Aplicación Amazon Web Services en la nube

Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

Con el Lenguaje de marcado para confirmaciones de seguridad (SAML), tus usuarios pueden usar sus credenciales de Google Cloud para iniciar sesión en aplicaciones de empresa en la nube.

Configurar el inicio de sesión único de Amazon Web Services a través de SAML

A continuación, te explicamos cómo configurar el inicio de sesión único (SSO) mediante SAML para la aplicación Amazon Web Services.

Paso 1: Configura Amazon Web Services como proveedor de servicios de SAML 2.0
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones SAML.
  3. Haz clic en el botón Descargar para descargar los metadatos del IdP de Google y el certificado X.509.
  4. En una pestaña del navegador nueva, inicia sesión en la consola de administración de AWS y abre la consola de IAM en https://console.aws.amazon.com/iam/.
  5. En el panel de navegación, selecciona Identity Providers (Proveedores de identidad) y, a continuación, haz clic en Create SAML Provider (Crear proveedor SAML).
  6. Selecciona SAML como Provider Type (Tipo de proveedor) y asígnale un nombre como, por ejemplo, GoogleApps.
  7. Desde la configuración de SAML de la consola de administración de Google, sube los metadatos del proveedor de identidad (IDP) que guardaste anteriormente.
  8. Haz clic en Next Step (Paso siguiente) y, en la página siguiente, haz clic en Create (Crear).
  9. Haz clic en la pestaña Roles (Funciones) de la barra lateral izquierda y, a continuación, en Create a New Role (Crear función) para crear una función que definirá los permisos.
  10. Selecciona Set role name (Establecer nombre de la función). Este nombre aparecerá junto al nombre de inicio de sesión en la consola AWS.
  11. Selecciona Role for Identity Provider Access (Función para el acceso del proveedor de identidades).
  12. Selecciona Grant Web Single Sign-On (WebSSO) access to SAML providers (Conceder acceso mediante inicio de sesión único web [WebSSO] a los proveedores de SAML). Haz clic en Next Step (Paso siguiente).
  13. No modifiques los valores de Establish trust (Establecer confianza). Haz clic en Next Step (Paso siguiente).
  14. Utiliza la configuración Attach policy (Adjuntar política) para definir las políticas que tendrán tus usuarios federados. Haz clic en Next Step (Paso siguiente).
  15. En la página siguiente, revisa la configuración y haz clic en Create the Role (Crear la función).
  16. En la lista de proveedores de identidades, selecciona Google y anota el nombre de recurso de Amazon (ARN) del proveedor. Este nombre contiene tu ID de cuenta de AWS y el nombre del proveedor (por ejemplo, arn:aws:iam::NÚMERO_CUENTA:saml-provider/GoogleApps). 
  17. Haz clic en Save (Guardar) para guardar los detalles de configuración del inicio de sesión único web federado.
Paso 2: Configura Google como proveedor de identidades (IdP) de SAML
  1. Abre una nueva pestaña en el navegador. 
    Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones SAML.
  3. En la esquina inferior, haz clic en el icono del signo de suma (+).
  4. En la lista, selecciona Amazon Web Services. Los valores de la página Información de proveedor de identidad de Google se rellenan automáticamente.
  5. Existen dos formas de obtener la información de configuración del proveedor de servicios:

    Puedes copiar los valores de los campos ID de entidad y URL de inicio de sesión único y descargar el Certificado X.509, pegarlos en los campos de configuración del proveedor de servicios correspondientes y, a continuación, hacer clic en Siguiente
    o
    Puedes descargar los metadatos del Proveedor de identidades, subirlos a los campos de configuración del proveedor de servicios correspondientes y, a continuación, volver a la consola de administración y hacer clic en Siguiente.
     
