Aplicación en la nube Amazon Web Services

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

Con el lenguaje de marcado para confirmaciones de seguridad (SAML), tus usuarios pueden iniciar sesión en aplicaciones de empresa en la nube con sus credenciales de Google Cloud.

Configurar el inicio de sesión único mediante SAML en Amazon Web Services

A continuación, te indicamos cómo configurar el inicio de sesión único (SSO) mediante SAML en la aplicación Amazon Web Services.

Antes de empezar

Antes de configurar el aprovisionamiento de usuarios, tienes que crear un atributo de usuario personalizado para Amazon Web Services. Sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Usuarios.
  3. En la parte superior de la lista Usuarios, haz clic en Más y luegoGestionar atributos personalizados.
  4. En la parte superior derecha, haz clic en Añadir atributo personalizado.
  5. Configura el atributo personalizado de la siguiente manera:
    • Categoría: Amazon
    • Descripción: Atributos personalizados de Amazon

    En Campos personalizados, introduce los siguientes datos:

    • Nombre: Rol
    • Tipo de información: Texto
    • Visibilidad: Visible para el usuario y el administrador
    • N.º de valores: Varios valores
  6. Haz clic en Añadir.

    La nueva categoría aparecerá en la página Gestionar atributos de usuario.

Paso 1: Obtén la información de proveedor de identidades de Google
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configurar el inicio de sesión único (SSO) en aplicaciones SAML.

    Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  3. Descarga los Metadatos de proveedor de identidades.

Deja abierta la consola de administración; una vez que hayas completado el siguiente paso en la consola de gestión de Amazon, continuarás con la configuración del SSO.

Paso 2: Configura Amazon Web Services como proveedor de servicios SAML 2.0
  1. En una pestaña del navegador nueva, inicia sesión en la consola de gestión de AWS y abre la consola de IAM en https://console.aws.amazon.com/iam/.
  2. En el panel de navegación, selecciona Identity Providers > Create Provider (Proveedores de identidades > Crear proveedor).
  3. En Provider Type (Tipo de proveedor), selecciona SAML.
  4. Introduce un valor en Provider Name (Nombre del proveedor), como GoogleWorkspace.
  5. Haz clic en Choose File (Seleccionar archivo) y selecciona el archivo de metadatos de proveedor de identidades que descargaste en el paso 1 de este artículo.
  6. Haga clic en Continue Step (Continuar con el paso) y en Create (Crear).

    En la tabla de proveedores de identidades de la página Identity Providers (Proveedores de identidades), debe aparecer GoogleWorkspace.

  7. En la barra lateral izquierda, haz clic en Roles > Create a New Role (Crear rol).
  8. En Set role name (Definir nombre de rol), introduce un nombre de rol.
  9. Haz clic en Continue step (Continuar con el paso).
  10. En la página Select Role Type (Seleccionar tipo de rol), en Role for Identity Provider Access (Rol para el acceso del proveedor de identidades), selecciona Grant Web Single Sign-On (WebSSO) access to SAML providers (Conceder acceso mediante inicio de sesión único web [WebSSO] a los proveedores de SAML). 
  11. Haz clic en Continue step (Continuar con el paso).
  12. En la página Establish trust (Elegir el nivel de confianza), deja la configuración predeterminada y haz clic en Next Step (Siguiente paso).
  13. Elige políticas para conceder permisos a los usuarios que inicien sesión en AWS mediante el SSO de Google, como AdministratorAccess. 
  14. Haz clic en Continue step (Continuar con el paso).
  15. En la página siguiente, copia y guarda el rol ARN, que contiene el ID de cuenta de AWS y el nombre del rol. Este valor es necesario para configurar el atributo de usuario personalizado de Amazon en el paso 4 de este artículo.

    Example: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

  16. Haz clic en Create the Role (Crear el rol).
  17. Selecciona tu servicio de Google en la lista de proveedores de identidades y copia y guarda el ARN de proveedor. Este nombre de recurso contiene el ID de tu cuenta de AWS y el nombre del proveedor. Este valor es necesario para configurar el atributo de usuario personalizado de Amazon en el paso 4 de este artículo.

    Ejemplo: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

  18. Haz clic en Save (Guardar) para guardar los detalles de configuración de inicio de sesión único web federado.
Paso 3: Configura Google como proveedor de identidades SAML
  1. Vuelve a la pestaña del navegador en la que dejaste abierta la consola de administración.
  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones web y móviles.
  3. Escribe Amazon Web Services en el campo de búsqueda.
  4. En los resultados de búsqueda, coloca el cursor sobre la aplicación SAML de Amazon Web Services y haz clic en Seleccionar.
  5. En la página Detalles de proveedor de identidades de Google, haz clic en Continuar.

    En la página Datos del proveedor de servicios, los valores de los campos URL ACS e ID de entidad de Amazon Web Services ya están configurados de forma predeterminada.

