Configuración de proveedores de identidad para su grupo de usuarios - Amazon Cognito
Configurar el inicio de sesión de los usuarios con un IdP de redes socialesConfigurar el inicio de sesión de usuarios con un IdP de OIDCConfigurar el inicio de sesión de usuario con un IdP SAML

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de proveedores de identidad para su grupo de usuarios

Con los grupos de usuarios, puede implementar el inicio de sesión a través de diversos proveedores de identidades (IdP) externos. En esta sección de la guía, encontrará instrucciones para configurar dichos proveedores de identidades con su grupo de usuarios en la consola de Amazon Cognito. Como alternativa, puede usar la API de los grupos de usuarios y un AWS SDK para añadir proveedores de identidades de grupos de usuarios mediante programación. Para obtener más información, consulte CreateIdentityProvider.

Las opciones de proveedores de identidades compatibles incluyen proveedores de redes sociales como Facebook, Google o Amazon, así como proveedores OpenID Connect (OIDC) o SAML 2.0. Antes de empezar, configúrese con las credenciales administrativas de su IdP. Deberá registrar su solicitud en cada tipo de proveedor, obtener las credenciales necesarias y luego configurar los detalles del proveedor en su grupo de usuarios. A continuación, los usuarios podrán registrarse e iniciar sesión en la aplicación con las cuentas que poseen en los proveedores de identidades conectados.

El menú Proveedores sociales y externos, en Autenticación, agrega y actualiza los IdP del grupo de usuarios. Para obtener más información, consulte Inicio de sesión en el grupo de usuarios con proveedores de identidad externos.

Configurar el inicio de sesión de los usuarios con un IdP de redes sociales

Puede utilizar la federación para que los grupos de usuarios de Amazon Cognito se integren en los proveedores de identidad de redes sociales, como Facebook, Google y Login with Amazon.

Para añadir un proveedor de identidad social, primero debe crear una cuenta de desarrollador con el proveedor de identidad. Después de crear la cuenta de desarrollador, registre la aplicación con el proveedor de identidad. El proveedor de identidad crea un ID y un secreto de aplicación, y usted configura estos valores en su grupo de usuarios de Amazon Cognito.

Para integrar el inicio de sesión de usuario con un IdP de redes sociales

  1. Inicie sesión en la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS.

  2. En el panel de navegación, elija User Pools (Grupos de usuarios) y elija el grupo de usuarios que desea editar.

  3. Seleccione el menú Proveedores sociales y externos.

  4. Elija Add an identity provider (Agregar un proveedor de identidad), o elija el proveedor de identidad de Facebook,Google, Amazon o Apple que ha configurado, localice Identity provider information (Información de proveedor de identidad), y elija Edit (Editar). Para obtener más información acerca de agregar un proveedor de identidad social, consulte Uso de proveedores de identidades de redes sociales con un grupo de usuarios.

  5. Introduzca la información de su proveedor de identidad social realizando uno de los siguientes pasos, según su elección de IdP:

    Facebook, Google y Login with Amazon

    Ingrese el ID y el secreto de aplicación que recibió al crear la aplicación de cliente.

    Inicio de sesión con Apple

    Ingrese el ID de servicio que proporcionó a Apple, así como el ID de equipo, el ID de clave y la clave privada que recibió al crear el cliente de aplicación.

  6. Para Authorize scopes (Autorizar ámbitos), introduzca los nombres de los ámbitos de los proveedores de identidad social que desea asignar a los atributos del grupo de usuarios. Los ámbitos definen a qué atributos de usuario, tales como nombre y correo electrónico, desea acceder con su aplicación. Al introducir ámbitos, utilice las siguientes pautas que se basan en su elección del proveedor de identidad (IdP):

    • Facebook — Ámbitos separados con comas. Por ejemplo:

      public_profile, email

    • Google, Login with Amazon y SignInWithApple — Ámbitos separados con espacios. Por ejemplo:

      • Google: profile email openid

      • Login with Amazon: profile postal_code

      • SignInWithApple: name email

        nota

        Para SignInWithApple (consola), utilice las casillas de verificación para elegir ámbitos.

