Aplicación en la nube Amazon Web Services

Con la versión 2.0 del estándar de lenguaje de marcado para confirmaciones de seguridad (SAML), puedes configurar el inicio de sesión único (SSO) en varias aplicaciones en la nube. Una vez que hayas configurado el SSO, tus usuarios podrán usar sus credenciales de Google Workspace para iniciar sesión en una aplicación mediante el SSO.

Usar SAML para configurar el SSO para Amazon Web Services

Mostrar todo  |  Ocultar todo

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

Antes de empezar

Antes de configurar el SSO, debes crear un atributo de usuario personalizado.

  1. Inicia sesión con una cuenta de super administrador en Consola de administración de Google.

    Si no usas una cuenta de superadministrador, no podrás completar estos pasos.

  2. Ve a Menú y luego Directorio > Usuarios.
  3. Haz clic en Más opcionesy luegoGestionar atributos personalizados.
  4. En la parte superior, haz clic en Añadir atributo personalizado.
  5. En la sección Añadir campos personalizados:
    1. En Categoría, escribe Amazon.
    2. En Descripción, escriba Atributos personalizados de Amazon.
    3. En Nombre, escribe Rol.
    4. Haz clic en Tipo de información y selecciona Texto.
    5. Haz clic en Visibilidad y selecciona Visible para el usuario y el administrador.
    6. Haz clic en N.º de valores y selecciona Varios valores.

  6. Haz clic en Añadir.
    El atributo personalizado aparecerá en la sección Atributos personalizados de la página Gestionar atributos de usuario.

Paso 1: Consigue la información del proveedor de identidades de Google
  1. Inicia sesión con una cuenta de super administrador en Consola de administración de Google.

    Si no usas una cuenta de superadministrador, no podrás completar estos pasos.

  2.  Ve a Menú y luego Seguridad > Autenticación > SSO con aplicaciones SAML.
  3. Descarga los metadatos del proveedor de identidades.
  4. Deja abierta la consola de administración. Seguirás con la configuración en la consola de administración después de completar los pasos de configuración en la aplicación.
Paso 2: Configura Amazon Web Services como proveedor de servicios SAML 2.0
  1. Abre una ventana del navegador en modo Incógnito e inicia sesión en la consola de administración de AWS.
  2. Abre la consola de IAM.
  3. Ve a Identity Providers (Proveedores de identidades) y luego Add Provider (Añadir proveedor).
  4. Haz clic en Provider Type (Tipo de proveedor) y selecciona SAML.
  5. En Provider Name (Nombre del proveedor), escribe un nombre (por ejemplo, Google Workspace).

    Nota: El nombre del proveedor no puede contener espacios.

  6. Haz clic en Choose File (Elegir archivo) y selecciona el archivo de metadatos que has descargado en el paso 1.
  7. Haz clic en Add Provider (Agregar proveedor).

    En la página Identity Providers (Proveedores de identidades), el nombre del proveedor que has introducido, como Google Workspace, debe aparecer en la lista de proveedores de identidades.

  8. Haz clic en Roles (Roles)y luegoCreate role (Crear rol)y luegoTrusted entity type (Tipo de entidad de confianza)y luegoSAML 2.0 federation (Federación SAML 2.0).
  9. En el caso de la federación SAML 2.0, selecciona el nombre del proveedor de SAML que añadió anteriormente y elija una opción de acceso.
  10. Haz clic en Siguiente.
  11. En Permissions policies (Políticas de permisos), busca y elige políticas para conceder permisos a los usuarios que inicien sesión en Amazon Web Services mediante el SSO (por ejemplo, AdministratorAccess).
  12. Haz clic en Siguiente.
  13. En la sección Role details (Detalles del rol), introduce un nombre de rol (por ejemplo, GoogleSSO).
  14. Haz clic en Create role (Crear rol).
  15. En la página Roles, copia y guarda el ARN del proveedor de identidades del nombre del rol que has creado en el paso 12.
    Este valor es necesario para configurar el atributo de usuario personalizado de Amazon en el paso 4.
  16. Haz clic en el nombre del rol que creaste anteriormente.
  17. En la página Summary (Resumen), copia y guarda el ARN de rol.
    Este valor es necesario para configurar el atributo de usuario personalizado de Amazon en el paso 4.
Paso 3: Configura Google como proveedor de identidades SAML
  1. Inicia sesión con una cuenta de super administrador en Consola de administración de Google.

    Si no usas una cuenta de superadministrador, no podrás completar estos pasos.