  6. Haz clic en Continuar.
  7. En la página Asignación de atributos, haz clic en el menú Seleccionar campo y asigna los siguientes atributos de directorio de Google a los atributos correspondientes de Amazon Web Services:
     
    Atributo de directorio de Google Atributo de Amazon Web Services
    Basic Information (Información básica) > Primary Email (Correo electrónico principal) https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Rol* https://aws.amazon.com/SAML/Attributes/Role

    (*) Este atributo personalizado se ha creado en la sección Antes de empezar, que aparece más arriba.

  8. (Opcional) Si quieres enviar la información de pertenencia a grupos de un usuario en la respuesta de SAML, introduce los nombres de los grupos que sean pertinentes para esta aplicación en el campo Pertenencia a grupos.
    1. En Grupos de Google, haz clic en el campo de entrada Buscar un grupo.
    2. Escribe una o varias letras del nombre del grupo.
    3. Selecciona el nombre del grupo en la lista desplegable.
    4. Añade más grupos según sea necesario (el número total de grupos no puede ser superior a 75).
    5. En Atributo de aplicación, introduce el nombre del atributo de grupo correspondiente del proveedor de servicios.

    Nota: Independientemente del número de nombres que introduzcas, la respuesta de SAML solo incluirá los grupos a los que pertenezca el usuario (directamente o indirectamente). Consulta más información sobre la asignación de pertenencia a grupos.

  9. Haz clic en Finalizar.
Paso 4: Habilita la aplicación Amazon Web Services
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones web y móviles.
  3. Selecciona Amazon Web Services.
  4. Haz clic en Acceso de usuario.
  5. Para activar o desactivar un servicio en toda tu organización, haz clic en Activado para todos o en Desactivado para todos y, a continuación, haz clic en Guardar.

  6. (Opcional) Para activar o desactivar un servicio en una unidad organizativa, sigue estos pasos:
    1. En la parte izquierda, selecciona la unidad organizativa.
    2. Para cambiar el estado del servicio, selecciona Activado o Desactivado.
    3. Elige una opción:
      • Si el estado del servicio es Heredado y quieres mantener el ajuste actualizado aunque cambie el ajuste principal, haz clic en Anular.
      • Si el estado del servicio es Anulado, haz clic en Heredar para volver al mismo ajuste que la unidad organizativa superior o en Guardar para conservar el nuevo, incluso si cambia el ajuste de la organización principal.
        Nota: Consulta más información sobre la estructura organizativa.
  7. Activa un servicio en un grupo de usuarios (opcional).
    Puedes utilizar grupos de acceso para activar un servicio concreto en una o varias unidades organizativas. Más información

  8. Asegúrate de que los IDs de correo electrónico de tu cuenta de usuario de Amazon Web Services coincidan con los de tu dominio de Google.
  9. Para cada usuario que inicie sesión en AWS mediante SSO, configura el atributo de usuario personalizado que has creado en Antes de empezar:
    1. En la página de la cuenta del usuario, haz clic en Información del usuario.
    2. Haz clic en el atributo personalizado de Amazon.
    3. En el campo Role (Rol), añade el ARN de rol de AWS y el ARN del proveedor (tal como se copia en el paso 2 de este artículo) separados por comas, como se indica a continuación: 

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::NUMBER_NUMBER:proveedor/GoogleWorkspace

    4. Haz clic en Guardar.
Paso 5: Comprueba que el SSO funcione entre Google Workspace y Amazon Web Services (solo Google Workspace)

Nota: Debes haberte conectado a la cuenta en la que hayas configurado Amazon Web Services.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones web y móviles.
  3. Selecciona Amazon Web Services.
  4. En la parte superior izquierda, haz clic en Probar inicio de sesión con SAML

    Amazon Web Services se abrirá en otra pestaña. Si no es así, con la información incluida en los mensajes de error de SAML que aparezcan, modifica la configuración de tu proveedor de identidades o de servicios según sea necesario y vuelve a probar el inicio de sesión con SAML.

Paso 6: Configura el aprovisionamiento de usuarios

No es necesario configurar el aprovisionamiento de usuarios en Amazon Web Services.

En AWS, los usuarios con acceso federado y autenticados con cualquier proveedor de identidades SAML 2.0 pueden iniciar sesión a través de un sistema basado en roles. Para indicar un rol, asigna el valor https://aws.amazon.com/SAML/Attributes/Role a un atributo personalizado de la cuenta de Amazon Web Services. Consulta el paso 3 de este artículo.

Después de crear esta asignación de roles, los usuarios con SSO de SAML habilitado pueden iniciar sesión en la consola de gestión de AWS con un rol específico de gestión de identidades y accesos (IAM) de AWS, sin tener que crear los usuarios IAM correspondientes en la consola de gestión.

Consulta la documentación de AWS para obtener más información sobre la asignación de roles de AWS.

 


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.

true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
Buscar en el Centro de ayuda
true
73010
false