  6. En la ventana Información básica, los valores Nombre de la aplicación y Descripción se rellenan de forma automática.
  7. Haz clic en Siguiente.
Paso 3: Introduce los detalles del proveedor de servicios específico de Amazon Web Services en la consola de administración de Google
  1. En la sección Datos del proveedor de servicios, introduce la información siguiente en los campos ID de entidad, URL ACS y URL de inicio:
            URL ACS: https://signin.aws.amazon.com/saml
            ID de entidad: https://signin.aws.amazon.com/saml
            URL de inicio: <vacío>
  2. Deja la casilla Respuesta firmada sin marcar.
    Cuando la casilla de verificación Respuesta firmada está desmarcada, solo se firma la aserción. Si está marcada, se firma toda la respuesta.
  3. El campo ID de nombre predeterminado es el correo electrónico principal. No se permite introducir varios valores. Puedes cambiar la asignación de ID de nombre según te convenga. También se pueden usar los atributos personalizados del esquema de usuario después de crearlos a través de las API del SDK de Google Admin. Estos atributos se deben crear antes de configurar el SAML de la aplicación Amazon Web Services. 
  4. Haz clic en Siguiente.
  5. Haz clic en Añadir nueva asignación y asigna el valor de atributo "https://aws.amazon.com/SAML/Attributes/RoleSessionNameInformación básica > Correo electrónico principal y el valor de atributo "https://aws.amazon.com/SAML/Attributes/Rolea un atributo personalizado de una cuenta de Amazon Web Services.
  6. En la lista desplegable, selecciona una categoría en Categoría y, a continuación, en Atributo de usuario, elige un atributo del perfil de Google para asignarlo.
  7. Haz clic en Finalizar.
Paso 4: Habilita la aplicación Amazon Web Services
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configurar el inicio de sesión único (SSO) en aplicaciones SAML.

    Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

  3. Selecciona Amazon Web Services.
  4. Haz clic en Acceso de usuario.
  5. Para activar o desactivar un servicio en toda tu organización, haz clic en Activado para todos o en Desactivado para todos y, a continuación, haz clic en Guardar.

  6. Para activar o desactivar un servicio solo en una unidad organizativa, sigue estos pasos:

    1. En la parte izquierda, selecciona la unidad organizativa que quieras.
    2. Selecciona Activado o Desactivado.
    3. Para que el servicio siga activado o desactivado independientemente de si lo está en la unidad organizativa superior, haz clic en Anular.
    4. Si el estado de la organización ya es Anulado, selecciona una de estas opciones:
      • Heredar: el ajuste pasa a ser el de la unidad organizativa superior.
      • Guardar: se guarda el nuevo ajuste, aunque cambie el de la unidad organizativa superior.

    Más información sobre la estructura organizativa

  7. Activa un servicio en un grupo de usuarios (opcional).
    Puedes utilizar grupos de acceso para activar un servicio concreto en una o varias unidades organizativas. Más información

  8. Asegúrate de que los ID de correo electrónico de tu cuenta de usuario de Amazon Web Services coincidan con los de tu dominio de Google.
Paso 5: Comprueba que el inicio de sesión único funcione entre G Suite y Amazon Web Services (solo G Suite)

Nota: Debes estar conectado a la cuenta en la que hayas configurado Amazon Web Services.

  1. Abre un servicio principal de G Suite, como Google Calendar, Drive o Gmail. 
  2. En la parte superior derecha, haz clic en el menú de aplicaciones "".
  3. Avanza hasta la sección de aplicaciones y haz clic en Amazon Web Services.
  4. Si has iniciado sesión en más de una cuenta, selecciona la cuenta en la que has configurado Amazon Web Services.
  5. Si has configurado más de una función, selecciona una de la lista.
  6. Haz clic en Sign In (Iniciar sesión).

Ya has iniciado sesión en Amazon Web Services.

Paso 6: Configura el aprovisionamiento de usuarios

No es necesario configurar el aprovisionamiento de usuarios en Amazon Web Services.

En AWS, los usuarios de acceso federado y autenticados con cualquier proveedor de identidades de SAML 2.0 pueden hacer inicios de sesión basados en funciones. Para indicar una función, asigna el valor https://aws.amazon.com/SAML/Attributes/Role a un atributo personalizado de la cuenta de Amazon Web Services. Consulta el paso 3 de este artículo.

Después de crear esta asignación de funciones, los usuarios con SSO de SAML habilitado pueden iniciar sesión en la consola de administración de AWS mediante la gestión de identidades y accesos (IAM) de AWS, sin tener que crear los usuarios IAM correspondientes en la consola de administración.

Consulta la documentación de AWS para obtener más información sobre la asignación de funciones de AWS.


Google y G Suite, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?