Configuración de SAML y SCIM con Okta e Centro de identidades de IAM - AWS IAM Identity Center
ConsideracionesPaso 1: Okta: obtención de los metadatos de SAML de su cuenta de OktaPaso 2: Centro de identidades de IAM: configuración de Okta como origen de identidad para Centro de identidades de IAMPaso 3: Centro de identidades de IAM and Okta: aprovisionar usuarios de OktaPaso 4: Okta: sincronización de los usuarios desde Okta con Centro de identidades de IAMPaso de atributos para el control de acceso: opcionalAsignación de acceso a Cuentas de AWSSiguientes pasosResolución de problemas

Configuración de SAML y SCIM con Okta e Centro de identidades de IAM

Puede aprovisionar o sincronizar la información de usuarios y grupos desde Okta a Centro de identidades de IAM de forma automática mediante el protocolo del sistema de administración de identidades entre dominios (SCIM) 2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.

Esta conexión se configura en Okta, mediante el punto de conexión de SCIM para Centro de identidades de IAM y un token de portador que se crea en Centro de identidades de IAM. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en Okta con los atributos nombrados en Centro de identidades de IAM. Esta asignación vincula los atributos de usuario esperados entre Centro de identidades de IAM y su cuenta de Okta.

Okta admite las siguientes características de aprovisionamiento cuando se conecta al Centro de identidades de IAM a través de SCIM:

  • Crear usuarios: los usuarios asignados a la aplicación Centro de identidades de IAM Okta se aprovisionan en Centro de identidades de IAM.

  • Actualizar los atributos de usuario: los cambios en los atributos de los usuarios que están asignados a la aplicación Centro de identidades de IAM Okta se actualizan en Centro de identidades de IAM.

  • Desactivar usuarios: los usuarios que no están asignados en la aplicación Centro de identidades de IAM Okta están deshabilitados en Centro de identidades de IAM.

  • Transferencia de grupos: los grupos (y sus miembros) de Okta se sincronizan con Centro de identidades de IAM.

    nota

    Para minimizar la sobrecarga administrativa tanto en Okta como en Centro de identidades de IAM, le recomendamos que asigne y transfiera grupos en lugar de usuarios individuales.

Objetivo

En este tutorial, seguirá las indicaciones para configurar una conexión SAML con Centro de identidades de IAM en Okta. Más adelante, sincronizará los usuarios desde Okta mediante SCIM. En este escenario, administrará todos los usuarios y grupos en Okta. Los usuarios inician sesión a través del portal de Okta. Para comprobar que todo está configurado correctamente, tras completar los pasos de configuración, iniciará sesión como usuario de Okta y verificará el acceso a los recursos de AWS.

nota

Puede registrarse para obtener una cuenta de Okta (prueba gratuita) que tenga instalada la aplicación Centro de identidades de IAM de Okta. En el caso de los productos de pago de Okta, es posible que deba confirmar que su licencia de Okta admite la administración del ciclo de vida o capacidades similares que permitan el aprovisionamiento saliente. Estas características pueden ser necesarias para configurar SCIM desde Okta a Centro de identidades de IAM.

Si aún no ha habilitado Centro de identidades de IAM, consulte Habilitación de AWS IAM Identity Center.

Consideraciones

  • Antes de configurar el aprovisionamiento de SCIM entre Okta e Centro de identidades de IAM, le recomendamos revisar primero Consideraciones para utilizar el aprovisionamiento automático.

  • Todos los usuarios de Okta deben tener un valor especificado para Nombre, Apellidos, Nombre de usuario y Nombre de visualización.

  • Cada usuario de Okta tiene un único valor por atributo de datos, como la dirección de correo electrónico o el número de teléfono. Los usuarios que tengan varios valores no se sincronizarán. Si hay usuarios que tienen varios valores en sus atributos, elimine los atributos duplicados antes de intentar aprovisionar el usuario en Centro de identidades de IAM. Por ejemplo, solo se puede sincronizar un atributo de número de teléfono. Como el atributo de número de teléfono predeterminado es “teléfono del trabajo”, utilice el atributo “teléfono del trabajo” para almacenar el número de teléfono del usuario, incluso si el número de teléfono del usuario es un teléfono fijo o móvil.

