 

   En el caso de Sign in with Apple (Inicio de sesión con Apple), estos son escenarios de usuario en los que es posible que no se devuelvan los ámbitos.
   + El usuario final se encuentra con errores después de salir de la página de inicio de sesión de Apple (puede ser un error interno de Amazon Cognito o de cualquier cosa que haya escrito el desarrollador).
   + El identificador de ID de servicio se usa en grupos de usuarios y and/or otros servicios de autenticación.
   + Un desarrollador agrega ámbitos adicionales después de que el usuario inicie sesión. Los usuarios solo recuperan información nueva cuando se autentican y cuando actualizan sus tokens.
   + Un desarrollador ha eliminado un usuario y luego ese mismo usuario vuelve a iniciar sesión sin quitar la aplicación de su perfil de ID de Apple.

1. Asigne atributos de su proveedor de identidad a su grupo de usuarios. Para obtener más información, consulte [Cosas que debe saber acerca de los asignaciones](cognito-user-pools-specifying-attribute-mapping.md#cognito-user-pools-specifying-attribute-mapping-requirements).

1. Seleccione **Crear**.

1. En el menú **Clientes de aplicación**, elija uno de los clientes de aplicación en la lista y seleccione **Editar la configuración de interfaz de usuario alojada**. Agregue el nuevo proveedor de identidad social al cliente de aplicación en **Identity providers (Proveedores de identidad)**.

1. Seleccione **Save changes (Guardar cambios)**.

## Probar la configuración del proveedor de identidad social
<a name="cognito-user-pools-social-step-3"></a>

Puede crear una URL de inicio de sesión con los elementos de las dos secciones anteriores. Úselo para probar la configuración del proveedor de identidad social.

```
https://mydomain.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com
```

Puede encontrar el dominio en la página de la consola **Domain name** (Nombre de dominio) del grupo de usuarios. El valor de client\$1id se encuentra en la página **App client settings (Configuración del cliente de aplicación)**. Use la URL de devolución de llamada para el parámetro **redirect\$1uri**. Esta es la URL de la página a la que se redirigirá al usuario después de una autenticación correcta.

**nota**  
Amazon Cognito cancela las solicitudes de autenticación que no se completan en 5 minutos y redirige al usuario al inicio de sesión administrado. La página muestra un mensaje de error `Something went wrong`.

# Adición de un proveedor de identidades SAML 2.0
<a name="tutorial-create-user-pool-saml-idp"></a>

Los usuarios de la aplicación pueden iniciar sesión con un proveedor de identidades (IdP) SAML 2.0. Puede elegir SAML 2.0 en lugar IdPs de redes sociales IdPs si sus clientes son clientes internos o empresas vinculadas a su organización. Si un IdP de redes sociales permite que todos los usuarios se registren en una cuenta, es más probable que un IdP SAML se vincule con un directorio de usuarios que controle su organización. Tanto si los usuarios inician sesión directamente o a través de un tercero, todos los usuarios tienen un perfil en el grupo de usuarios. Omita este paso si no desea agregar inicio de sesión a través de un proveedor de identidad SAML. 

Para obtener más información, consulte [Uso de proveedores de identidades SAML con un grupo de usuarios](cognito-user-pools-saml-idp.md).

Debe actualizar el proveedor de identidades SAML y configurar su grupo de usuarios. Para obtener más información acerca de cómo agregar su grupo de usuarios como relación de confianza o aplicación para su proveedor de identidades SAML 2.0, consulte la documentación de su proveedor de identidades SAML.

También debe proporcionar un punto de conexión del servicio de consumidor de aserción (ACS) a su proveedor de identidades SAML. Configure el siguiente punto de conexión en el dominio de su grupo de usuarios para enlace POST de SAML 2.0 en su proveedor de identidades SAML. Para obtener más información sobre los dominios del grupo de usuarios, consulte [Configuración de un dominio del grupo de usuarios](cognito-user-pools-assign-domain.md).

```
https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse
```

El prefijo del dominio y el valor de la región de su grupo de usuarios se encuentran en el menú **Dominio** de la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home).