  2. Ve a Menú y luego Aplicaciones > Aplicaciones web y móviles.
  3. Haz clic en Añadir aplicación y luegoBuscar aplicaciones.
  4. En Escribe el nombre de la aplicación, escribe Amazon Web Services.
  5. En los resultados de búsqueda, coloca el cursor sobre Amazon Web Services y haz clic en Seleccionar.
  6. En la ventana Google Identity Provider details (Detalles de proveedor de identidades de Google), haz clic en Continue (Continuar).
    En la página Datos del proveedor de servicios, los detalles de la aplicación están configurados de forma predeterminada.
  7. Haz clic en Continuar.
  8. En la ventana Asignación de atributos, haz clic en Seleccionar campo y asocia los siguientes atributos de directorio de Google a los atributos correspondientes de Amazon Web Services. Los atributos https://aws.amazon.com/SAML/Attributes/RoleSessionName y https://aws.amazon.com/SAML/Attributes/Role son obligatorios.
    Atributo de directorio de Google Atributo de Amazon Web Services
    Basic Information (Información básica) > Primary Email (Correo principal) https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Role* https://aws.amazon.com/SAML/Attributes/Role
    * El atributo personalizado que has creado en la sección Antes de empezar.
  9. (Opcional) Para añadir más asignaciones, haz clic en Añadir asignación y selecciona los campos que quieras asignar.
  10. (Opcional) Para introducir nombres de grupos que sean relevantes para esta aplicación, sigue estos pasos:
    1. En Pertenencia a un grupo (opcional), haz clic en Buscar un grupo, escribe una o varias letras del nombre del grupo y selecciona el nombre del grupo. ¡
    2. Añade más grupos según sea necesario (75 como máximo).
    3. En Atributo de aplicación, introduce el nombre del atributo de grupo del proveedor de servicios correspondiente.

    Independientemente del número de nombres que introduzcas, la respuesta de SAML solo incluirá los grupos a los que pertenezca el usuario (directamente o indirectamente). Consulta más información en el artículo Información sobre la asignación de pertenencia a grupos.

  11. Haz clic en Finalizar.
Paso 4: Activa la aplicación para los usuarios

Antes de empezar: Para activar o desactivar el servicio en cuentas de usuario concretas, incluye esas cuentas en una unidad organizativa si quieres controlar el acceso por departamento, o en un grupo de acceso si quieres controlar el acceso de determinados usuarios de varios departamentos o de un mismo departamento.

  1. Inicia sesión con una cuenta de super administrador en Consola de administración de Google.

    Si no usas una cuenta de superadministrador, no podrás completar estos pasos.

  2. Ve a Menú y luego Aplicaciones > Aplicaciones web y móviles.
  3. Haz clic en Amazon Web Services.
  4. Haz clic en Acceso de usuario.

  5. Para activar o desactivar un servicio en toda tu organización, haz clic en Activado para todos o en Desactivado para todos y, luego, en Guardar.

  6. (Opcional) Para activar o desactivar un servicio en una unidad organizativa, sigue estos pasos:
    1. En la parte izquierda, selecciona la unidad organizativa que quieras.
    2. Para cambiar el estado del servicio, selecciona Activado o Desactivado.
    3. Elige una opción:
      • Si el estado del servicio es Heredado y quieres mantener el nuevo ajuste aunque cambie el ajuste principal, haz clic en Anular.
      • Si el estado del servicio es Anulado, haz clic en Heredar para volver a aplicar el ajuste principal o en Guardar para conservar el nuevo ajuste aunque cambie el ajuste principal.
        Más información sobre la estructura organizativa
  7. (Opcional) Para activar un servicio en determinadas cuentas de usuario de varias unidades organizativas o de una misma unidad, selecciona un grupo de acceso. Consulta más información en el artículo Personalizar el acceso a servicios mediante grupos de acceso.
  8. Asegúrate de que los dominios de correo de tu cuenta de usuario de Amazon Web Services coincidan con el dominio principal de la cuenta de Google gestionada de tu organización.
  9. Para cada usuario que inicie sesión en Amazon Web Services mediante SSO, configura el atributo de usuario personalizado que has creado anteriormente:
    1. En la página de la cuenta del usuario, haz clic en Información del usuarioy luego el atributo personalizado de Amazon.
    2. En Rol), introduce el ARN del rol y el ARN del proveedor de identidades que has copiado en el paso 2, separados por una coma. Por ejemplo:

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. Haz clic en Guardar.
Paso 5: Verifica que el SSO funciona correctamente

Amazon Web Services solo admite los SSOs iniciados por el proveedor de identidades.

Verificar el SSO iniciado por el proveedor de identidades

Antes de empezar: comprueba que has iniciado sesión en la cuenta en la que has configurado Amazon Web Services.

  1. Inicia sesión con una cuenta de super administrador en Consola de administración de Google.

    Si no usas una cuenta de superadministrador, no podrás completar estos pasos.

  2. Ve a Menú y luego Aplicaciones > Aplicaciones web y móviles.
  3. Haz clic en Amazon Web Services.
  4. En la sección Amazon Web Services, haz clic en Probar inicio de sesión con SAML.

    La aplicación debería abrirse en una pestaña nueva. Si no es así, soluciona el mensaje de error y vuelve a intentarlo. Para obtener más información sobre cómo solucionar problemas, consulta el artículo Mensajes de error de aplicaciones SAML.

Paso 6: Configura el aprovisionamiento de usuarios
Como superadministrador, puedes aprovisionar usuarios automáticamente en la aplicación. Consulta información detallada en el artículo Configurar el aprovisionamiento de usuarios de Amazon Web Services.


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
929555539569526885
true
Buscar en el Centro de ayuda
false
true
true
true
true
true
73010
false
false
false
false