  • Cuando se utiliza Okta con Centro de identidades de IAM, este se configura generalmente como una aplicación en Okta. Esto le permite configurar varias instancias de Centro de identidades de IAM como múltiples aplicaciones, lo que permite el acceso a varias organizaciones de AWS, dentro de una sola instancia de Okta.

  • Los derechos y los atributos de rol no son compatibles y no se pueden sincronizar con Centro de identidades de IAM.

  • Actualmente, no es posible usar el mismo grupo de Okta para la transferencia de tareas y grupos. Para mantener una pertenencia uniforme a los grupos entre Okta e Centro de identidades de IAM, cree un grupo independiente y configúrelo para enviar grupos a Centro de identidades de IAM.

Paso 1: Okta: obtención de los metadatos de SAML de su cuenta de Okta

  1. Inicie sesión en el Okta admin dashboard, expanda Applications y, a continuación, seleccione Applications.

  2. En la página Applications, elija Browse App Catalog (Examinar catálogo de aplicaciones).

  3. En el cuadro de búsqueda, escriba AWS IAM Identity Center y seleccione la aplicación para agregar la aplicación Centro de identidades de IAM.

  4. Seleccione la pestaña Sign On.

  5. En SAML Signing Certificates, seleccione Actions y, a continuación, View IdP Metadata. Se abre una nueva pestaña del navegador en la que se muestra el árbol de documentos de un archivo XML. Seleccione todo el XML de <md:EntityDescriptor> a </md:EntityDescriptor> y cópielo en un archivo de texto.

  6. Guarde el archivo de texto como metadata.xml.

Deje el Okta admin dashboard abierto; seguirá usando esta consola en los pasos posteriores.

Paso 2: Centro de identidades de IAM: configuración de Okta como origen de identidad para Centro de identidades de IAM

  1. Abra la consola de Centro de identidades de IAM como usuario con privilegios administrativos.

  2. Elija Configuración en el panel de navegación izquierdo.

  3. En la página Configuración, seleccione Acciones y, a continuación, seleccione Cambiar el origen de identidad.

  4. En Elegir la fuente de identidad, seleccione Proveedor de identidades externo y, a continuación, Siguiente.

  5. En Configurar un proveedor de identidad externo, haga lo siguiente:

    1. En Metadatos del proveedor de servicios, seleccione Descargar archivo de metadatos para descargar el archivo de metadatos de Centro de identidades de IAM y guardarlo en el sistema. Proporcionará el archivo de metadatos de SAML de Centro de identidades de IAM a Okta más adelante en este tutorial.

      Copie los siguientes elementos en un archivo de texto para acceder a ellos fácilmente:

      • URL del Servicio de consumidor de aserciones (ACS) de Centro de identidades de IAM

      • URL del emisor de Centro de identidades de IAM

      Necesitará estos valores más adelante en este tutorial.

    2. En Metadatos del proveedor de identidad, en Metadatos SAML del IdP, seleccione Elegir archivo y, a continuación, seleccione el archivo metadata.xml que creó en el paso anterior.

    3. Elija Siguiente.

  6. Cuando haya leído el aviso legal, introduzca ACCEPT para continuar.

  7. Elija Cambiar fuente de identidad.

    Deje la consola de AWS abierta; seguirá usándola en el próximo paso.

  8. Vuelva al Okta admin dashboard y seleccione la pestaña Sign On de la aplicación AWS IAM Identity Center y, a continuación, haga clic en Editar.

  9. En Advanced Sign-on Settings, ingrese lo siguiente:

    • En el campo ACS URL, ingrese el valor que ha copiado de URL del Servicio de consumidor de aserciones (ACS) de Centro de identidades de IAM.

    • En Issuer URL, ingrese el valor que ha copiado de URL del emisor de Centro de identidades de IAM.

    • En Application username format, seleccione una de las opciones del menú.

      Asegúrese de que el valor que elija sea único para cada usuario. Para este tutorial, seleccione Okta username.

  10. Seleccione Guardar.

Ya tiene todo listo para aprovisionar a usuarios desde Okta a Centro de identidades de IAM. Deje el Okta admin dashboard abierto y vuelva a la consola de Centro de identidades de IAM para continuar con el siguiente paso.

