Acceso mediante inicio de sesión único a las aplicaciones SAML 2.0 y OAuth 2.0 - AWS IAM Identity Center
SAML 2.0OAuth 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso mediante inicio de sesión único a las aplicaciones SAML 2.0 y OAuth 2.0

IAMIdentity Center le permite ofrecer a sus usuarios un acceso de inicio de sesión único a las aplicaciones SAML 2.0 o OAuth 2.0. Los siguientes temas proporcionan una descripción general de alto nivel de la SAML versión 2.0 y OAuth la 2.0.

SAML 2.0

SAML2.0 es un estándar del sector que se utiliza para intercambiar de forma segura SAML afirmaciones que transmiten información sobre un usuario entre una SAML autoridad (denominada proveedor de identidad o IdP) y un consumidor SAML 2.0 (denominado proveedor de servicios o SP). IAM Identity Center usa esta información para proporcionar acceso de inicio de sesión único federado a los usuarios que están autorizados a usar aplicaciones dentro del AWS portal de acceso.

OAuth 2.0

OAuth2.0 es un protocolo que permite a las aplicaciones acceder a los datos de los usuarios y compartirlos de forma segura sin compartir contraseñas. Esta capacidad proporciona a los usuarios una forma segura y estandarizada de permitir que las aplicaciones accedan a sus recursos. El acceso se ve facilitado por diferentes flujos de subvenciones OAuth 2.0.

IAMIdentity Center permite a las aplicaciones que se ejecutan en clientes públicos recuperar credenciales temporales de acceso Cuentas de AWS y servicios mediante programación en nombre de sus usuarios. Los clientes públicos suelen ser computadoras de escritorio, portátiles u otros dispositivos móviles que se utilizan para ejecutar aplicaciones de forma local. Algunos ejemplos de AWS aplicaciones que se ejecutan en clientes públicos son AWS Command Line Interface (AWS CLI) y los kits de desarrollo de AWS software (SDKs). AWS Toolkit Para permitir que estas aplicaciones obtengan credenciales, IAM Identity Center admite partes de los siguientes flujos OAuth 2.0:

nota

Estos tipos de concesión solo se pueden utilizar con los Servicios de AWS que admitan esta capacidad. Es posible que estos servicios no admitan este tipo de concesión en todas Regiones de AWS. Consulte la documentación relevante Servicios de AWS para conocer las diferencias regionales.

OpenID Connect (OIDC) es un protocolo de autenticación que se basa en el marco OAuth 2.0. OIDCespecifica cómo utilizar la OAuth versión 2.0 para la autenticación. A través del OIDCservicio IAM Identity Center APIs, una aplicación registra un cliente OAuth 2.0 y utiliza uno de estos flujos para obtener un token de acceso que proporciona permisos para proteger IAM Identity CenterAPIs. Una aplicación especifica los ámbitos de acceso para declarar el API usuario al que va dirigido. Una vez que usted, como administrador del Centro de IAM Identidad, haya configurado su fuente de identidad, los usuarios finales de la aplicación deberán completar un proceso de inicio de sesión, si aún no lo han hecho. A continuación, los usuarios finales deben dar su consentimiento para permitir que la aplicación realice API llamadas. Estas API llamadas se realizan con los permisos de los usuarios. En respuesta, IAM Identity Center devuelve un token de acceso a la aplicación que contiene los ámbitos de acceso a los que dieron su consentimiento los usuarios.

Uso de un flujo de subvenciones 2.0 OAuth

OAuthLos flujos de subvenciones 2.0 solo están disponibles a través de aplicaciones AWS gestionadas que admiten los flujos. Para usar un flujo OAuth 2.0, su instancia de IAM Identity Center y cualquier aplicación AWS administrada compatible que utilice deben implementarse en una sola instancia Región de AWS. Consulte la documentación de cada una de ellas Servicio de AWS para determinar la disponibilidad regional de las aplicaciones AWS administradas y la instancia de IAM Identity Center que desea utilizar.

Para utilizar una aplicación que utilice un flujo OAuth 2.0, el usuario final debe introducir el URL lugar al que se conectará la aplicación y registrarse en su instancia de IAM Identity Center. Según la aplicación, como administrador, debe proporcionar a sus usuarios el portal de AWS acceso URL o el emisor URL de su instancia de IAM Identity Center. Puede encontrar estos dos ajustes en la página de configuración de la consola de IAM Identity Center. Para obtener información adicional sobre la configuración de una aplicación cliente, consulte la documentación de esa aplicación.

