Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.
Con el lenguaje de marcado para confirmaciones de seguridad (SAML), tus usuarios pueden iniciar sesión en aplicaciones de empresa en la nube con sus credenciales de Google Cloud.
Configurar el inicio de sesión único mediante SAML en Amazon Web Services
A continuación, te indicamos cómo configurar el inicio de sesión único (SSO) mediante SAML en la aplicación Amazon Web Services.
Antes de empezarAntes de configurar el aprovisionamiento de usuarios, tienes que crear un atributo de usuario personalizado para Amazon Web Services. Sigue estos pasos:
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
- En la consola de administración, ve a Menú DirectorioUsuarios.
- En la parte superior de la lista Usuarios, haz clic en Más Gestionar atributos personalizados.
Requiere el privilegio de gestión de esquemas. - En la parte superior derecha, haz clic en Añadir atributo personalizado.
- Configura el atributo personalizado de la siguiente manera:
- Categoría: Amazon
- Descripción: Atributos personalizados de Amazon
En Campos personalizados, introduce los siguientes datos:
- Nombre: Rol
- Tipo de información: Texto
- Visibilidad: Visible para el usuario y el administrador
- N.º de valores: Varios valores
- Haz clic en Añadir.
La nueva categoría aparecerá en la página Gestionar atributos de usuario.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadAutenticaciónSSO con aplicaciones SAML.
Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.
- Descarga los Metadatos de proveedor de identidades.
Deja abierta la consola de administración; una vez que hayas completado el siguiente paso en la consola de gestión de Amazon, continuarás con la configuración del SSO.
- En una pestaña del navegador nueva, inicia sesión en la consola de gestión de AWS y abre la consola de IAM en https://console.aws.amazon.com/iam/.
- En el panel de navegación, selecciona Identity Providers > Create Provider (Proveedores de identidades > Crear proveedor).
- En Provider Type (Tipo de proveedor), selecciona SAML.
- Introduce un valor en Provider Name (Nombre del proveedor), como GoogleWorkspace.
- Haz clic en Choose File (Seleccionar archivo) y selecciona el archivo de metadatos de proveedor de identidades que descargaste en el paso 1 de este artículo.
- Haga clic en Continue Step (Continuar con el paso) y en Create (Crear).
En la tabla de proveedores de identidades de la página Identity Providers (Proveedores de identidades), debe aparecer GoogleWorkspace.
- En la barra lateral izquierda, haz clic en Roles > Create a New Role (Crear rol).
- En Set role name (Definir nombre de rol), introduce un nombre de rol.
- Haz clic en Continue step (Continuar con el paso).
- En la página Select Role Type (Seleccionar tipo de rol), en Role for Identity Provider Access (Rol para el acceso del proveedor de identidades), selecciona Grant Web Single Sign-On (WebSSO) access to SAML providers (Conceder acceso mediante inicio de sesión único web [WebSSO] a los proveedores de SAML).
- Haz clic en Continue step (Continuar con el paso).
- En la página Establish trust (Elegir el nivel de confianza), deja la configuración predeterminada y haz clic en Next Step (Siguiente paso).
- Elige políticas para conceder permisos a los usuarios que inicien sesión en AWS mediante el SSO de Google, como AdministratorAccess.
- Haz clic en Continue step (Continuar con el paso).
- En la página siguiente, copia y guarda el rol ARN, que contiene el ID de cuenta de AWS y el nombre del rol. Este valor es necesario para configurar el atributo de usuario personalizado de Amazon en el paso 4 de este artículo.
Example: arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- Haz clic en Create the Role (Crear el rol).
- Selecciona tu servicio de Google en la lista de proveedores de identidades y copia y guarda el ARN de proveedor. Este nombre de recurso contiene el ID de tu cuenta de AWS y el nombre del proveedor. Este valor es necesario para configurar el atributo de usuario personalizado de Amazon en el paso 4 de este artículo.
Ejemplo: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.
- Haz clic en Save (Guardar) para guardar los detalles de configuración de inicio de sesión único web federado.
- Vuelve a la pestaña del navegador en la que dejaste abierta la consola de administración.
-
En la consola de administración, ve a Menú AplicacionesAplicaciones web y móviles.
- Escribe Amazon Web Services en el campo de búsqueda.
- En los resultados de búsqueda, coloca el cursor sobre la aplicación SAML de Amazon Web Services y haz clic en Seleccionar.
- En la página Detalles de proveedor de identidades de Google, haz clic en Continuar.