Paso 3: Centro de identidades de IAM and Okta: aprovisionar usuarios de Okta

  1. En la consola de Centro de identidades de IAM, en la página Configuración, busque el cuadro de información Aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita el aprovisionamiento automático en Centro de identidades de IAM y muestra la información necesaria sobre el punto de conexión de SCIM y el token de acceso.

  2. En el cuadro de diálogo Aprovisionamiento automático entrante, copie cada uno de los valores de las siguientes opciones:

    1. Punto de conexión de SCIM: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en Okta más adelante en este tutorial.

  3. Elija Close.

  4. Vuelva al Okta admin dashboard y acceda a la aplicación Centro de identidades de IAM.

  5. En la página de la aplicación Centro de identidades de IAM, seleccione la pestaña Aprovisionamiento y, a continuación, en el menú de navegación de la izquierda, en Configuración, seleccione Integración.

  6. Seleccione Edit y, a continuación, active la casilla de verificación situada junto a Enable API integration para habilitar el aprovisionamiento automático.

  7. Configure Okta con los valores de aprovisionamiento de SCIM de AWS IAM Identity Center que copió anteriormente en este paso:

    1. En el campo Base URL, ingrese el valor de Punto de conexión de SCIM.

    2. En el campo API Token, ingrese el valor de Token de acceso.

  8. Elija Verificar credenciales de API para comprobar que las credenciales introducidas son válidas.

    Aparecerá el mensaje AWS IAM Identity Center was verified successfully!.

  9. Seleccione Guardar. Pasará a la sección de Configuración, con Integración seleccionada.

  10. En Configuración, seleccione A la aplicación y, a continuación, active la casilla Habilitar para cada una de las características de Aprovisionar a la aplicación que desee habilitar. Para este tutorial, seleccione todas las opciones.

  11. Seleccione Guardar.

Ya tiene todo listo para sincronizar los usuarios desde Okta con Centro de identidades de IAM.

Paso 4: Okta: sincronización de los usuarios desde Okta con Centro de identidades de IAM

De forma predeterminada, no hay ningún usuario o grupo asignado a su aplicación Centro de identidades de IAM de Okta. Los grupos de aprovisionamiento aprovisionan a los usuarios que sean miembros del grupo. Complete los siguientes pasos para sincronizar grupos y usuarios con AWS IAM Identity Center.

  1. En la página de la aplicación Centro de identidades de IAM de Okta, seleccione la pestaña Tareas. Puede asignar personas y grupos a la aplicación Centro de identidades de IAM.

    1. Para asignar personas:

      • En la página Assignments, seleccione Assign y, a continuación, seleccione Assign to people.

      • Seleccione los usuarios de Okta que desee que tengan acceso a la aplicación Centro de identidades de IAM. Seleccione Asignar, luego Guardar y volver y, a continuación, seleccione Terminado.

      Esto inicia el proceso de aprovisionamiento de los usuarios en Centro de identidades de IAM.

    2. Para asignar grupos:

      • En la página Assignments, seleccione Assign y, a continuación, seleccione Assign to groups.

      • Seleccione los grupos de Okta que desee que tengan acceso a la aplicación Centro de identidades de IAM. Seleccione Asignar, luego Guardar y volver y, a continuación, seleccione Terminado.

      Esto inicia el proceso de aprovisionamiento del usuario o los usuarios en Centro de identidades de IAM.

      nota

      Es posible que deba especificar más atributos para el grupo si no están presentes en todos los registros de usuario. Los atributos especificados para el grupo anularán cualquier valor de atributo individual.

  2. Seleccione la pestaña Transferir grupos. Elija el grupo de Okta que desee sincronizar con Centro de identidades de IAM. Seleccione Guardar.

    El estado del grupo cambia a Active después de que el grupo y sus miembros se hayan transferido a Centro de identidades de IAM.

