Configuración de aplicaciones de OAuth 2.0 administradas por el cliente para la propagación de identidades de confianza
Para configurar una aplicación de OAuth 2.0 administrada por el cliente para la propagación de identidades de confianza, primero debe agregarla a Centro de identidades de IAM. Siga el procedimiento que se indica a continuación para agregar su aplicación a Centro de identidades de IAM.
Temas
Paso 1: selección del tipo de aplicación
-
Elija Aplicaciones.
-
Seleccione la pestaña Administrada por el cliente.
-
Elija Agregar aplicación.
-
En la página Seleccionar el tipo de aplicación, en Preferencia de configuración, seleccione Tengo una aplicación que quiero configurar.
-
En Tipo de aplicación, seleccione OAuth 2.0.
-
Seleccione Siguiente para continuar a la página siguiente, Paso 2: especificación de los detalles de la aplicación.
Paso 2: especificación de los detalles de la aplicación
-
En la página Especificar detalles de la aplicación, en Nombre y descripción de la aplicación, ingrese un Nombre de visualización para la aplicación, como
MyApp. Escriba una descripción en Descripción. -
En Método de asignación de usuarios y grupos, seleccione una de las siguientes opciones:
-
Requerir asignaciones: permita que solo los usuarios y grupos de Centro de identidades de IAM que estén asignados a esta aplicación accedan a la aplicación.
Visibilidad del icono de la aplicación: solo los usuarios que estén asignados a la aplicación directamente o mediante una asignación de grupo pueden ver el icono de la aplicación en el portal de acceso de AWS, siempre que la opción Visibilidad de la aplicación en el portal de acceso de AWS esté configurada como Visible.
-
No requerir asignaciones: permita que todos los usuarios y grupos autorizados de Centro de identidades de IAM accedan a esta aplicación.
Visibilidad del icono de la aplicación: el icono de la aplicación está visible para todos los usuarios que inicien sesión en el portal de acceso de AWS, a menos que la opción Visibilidad de la aplicación en el portal de acceso de AWS esté configurada como No visible.
-
-
En Portal de acceso de AWS, ingrese la URL desde la que los usuarios pueden acceder a la aplicación y especifique si el icono de la aplicación estará visible o no en el portal de acceso de AWS. Si selecciona No visible, ni siquiera los usuarios asignados podrán ver el icono de la aplicación.
-
Expanda Etiquetas (opcional), seleccione Agregar etiqueta nueva y especifique los valores de Clave y Valor (opcional).
Para obtener más información acerca de las etiquetas, consulte Etiquetado de recursos de AWS IAM Identity Center.
-
Seleccione Siguiente y pase a la página siguiente, Paso 3: especificación de la configuración de autenticación.
Paso 3: especificación de la configuración de autenticación
Para agregar una aplicación administrada por el cliente que sea compatible con OAuth 2.0 a Centro de identidades de IAM, debe especificar un emisor de tokens de confianza. Un emisor de tokens de confianza es un servidor de autorización de OAuth 2.0 que crea tokens firmados. Estos tokens autorizan a las aplicaciones que inician solicitudes (aplicaciones solicitantes) de acceso a aplicaciones administradas por AWS (aplicaciones receptoras).
-
En la página Especificar configuración de autenticación, en Emisores de tokens de confianza, realice una de las siguientes acciones:
-
Para usar un emisor de tokens de confianza existente:
Seleccione la casilla de verificación situada junto al nombre del emisor de tokens de confianza que desea usar.
-
Para agregar un nuevo emisor de tokens de confianza:
-
Seleccione Crear emisor de tokens de confianza.
-
Se abrirá una nueva pestaña del navegador. Siga los pasos del 5 al 8 que se indican en Cómo agregar un emisor de tokens de confianza a la consola de Centro de identidades de IAM.
-
Tras completar estos pasos, regrese a la ventana del navegador que está utilizando para configurar la aplicación y seleccione el emisor de tokens de confianza que acaba de agregar.
-
En la lista de emisores de tokens de confianza, seleccione la casilla de verificación situada junto al nombre del emisor de tokens de confianza que acaba de agregar.
Tras seleccionar un emisor de tokens de confianza, aparece la sección Configurar los emisores de tokens de confianza seleccionados.
-
-
-
En Configurar los emisores de tokens de confianza seleccionados, ingrese la notificación de audiencia. La notificación de audiencia identifica a la audiencia objetivo (destinatarios) del token que ha generado el emisor de tokens de confianza. Para obtener más información, consulte Notificación de audiencia.
-
Para evitar que sus usuarios tengan que volver a autenticarse cuando utilicen esta aplicación, seleccione Habilitar la concesión de tokens de actualización. Si está seleccionada, esta opción actualiza el token de acceso de la sesión cada 60 minutos, hasta que la sesión caduque o el usuario la finalice.
-
Seleccione Siguiente y pase a la página siguiente, Paso 4: especificación de las credenciales de la aplicación.
Paso 4: especificación de las credenciales de la aplicación
Complete los pasos de este procedimiento para especificar las credenciales que la aplicación utilizará para realizar acciones de intercambio de tokens con aplicaciones de confianza. Estas credenciales se utilizan en una política basada en recursos. La política requiere que especifique una entidad principal que tenga permisos para realizar las acciones que se especifican en la política. Debe especificar una entidad principal, incluso si las aplicaciones de confianza se encuentran en la misma Cuenta de AWS.
nota
Cuando establezca permisos con políticas, conceda solo los permisos necesarios para llevar a cabo una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos.
Esta política requiere la acción sso-oauth:CreateTokenWithIAM.
-
En la página Especificar las credenciales de la aplicación, lleve a cabo una de las siguientes acciones:
-
Para especificar rápidamente uno o varios roles de IAM:
-
Seleccione Ingresar uno o más roles de IAM.
-
En Ingresar roles de IAM, especifique el nombre de recurso de Amazon (ARN) de un rol de IAM existente. Para especificar el ARN, utilice la siguiente sintaxis. La parte de la región del ARN está en blanco porque los recursos de IAM son globales.
arn:aws:iam::account:role/role-name-with-pathPara obtener más información, consulte Concesión de acceso entre cuentas con políticas de recursos y ARN de IAM en la Guía del usuario de AWS Identity and Access Management.
-
-
Para editar la política manualmente (obligatorio si especifica credenciales que no son de AWS):
-
Seleccione Editar la política de la aplicación.
-
Para modificar la política, escriba o pegue texto en el cuadro de texto JSON.
-
Resuelva las advertencias de seguridad, errores o advertencias generales que hayan surgido durante la validación de la política. Para obtener más información, consulte Validación de políticas de IAM en la Guía del usuario de AWS Identity and Access Management.
-
-
-
Seleccione Siguiente y pase a la página siguiente, Paso 5: revisión y configuración.
Paso 5: revisión y configuración
-
En la página Revisar y configurar, revise las elecciones que ha realizado. Para realizar cambios, seleccione la sección de configuración que desee, seleccione Editar y, a continuación, realice los cambios necesarios.
-
Cuando haya terminado, seleccione Agregar aplicación.
-
La aplicación que ha agregado aparece en la lista Aplicaciones administradas por el cliente.
-
Tras configurar la aplicación administrada por el cliente en Centro de identidades de IAM, debe especificar uno o varios servicios de AWS o aplicaciones de confianza para la propagación de identidades. Esto permite a los usuarios iniciar sesión en la aplicación administrada por el cliente y acceder a los datos de la aplicación de confianza.
Para obtener más información, consulte Especificación de las aplicaciones de confianza .