En la página Datos del proveedor de servicios, los valores de los campos URL ACS e ID de entidad de Amazon Web Services ya están configurados de forma predeterminada.
- Haz clic en Continuar.
- En la página Asignación de atributos, haz clic en el menú Seleccionar campo y asigna los siguientes atributos de directorio de Google a los atributos correspondientes de Amazon Web Services:
Atributo de directorio de Google Atributo de Amazon Web Services Basic Information (Información básica) > Primary Email (Correo electrónico principal) https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > Rol* https://aws.amazon.com/SAML/Attributes/Role (*) Este atributo personalizado se ha creado en la sección Antes de empezar, que aparece más arriba.
-
(Opcional) Para introducir nombres de grupos que sean relevantes para esta aplicación, sigue estos pasos:
- En Pertenencia a un grupo (opcional), haz clic en Buscar un grupo, escribe una o varias letras del nombre del grupo y selecciona el nombre del grupo. ¡
- Añade más grupos según sea necesario (75 como máximo).
- En Atributo de aplicación, introduce el nombre del atributo de grupo del proveedor de servicios correspondiente.
Independientemente del número de nombres que introduzcas, la respuesta de SAML solo incluirá los grupos a los que pertenezca el usuario (directamente o indirectamente). Consulta más información en el artículo Información sobre la asignación de pertenencia a grupos.
- Haz clic en Finalizar.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú AplicacionesAplicaciones web y móviles.
- Selecciona Amazon Web Services.
-
Haz clic en Acceso de usuario.
-
Para activar o desactivar un servicio en toda tu organización, haz clic en Activado para todos o en Desactivado para todos y luego en Guardar.
-
(Opcional) Para activar o desactivar un servicio en una unidad organizativa, sigue estos pasos:
- En la parte izquierda, selecciona la unidad organizativa.
- Para cambiar el estado del servicio, selecciona Activado o Desactivado.
- Elige una opción:
- Si el estado del servicio es Heredado y quieres mantener el ajuste actualizado aunque cambie el ajuste principal, haz clic en Anular.
- Si el estado del servicio es Anulado, haz clic en Heredar para volver al mismo ajuste que la unidad organizativa superior o en Guardar para conservar el nuevo, incluso si cambia el ajuste de la organización principal.
Nota: Consulta más información sobre la estructura organizativa.
-
Para activar un servicio en determinadas cuentas de usuario de varias unidades organizativas o de una misma unidad, utiliza un grupo de acceso. Consulta más información en la sección sobre cómo activar servicios en grupos.
- Asegúrate de que los IDs de correo electrónico de tu cuenta de usuario de Amazon Web Services coincidan con los de tu dominio de Google.
- Para cada usuario que inicie sesión en AWS mediante SSO, configura el atributo de usuario personalizado que has creado en Antes de empezar:
- En la página de la cuenta del usuario, haz clic en Información del usuario.
- Haz clic en el atributo personalizado de Amazon.
- En el campo Role (Rol), añade el ARN de rol de AWS y el ARN del proveedor (tal como se copia en el paso 2 de este artículo) separados por comas, como se indica a continuación:
arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::NUMBER_NUMBER:proveedor/GoogleWorkspace
- Haz clic en Guardar.
Nota: Debes haberte conectado a la cuenta en la que hayas configurado Amazon Web Services.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú AplicacionesAplicaciones web y móviles.
- Selecciona Amazon Web Services.
- En la parte superior izquierda, haz clic en Probar inicio de sesión con SAML.
Amazon Web Services se abrirá en otra pestaña. Si no es así, con la información incluida en los mensajes de error de SAML que aparezcan, modifica la configuración de tu proveedor de identidades o de servicios según sea necesario y vuelve a probar el inicio de sesión con SAML.
No es necesario configurar el aprovisionamiento de usuarios en Amazon Web Services.
En AWS, los usuarios con acceso federado y autenticados con cualquier proveedor de identidades SAML 2.0 pueden iniciar sesión a través de un sistema basado en roles. Para indicar un rol, asigna el valor https://aws.amazon.com/SAML/Attributes/Role a un atributo personalizado de la cuenta de Amazon Web Services. Consulta el paso 3 de este artículo.
Después de crear esta asignación de roles, los usuarios con SSO de SAML habilitado pueden iniciar sesión en la consola de gestión de AWS con un rol específico de gestión de identidades y accesos (IAM) de AWS, sin tener que crear los usuarios IAM correspondientes en la consola de gestión.
Consulta la documentación de AWS para obtener más información sobre la asignación de roles de AWS.
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.