  3. Vuelva a la pestaña Assignments.

  4. Para agregar usuarios individuales de Okta a Centro de identidades de IAM, realice los siguientes pasos:

    1. En la página de tareas, seleccione Asignar y, a continuación, seleccione Asignar a personas.

    2. Seleccione los usuarios de Okta que desee que tengan acceso a la aplicación Centro de identidades de IAM. Seleccione Asignar, luego Guardar y volver y, a continuación, seleccione Terminado.

      Esto inicia el proceso de aprovisionamiento de los usuarios individuales en Centro de identidades de IAM.

      nota

      También puede asignar usuarios y grupos a la aplicación AWS IAM Identity Center desde la página Applications del Okta admin dashboard. Para ello, seleccione el icono Settings, seleccione Assign to Users o Assign to Groups y, a continuación, especifique el usuario o el grupo.

  5. Vuelva a la consola de Centro de identidades de IAM. En el menú de navegación de la izquierda, seleccione Users. Debería ver la lista de usuarios rellenada por sus usuarios de Okta.

¡Enhorabuena!

Ha configurado correctamente una conexión SAML entre Okta y AWS y ha comprobado que el aprovisionamiento automático funciona. Ahora puede asignar a estos usuarios cuentas y aplicaciones en Centro de identidades de IAM. Para este tutorial, en el siguiente paso designaremos a uno de los usuarios como administrador de Centro de identidades de IAM mediante la concesión de permisos administrativos en la cuenta de administración.

Paso de atributos para el control de acceso: opcional

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de Centro de identidades de IAM para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Asignación de acceso a Cuentas de AWS

Los siguientes pasos solo son necesarios para conceder acceso únicamente a Cuentas de AWS. Estos pasos no son necesarios para conceder el acceso a las aplicaciones de AWS.

Paso 1: Centro de identidades de IAM: conceder a los usuarios de Okta acceso a las cuentas

  1. En el panel de navegación del Centro de identidades de IAM, en Permisos para varias cuentas, seleccione Cuentas de AWS.

  2. En la página Cuentas de AWS, la opción Estructura organizativa muestra la raíz organizativa con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione Asignar usuarios o grupos.

  3. Aparecerá el flujo de trabajo Asignar usuarios y grupos. Consta de tres pasos:

    1. En Paso 1: selección de usuarios y grupos, elija el usuario que realizará la función del trabajo de administrador. A continuación, elija Next.

    2. En Paso 2: selección de conjuntos de permisos, elija Crear conjunto de permisos para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.

      1. En Paso 1: selección del tipo de conjunto de permisos, haga lo siguiente:

        • En Tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido.

        • En Política para el conjunto de permisos predefinido, seleccione AdministratorAccess.

        Elija Siguiente.

      2. En Paso 2: especificación de los detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente.

        La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccess con una duración de sesión establecida en una hora.

      3. En Paso 3: revisión y creación, compruebe que Tipo de conjunto de permisos utiliza la política administrada por AWS AdministratorAccess. Seleccione Crear. En la página Conjuntos de permisos, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.

      En la pestaña Asignar usuarios y grupos del navegador, todavía está en Paso 2: selección de los conjuntos de permisos, donde empezó el flujo de trabajo de creación de conjuntos de permisos.

      En el área Conjuntos de permisos, pulse el botón Actualizar. El conjunto de permisos AdministratorAccess que creó aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione Siguiente.

    3. En Paso 3: revisión y envío, revise el usuario y el conjunto de permisos seleccionados y, a continuación, seleccione Enviar.

      La página se actualiza con un mensaje en el que se indica que la Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.

      Regresará a la página de las Cuentas de AWS. Un mensaje de notificación le informa de que se ha reaprovisionado la Cuenta de AWS y se ha aplicado el conjunto de permisos actualizado. Cuando el usuario inicie sesión, tendrá la opción de elegir el rol AdministratorAccess.

Paso 2: Okta: confirmación del acceso de los usuarios de Okta a los recursos de AWS

  1. Inicie sesión con una cuenta de prueba a Okta dashboard.

  2. En Mis aplicaciones, seleccione el icono de AWS IAM Identity Center.

  3. Debería ver el icono Cuenta de AWS. Amplíe el icono para ver la lista de Cuentas de AWS a las que puede acceder el usuario. En este tutorial, solo trabajó con una cuenta, por lo que al expandir el icono solo se muestra una cuenta.

