Aplicación en la nube Amazon Web Services

Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

Con el lenguaje de marcado para confirmaciones de seguridad (SAML), tus usuarios pueden usar sus credenciales de Google Cloud para iniciar sesión en aplicaciones de empresa en la nube.

Configurar el inicio de sesión único mediante SAML en Amazon Web Services

A continuación, te indicamos cómo configurar el inicio de sesión único (SSO) mediante SAML en la aplicación Amazon Web Services.

Antes de empezar

Antes de configurar el aprovisionamiento de usuarios, tienes que crear un atributo de usuario personalizado para Amazon Web Services. Sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Usuarios.
  3. En la parte superior de la lista Usuarios, haz clic en Gestionar atributos de usuario "".
  4. En la parte superior derecha, haz clic en Añadir atributo personalizado.
  5. Configura el atributo personalizado de la siguiente manera:
    • Categoría: Amazon
    • Descripción: Atributos personalizados de Amazon

    En Campos personalizados, introduce los siguientes datos:

    • Nombre: Rol
    • Tipo de información: Texto
    • Visibilidad: Visible para el usuario y el administrador
    • N.º de valores: Varios valores
  6. Haz clic en Añadir.

    La nueva categoría aparecerá en la página Gestionar atributos de usuario.

Paso 1: Descarga la información de proveedor de identidades de Google
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configurar el inicio de sesión único (SSO) en aplicaciones SAML.

    Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

  3. Descarga los Metadatos de proveedor de identidades.

Deja abierta la consola de administración; una vez que hayas completado el siguiente paso en la consola de gestión de Amazon, continuarás con la configuración del SSO.

Paso 2: Configura Amazon Web Services como proveedor de servicios SAML 2.0
  1. En una pestaña del navegador nueva, inicia sesión en la consola de gestión de AWS y abre la consola de IAM en https://console.aws.amazon.com/iam/.
  2. En el panel de navegación, selecciona Identity Providers > Create Provider (Proveedores de identidades > Crear proveedor).
  3. En Provider Type (Tipo de proveedor), selecciona SAML.
  4. Introduce un valor en Provider Name (Nombre del proveedor), como GoogleApps.
  5. Haz clic en Choose File (Seleccionar archivo) y selecciona el archivo de metadatos de proveedor de identidades que descargaste en el paso 1 de este artículo.
  6. Haga clic en Continue Step (Continuar con el paso) y en Create (Crear).

    En la tabla de proveedores de identidades de la página Identity Providers (Proveedores de identidades), debe aparecer GoogleApps.

  7. En la barra lateral izquierda, haz clic en Roles > Create a New Role (Crear rol).
  8. En Set role name (Definir nombre de rol), introduce un nombre de rol.
  9. Haz clic en Continue step (Continuar con el paso).
  10. En la página Select Role Type (Seleccionar tipo de rol), en Role for Identity Provider Access (Rol para el acceso del proveedor de identidades), selecciona Grant Web Single Sign-On (WebSSO) access to SAML providers (Conceder acceso mediante inicio de sesión único web [WebSSO] a los proveedores de SAML). 
  11. Haz clic en Continue step (Continuar con el paso).
  12. En la página Establish trust (Elegir el nivel de confianza), deja la configuración predeterminada y haz clic en Next Step (Siguiente paso).
  13. Elige políticas para conceder permisos a los usuarios que inicien sesión en AWS mediante el SSO de Google, como AdministratorAccess. 
  14. Haz clic en Continue step (Continuar con el paso).
  15. En la página siguiente, anota el nombre de recurso de Amazon (ARN) del rol, que contiene tu ID de cuenta de AWS y el nombre del rol.

    Ejemplo: arn:aws:iam::NÚMERO_DE_CUENTA:role/SSO

  16. Haz clic en Create the Role (Crear el rol).
  17. En la lista de proveedores de identidades, selecciona Google y anota el ARN de proveedor. Este nombre de recurso contiene el ID de tu cuenta de AWS y el nombre de proveedor.

    Ejemplo: arn:aws:iam::NÚMERO_DE_CUENTA:saml-provider/GoogleApps.