  7. Seleccione Save changes (Guardar cambios).

  8. En el menú Clientes de aplicación, seleccione un cliente de aplicación de la lista y elija Editar. Agregue el nuevo proveedor de identidad social al cliente de aplicación en Identity providers (Proveedores de identidad).

  9. Seleccione Save changes (Guardar cambios).

Para obtener más información acerca de los proveedores de identidad de redes sociales, consulte Uso de proveedores de identidades de redes sociales con un grupo de usuarios.

Configurar el inicio de sesión de usuarios con un IdP de OIDC

Puede integrar el inicio de sesión de usuarios a través de un proveedor de identidad OpenID Connect (OIDC), como Salesforce o Ping Identity.

Para agregar un proveedor OIDC a un grupo de usuarios

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS.

  2. Elija User Pools (Grupos de usuarios) en el menú de navegación.

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Seleccione el menú Proveedores sociales y externos y, a continuación, seleccione Agregar un proveedor de identidades.

  5. Elija un proveedor de identidad de OpenID Connect.

  6. Introduzca un nombre único en Provider name (Nombre de proveedor).

  7. Introduzca el ID de cliente que recibió de su proveedor en Client ID (ID de cliente).

  8. Introduzca el secreto de cliente que recibió de su proveedor en Client Secret (Secreto de cliente).

  9. Introduzca los Ámbitos autorizados para este proveedor. Los ámbitos definen qué grupos de atributos de usuario (tales como name y email) serán solicitados por su aplicación al proveedor. Los ámbitos deben estar separados por espacios, de acuerdo con la especificación OAuth 2.0.

    El usuario debe autorizar que se proporcionen estos atributos a su aplicación.

  10. Seleccione un Attribute request method (Método de solicitud de atributo) para proporcionar a Amazon Cognito el método de HTTP (GET o POST) que usa Amazon Cognito para obtener los detalles de usuario del punto de conexión userInfo operado por su proveedor.

  11. Seleccione un Setup method (Método de configuración) para recuperar los puntos de enlace de OpenID Connect con Auto fill through issuer URL (Autorrellenar mediante la URL del emisor) o Manual input (Entrada manual). Utilice Completar automáticamente a través de la URL del emisor cuando su proveedor tenga un punto de conexión .well-known/openid-configuration público desde el que Amazon Cognito pueda recuperar las URL de los puntos de conexión authorization, token, userInfo y jwks_uri.

  12. Introduzca la URL del emisor o las URL de los puntos de conexión de authorization, token, userInfo y jwks_uri de su IdP.

    nota

    Solo puede utilizar los números de puerto 443 y 80 con las URL de detección, rellenado automático e ingresadas manualmente. Los inicios de sesión de usuario fallan si su proveedor de OIDC utiliza puertos TCP no estándar.

    La URL del emisor debe comenzar por https:// y no pueden terminar con el carácter /. Por ejemplo, Salesforce usa esta URL:

    https://login.salesforce.com

    El documento openid-configuration asociado a la URL del emisor debe proporcionar URL HTTPS para los siguientes valores: authorization_endpoint, token_endpoint, userinfo_endpoint y jwks_uri. Del mismo modo, cuando elija Manual input (Entrada manual), solo podrá ingresar URL HTTPS.

  13. A la notificación OIDC sub se le asigna el atributo de grupo de usuarios Username (Nombre de usuario) de forma predeterminada. Puede asignar a las notificaciones OIDC otros atributos de grupo de usuarios. Introduzca la notificación OIDC y seleccione el atributo de grupo de usuarios correspondiente en la lista desplegable. Por ejemplo, a la notificación email (correo electrónico) se le suele asignar el atributo de grupo de usuarios Email (Correo electrónico).

  14. Asigne atributos adicionales de su proveedor de identidades a su grupo de usuarios. Para obtener más información, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios.

  15. Seleccione Crear.

  16. En el menú Clientes de aplicación, seleccione un cliente de aplicación de la lista. Para añadir el nuevo proveedor de identidad SAML al cliente de aplicación, vaya a la pestaña Páginas de inicio de sesión y seleccione Editar en Configuración de páginas de inicio de sesión administradas.

  17. Seleccione Save changes (Guardar cambios).

Para obtener más información acerca los IdP de OIDC, consulte Uso de proveedores de identidades de OIDC con un grupo de usuarios.