  4. Seleccione la cuenta para ver los conjuntos de permisos disponibles para el usuario. En este tutorial, ha creado el conjunto de permisos AdministratorAccess.

  5. Junto al conjunto de permisos hay enlaces para el tipo de acceso disponible para ese conjunto de permisos. Cuando creó el conjunto de permisos, especificó el acceso mediante la AWS Management Console y con el acceso de programación. Seleccione Consola de administración para abrir la AWS Management Console.

  6. El usuario ha iniciado sesión en la AWS Management Console.

Siguientes pasos

Ahora que ha configurado Okta como proveedor de identidades y ha aprovisionado a usuarios en Centro de identidades de IAM, puede hacer lo siguiente:

Resolución de problemas

Para saber cómo solucionar problemas generales de SCIM y SAML con Okta, consulte las secciones siguientes:

Reaprovisionamiento de usuarios y grupos eliminados de Centro de identidades de IAM

  • Puede recibir el siguiente mensaje de error en la consola de Okta si intenta cambiar un usuario o un grupo en Okta que alguna vez se sincronizó y luego se eliminó del Centro de identidades de IAM:

    • No se pudo enviar automáticamente el perfil de Jane Doe a la aplicación AWS IAM Identity Center: se produjo un error al intentar actualizar el perfil de jane_doe@example.com: no se devolvió ningún usuario para el usuario xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Falta el grupo vinculado en AWS IAM Identity Center. Cambia el grupo vinculado para volver a aumentar las membresías del grupo.

  • También puede recibir el siguiente mensaje de error en los registros del sistema de Okta para los usuarios o grupos del Centro de identidades de IAM sincronizados o eliminados:

    • Error de Okta: Eventfailed application.provision.user.push_profile: No se ha devuelto ningún usuario para el usuario xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Error de Okta: application.provision.group_push.mapping.update.or.delete.failed.with.error: Falta el grupo vinculado en AWS IAM Identity Center. Cambia el grupo vinculado para volver a aumentar las membresías del grupo.

aviso

Si ha sincronizado Okta e Centro de identidades de IAM mediante SCIM, debe eliminar los usuarios y los grupos de Okta en lugar del Centro de identidades de IAM.

Resolución de problemas de usuarios eliminados de Centro de identidades de IAM

Para solucionar este problema con los usuarios eliminados del Centro de identidades de IAM, los usuarios deben eliminarse de Okta. Si fuera necesario, también habría que volver a crear estos usuarios en Okta. Cuando se vuelva a crear el usuario en Okta, también se volverá a aprovisionar en el Centro de identidades de IAM a través de SCIM. Para obtener más información sobre eliminar un usuario, consulte la documentación de Okta.

nota

Si necesita eliminar el acceso de un usuario de Okta al Centro de identidades de IAM, primero debe eliminarlo de su Group Push y, después, de su grupo de tareas en Okta. De este modo, se garantiza que el usuario deje de pertenecer a su grupo asociado en el Centro de identidades de IAM. Para obtener más información sobre la resolución de problemas de Group Push, consulte la documentación de Okta.

Resolución de problemas de grupos eliminados de Centro de identidades de IAM

Para solucionar este problema con los Centro de identidades de IAM eliminados, el grupo debe eliminarse de Okta. Si fuera necesario, estos grupos también deberían volver a crearse en Okta mediante Group Push. Cuando se vuelva a crear el usuario en Okta, también se volverá a aprovisionar en el Centro de identidades de IAM a través de SCIM. Para obtener más información sobre la eliminación de un grupo, consulte la documentación de Okta.

Error de aprovisionamiento automático en Okta

Si recibe un error en Okta:

Falló el aprovisionamiento automático del usuario Jane Doe a la aplicación AWS IAM Identity Center: no se encontró el usuario coincidente

Consulte la documentación de la Okta para obtener más información.

Recursos adicionales de

Los recursos relacionados siguientes pueden ayudarle a solucionar problemas cuando trabaje con AWS:

  • AWS re:Post: busque preguntas frecuentes y enlaces a otros recursos para ayudarle a solucionar problemas.

  • AWS Support: obtenga soporte técnico