Para algunos proveedores de identidades SAML, también tiene que proporcionar el proveedor de servicios (SP) `urn`, también denominado URI de audiencia o ID de entidad del SP, con el formato:

```
urn:amazon:cognito:sp:<yourUserPoolID>
```

Puede encontrar su ID de grupo de usuarios en el panel de control **Información general** de su grupo de usuarios en la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home).

Asimismo, debe configurar el proveedor de identidad SAML para que proporcione los valores de todos los atributos necesarios en su grupo de usuarios. Normalmente, `email` es un atributo obligatorio para grupos de usuarios. En ese caso, el proveedor de identidad SAML debe proporcionar un valor `email` (notificación) en la aserción SAML.

Los grupos de usuarios de Amazon Cognito admiten la federación SAML 2.0 con puntos de enlace post-binding”. De esta forma, se suprime la necesidad de que la aplicación recupere o analice las respuestas de aserciones SAML, ya que el grupo de usuarios recibe directamente la respuesta de SAML del proveedor de identidades a través de un agente de usuario.

**Para configurar un proveedor de identidad SAML 2.0 en su grupo de usuarios**

1. Diríjase a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si se te solicita, introduce tus AWS credenciales.

1. Elija **User Pools** (Grupos de usuarios).

1. Elija un grupo de usuarios existente en la lista o [cree un grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Seleccione el menú **Proveedores sociales y externos**. Localizar**Inicio de sesión federado**y seleccione**Añadir un proveedor de identidad**.

1. Elija un**SAML**Proveedor de identidad social.

1. Introduzca **Identificadores** separados por comas. Un identificador indica a Amazon Cognito que debe comprobar la dirección de correo electrónico que introduce un usuario al iniciar sesión. A continuación, dirige al usuario al proveedor que corresponde a su dominio.

1. Elija **Add sign-out flow** (Añadir flujo de cierre de sesión) si desea que Amazon Cognito envíe solicitudes de cierre de sesión firmadas a su proveedor cuando un usuario cierra la sesión. Debe configurar el proveedor de identidad SAML 2.0 para enviar respuestas de cierre de sesión al punto de conexión de `https://<your Amazon Cognito domain>/saml2/logout` que se crea al configurar el inicio de sesión administrado. El punto de conexión `saml2/logout` utiliza el enlace POST.
**nota**  
Si se selecciona esta opción y el proveedor de identidades SAML espera una solicitud de cierre de sesión firmada, también se deberá configurar el certificado de firma que proporciona Amazon Cognito en dicho proveedor.   
El IdP SAML procesará la solicitud de cierre de sesión firmada y cerrará la sesión de Amazon Cognito del usuario.

1. Seleccione un **Origen de documentos de metadatos**. Si su proveedor de identidad ofrece metadatos SAML en una URL pública, puede elegir **Metadata document URL** (URL del documento de metadatos) e introducir esa URL pública. En caso contrario, elija **Upload metadata document** (Cargar documento de metadatos) y seleccione un archivo de metadatos que haya descargado anteriormente de su proveedor.
**nota**  
Le recomendamos que, en vez de cargar un archivo, introduzca la URL de un documento de metadatos si el proveedor dispone de un punto de conexión público. Esto permite a Amazon Cognito actualizar los metadatos automáticamente. Normalmente, los metadatos se actualizan cada seis horas o antes de que caduquen, lo que ocurra primero.

1. Select**Asignar atributos entre el proveedor de SAML y la aplicación**para asignar atributos de proveedor SAML al perfil de usuario de su grupo de usuarios. Incluya los atributos requeridos del grupo de usuarios en el mapa de atributos. 

   Por ejemplo, cuando eliges la**Atributo grupo de usuarios** `email`, introduzca el nombre de atributo SAML tal como aparece en la aserción SAML del proveedor de identidad. Es posible que su proveedor de identidades ofrezca afirmaciones SAML de ejemplo como referencia. Algunos proveedores de identidad utilizan nombres sencillos, como`email`, mientras que otros utilizan nombres de atributos con formato URL, como el siguiente ejemplo:

   ```
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   ```

1. Seleccione **Crear**.