La experiencia del usuario final a la hora de iniciar sesión en una aplicación y dar su consentimiento depende de si la aplicación utiliza Código de autorización: Grant con PKCE o Concesión de autorización de dispositivo.

Código de autorización: Grant con PKCE

Este flujo lo utilizan las aplicaciones que se ejecutan en un dispositivo que tiene un navegador.

  1. Se abre una ventana del navegador.

  2. Si el usuario no se ha autenticado, el navegador lo redirige para completar la autenticación del usuario.

  3. Tras la autenticación, se presenta al usuario una pantalla de consentimiento que muestra la siguiente información:

    • El nombre de la aplicación

    • Los ámbitos de acceso para los que la aplicación solicita el consentimiento

  4. El usuario puede cancelar el proceso de consentimiento o puede dar su consentimiento y la aplicación procederá al acceso en función de los permisos del usuario.

Concesión de autorización de dispositivo

Las aplicaciones que se ejecutan en un dispositivo con o sin navegador pueden utilizar este flujo. Cuando la aplicación inicia el flujo, presenta un código de usuario URL y un código de usuario que el usuario debe verificar más adelante en el flujo. El código de usuario es necesario porque la aplicación que inicia el flujo puede estar ejecutándose en un dispositivo diferente al dispositivo en el que el usuario da su consentimiento. El código garantiza que el usuario dé su consentimiento al flujo que inició en el otro dispositivo.

  1. Cuando el flujo se inicia desde un dispositivo con un navegador, se abre una ventana del navegador. Cuando el flujo se inicia desde un dispositivo sin navegador, el usuario debe abrir un navegador en un dispositivo diferente e ir al URL que presenta la aplicación.

  2. En cualquier caso, si el usuario no se ha autenticado, el navegador lo redirige para completar la autenticación del usuario.

  3. Tras la autenticación, se presenta al usuario una pantalla de consentimiento que muestra la siguiente información:

    • El nombre de la aplicación

    • Los ámbitos de acceso para los que la aplicación solicita el consentimiento

    • El código de usuario que la aplicación presentó al usuario

  4. El usuario puede cancelar el proceso de consentimiento o puede dar su consentimiento y la aplicación procederá al acceso en función de los permisos del usuario.

Ámbitos de acceso

Un ámbito define el acceso a un servicio al que se puede acceder a través de un flujo OAuth 2.0. Los ámbitos permiten al servicio, también denominado servidor de recursos, agrupar los permisos relacionados con las acciones y los recursos del servicio, y especifican las operaciones más generales que OAuth pueden solicitar los clientes de la versión 2.0. Cuando un cliente OAuth 2.0 se registra en el OIDCservicio IAM Identity Center, especifica los ámbitos para declarar las acciones que pretende realizar, para lo cual el usuario debe dar su consentimiento.

OAuthLos clientes 2.0 utilizan scope los valores definidos en la sección 3.3 de la OAuth versión 2.0 (RFC6749) para especificar qué permisos se solicitan para un token de acceso. Los clientes pueden especificar un máximo de 25 ámbitos al solicitar un token de acceso. Cuando un usuario da su consentimiento durante un proceso de concesión de código de autorización PKCE o concesión de autorización de dispositivo, IAM Identity Center codifica los ámbitos en el token de acceso que devuelve.

AWS añade ámbitos a IAM Identity Center para que sean compatibles. Servicios de AWS En la siguiente tabla se enumeran los ámbitos que admite el OIDC servicio IAM Identity Center al registrar un cliente público.

Ámbitos de acceso compatibles con el OIDC servicio IAM Identity Center al registrar un cliente público

Ámbito Descripción Servicios admitidos por
sso:account:access Acceda a las cuentas gestionadas y los conjuntos de permisos de IAM Identity Center. IAMCentro de identidad
codewhisperer:analysis Habilite el acceso al análisis de código de Amazon Q Developer. ID de creador de AWS y Centro IAM de identidad
codewhisperer:completions Habilite el acceso a las sugerencias de código en línea de Amazon Q. ID de creador de AWS y Centro IAM de identidad
codewhisperer:conversations Habilite el acceso al chat de Amazon Q. ID de creador de AWS y Centro IAM de identidad
codewhisperer:taskassist Habilite el acceso al agente de Amazon Q Developer para el desarrollo de software. ID de creador de AWS y Centro IAM de identidad
codewhisperer:transformations Habilite el acceso al agente de Amazon Q Developer para la transformación de código. ID de creador de AWS y Centro IAM de identidad
codecatalyst:read_write Lee y escribe en tus CodeCatalyst recursos de Amazon, lo que te permite acceder a todos tus recursos existentes. ID de creador de AWS y IAM Identity Center