  18. Haz clic en Save (Guardar) para guardar los detalles de configuración de inicio de sesión único web federado.
Paso 3: Configura Google como proveedor de identidades SAML
  1. Vuelve a la pestaña del navegador en la que dejaste abierta la consola de administración.
  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones web y móviles.
  3. Escribe Amazon Web Services en el campo de búsqueda.
  4. En los resultados de búsqueda, coloca el cursor sobre la aplicación SAML de Amazon Web Services y haz clic en Seleccionar.
  5. En la página Detalles de proveedor de identidades de Google, haz clic en Continuar.

    En la página Datos del proveedor de servicios, los valores de los campos URL ACS e ID de entidad de Amazon Web Services ya están configurados de forma predeterminada.

  6. Haz clic en Continuar.
  7. En la página Asignación de atributos, haz clic en el menú Seleccionar campo y asigna los siguientes atributos de directorio de Google a los atributos correspondientes de Amazon Web Services:
     
    Atributo de directorio de Google Atributo de Amazon Web Services
    Basic Information (Información básica) > Primary Email (Correo electrónico principal) https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Rol* https://aws.amazon.com/SAML/Attributes/Role

    (*) Este atributo personalizado se ha creado en la sección Antes de empezar, que aparece más arriba.

  8. Haz clic en Finalizar.
Paso 4: Habilita la aplicación Amazon Web Services
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones web y móviles.
  3. Selecciona Amazon Web Services.
  4. Haz clic en Acceso de usuario.
  5. Para activar o desactivar un servicio en toda tu organización, haz clic en Activado para todos o en Desactivado para todos y, a continuación, haz clic en Guardar.

  6. Para activar o desactivar un servicio solo en una unidad organizativa, sigue estos pasos:

    1. En la parte izquierda, selecciona la unidad organizativa que quieras.
    2. Selecciona Activado o Desactivado.
    3. Para que el servicio siga activado o desactivado independientemente de si lo está en la unidad organizativa superior, haz clic en Anular.
    4. Si el estado de la organización ya es Anulado, selecciona una de estas opciones:
      • Heredar: el ajuste pasa a ser el de la unidad organizativa superior.
      • Guardar: se guarda el nuevo ajuste, aunque cambie el de la unidad organizativa superior.

    Más información sobre la estructura organizativa

  7. Activa un servicio en un grupo de usuarios (opcional).
    Puedes utilizar grupos de acceso para activar un servicio concreto en una o varias unidades organizativas. Más información

  8. Asegúrate de que los ID de correo electrónico de tu cuenta de usuario de Amazon Web Services coincidan con los de tu dominio de Google.
Paso 5: Comprueba que el SSO funcione entre Google Workspace y Amazon Web Services (solo Google Workspace)

Nota: Debes haberte conectado a la cuenta en la que has configurado Amazon Web Services.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones web y móviles.
  3. Selecciona Amazon Web Services.
  4. En la parte superior izquierda, haz clic en Probar inicio de sesión con SAML

    Amazon Web Services se abrirá en otra pestaña. Si no es así, con la información incluida en los mensajes de error de SAML que aparezcan, modifica la configuración de tu proveedor de identidades o de servicios según sea necesario y vuelve a probar el inicio de sesión con SAML.

Paso 6: Configura el aprovisionamiento de usuarios

No es necesario configurar el aprovisionamiento de usuarios en Amazon Web Services.

En AWS, los usuarios con acceso federado y autenticados con cualquier proveedor de identidades SAML 2.0 pueden iniciar sesión a través de un sistema basado en roles. Para indicar un rol, asigna el valor https://aws.amazon.com/SAML/Attributes/Role a un atributo personalizado de la cuenta de Amazon Web Services. Consulta el paso 3 de este artículo.

Después de crear esta asignación de roles, los usuarios con SSO de SAML habilitado pueden iniciar sesión en la consola de gestión de AWS con un rol específico de gestión de identidades y accesos (IAM) de AWS, sin tener que crear los usuarios IAM correspondientes en la consola de gestión.

Consulta la documentación de AWS para obtener más información sobre la asignación de roles de AWS.



Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.

true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
Buscar en el Centro de ayuda
true
73010
false