Configurar el inicio de sesión de usuario con un IdP SAML

Puede utilizar la federación de grupos de usuarios de Amazon Cognito para que se integren en un proveedor de identidad (IdP) SAML. Proporcione un documento de metadatos, ya sea cargando el archivo o escribiendo una URL de punto de enlace del documento de metadatos. Para obtener información sobre cómo obtener documentos de metadatos para proveedores de identidad SAML de terceros, consulte Configuración de un proveedor de identidades de SAML externo.

Para configurar un proveedor de identidad SAML 2.0 en su grupo de usuarios

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS.

  2. Elija User Pools (Grupos de usuarios).

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Seleccione el menú Proveedores sociales y externos y, a continuación, seleccione Agregar un proveedor de identidades.

  5. Elija un proveedor de identidad SAML.

  6. Introduzca los identificadores separados por comas. Un identificador indica a Amazon Cognito que debe comprobar la dirección de correo electrónico que introduce un usuario al iniciar sesión y, a continuación, dirigirlo al proveedor que corresponda a su dominio.

  7. Elija Add sign-out flow (Añadir flujo de cierre de sesión) si desea que Amazon Cognito envíe solicitudes de cierre de sesión firmadas a su proveedor cuando un usuario cierra la sesión. Configure el proveedor de identidad SAML 2.0 para que envíe respuestas de cierre de sesión al punto de conexión https://mydomain.auth.us-east-1.amazoncognito.com/saml2/logout que crea Amazon Cognito al configurar el inicio de sesión administrado. El punto de conexión saml2/logout utiliza el enlace POST.

    nota

    Si selecciona esta opción y el proveedor de identidad SAML espera una solicitud de cierre de sesión firmada, también deberá configurar el certificado de firma que ofrece Amazon Cognito en el IdP SAML.

    El proveedor de identidad SAML procesará la solicitud de cierre de sesión firmada y cerrará la sesión de Amazon Cognito del usuario.

  8. Seleccione un Origen de documentos de metadatos. Si su proveedor de identidad ofrece metadatos SAML en una URL pública, puede elegir Metadata document URL (URL del documento de metadatos) e introducir esa URL pública. En caso contrario, elija Upload metadata document (Cargar documento de metadatos) y seleccione un archivo de metadatos que haya descargado anteriormente de su proveedor.

    nota

    Si su proveedor tiene un punto de conexión público, le recomendamos que ingrese una URL de documento de metadatos, en lugar de cargar un archivo. Si utiliza la URL, Amazon Cognito actualiza los metadatos automáticamente. Normalmente, los metadatos se actualizan cada seis horas o antes de que caduquen, lo que ocurra primero.

  9. Asigne atributos entre el proveedor de SAML y la aplicación para asignar atributos de proveedor SAML al perfil de usuario de su grupo de usuarios. Incluya los atributos requeridos del grupo de usuarios en la asignación de atributos.

    Por ejemplo, cuando elige User pool attribute (Atributo grupo de usuarios) email, escriba el nombre de atributo SAML tal como aparece en la aserción SAML del proveedor de identidad. Es posible que su proveedor de identidades ofrezca aserciones SAML de ejemplo y como referencia. Algunos proveedores de identidad utilizan nombres sencillos, como email, mientras que otros utilizan nombres de atributo con formato de URL similares a este:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Seleccione Crear.

nota

Si aparece InvalidParameterException al crear un IdP SAML con una URL de punto de conexión de metadatos HTTPS, asegúrese de que el punto de conexión de los metadatos tenga SSL correctamente configurado y de que tenga un certificado SSL válido asociado. Un ejemplo de una excepción de este tipo sería “Error al recuperar el <punto de conexión de los metadatos>”.

Para configurar el proveedor de identidad SAML para añadir un certificado de firma

  • Para obtener el certificado que contiene la clave pública que el IdP utiliza para verificar la solicitud de cierre de sesión firmada, haga lo siguiente:

    1. Vaya al menú Proveedores sociales y externos de su grupo de usuarios.

    2. Seleccione su proveedor de SAML.

    3. Elija Ver certificado de firma.

Para obtener más información acerca los proveedores de identidad SAML, consulte Uso de proveedores de identidades SAML con un grupo de usuarios.