¿Cómo configuro OneLogin como proveedor de identidades de SAML con un grupo de usuarios de Amazon Cognito?

Breve descripción

Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de un tercero (federación), incluido un IdP de SAML, como OneLogin. Para obtener más información, consulte Agregar inicio de sesión de grupo de usuarios a través de un tercero y Agregar proveedores de identidad de SAML a un grupo de usuarios. Para configurar OneLogin como IdP de SAML, necesita un grupo de usuarios de Amazon Cognito y una cuenta de OneLogin con una aplicación.

Resolución

Creación de un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

Para obtener más información, consulte los siguientes artículos:

• Tutorial: Creación de un grupo de usuarios
• Configuración de la IU alojada con la consola de Amazon Cognito
• Configuración de un dominio del grupo de usuarios

Nota: Al crear un grupo de usuarios, el atributo estándar email se selecciona de forma predeterminada. Para obtener más información, consulte Atributos del grupo de usuarios.

Creación de una cuenta de OneLogin

1. Abra el sitio web de OneLogin y, a continuación, seleccione Prueba gratuita.
2. En la página de creación de la cuenta, en Su dominio de OneLogin, anote el dominio que proporciona OneLogin.

Creación de una aplicación de OneLogin

1. En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), seleccione Administración.
2. En la página de administración, coloque el cursor sobre Aplicaciones y, a continuación, elija Agregar aplicaciones.
3. En la barra de búsqueda, en Buscar aplicaciones, introduzca saml y, a continuación, seleccione Conector de prueba de SAML (IdP) para abrir la página Añadir conector de prueba de SAML (IdP).
4. (Opcional) En la página Añadir conector de prueba de SAML (IdP), complete cualquiera de los siguientes pasos:
   En Nombre de visualización, introduzca un nombre y una descripción. Por ejemplo, Configuración de Cognito (IdP).
   En Icono rectangular e Icono cuadrado, siga las especificaciones de la página para cargar los iconos de las miniaturas.
   En Descripción, introduzca una breve descripción resumida. Por ejemplo, Para el grupo de usuarios de Amazon Cognito.
5. Elija Guardar.

Edición de la configuración de la aplicación de OneLogin

1. En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), seleccione Configuración.
2. En la página Configuración, complete los siguientes pasos:
   En RelayState, introduzca una URL válida, como https://www.ejemplo.com.
   En Audiencia, introduzca urn:amazon:cognito:sp:yourUserPoolId.
   En Destinatario, introduzca https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   En Validador de URL de ACS (Consumer), introduzca https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   En URL de ACS (Consumer), introduzca https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Deje el campo URL de cierre de sesión único en blanco.
   Nota: En Audiencia, sustituya yourUserPoolId por su ID de grupo de usuarios de Amazon Cognito. Busque el ID en la consola de Amazon Cognito, en la pestaña Configuración general de la página de administración de su grupo de usuarios.
   En Validador de URL de ACS (Consumer) y URL de ACS (Consumer), sustituya yourDomainPrefix y region por los valores de su grupo de usuarios. Los encontrará en la consola de Amazon Cognito, en la pestaña Nombre de dominio de la página de administración de su grupo de usuarios.

Edición de los parámetros de la aplicación de OneLogin

1. En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), seleccione Parámetros.
   Nota: La página Parámetros muestra el parámetro NameID (fka Email) de forma predeterminada.
2. Para crear un parámetro nuevo y personalizado, seleccione Añadir parámetro.
3. En el cuadro de diálogo Campo nuevo, en Nombre del campo, introduzca http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.
4. En Indicadores, seleccione la casilla de verificación Incluir en la aserción de SAML.
5. Elija Guardar.
6. En Valor, seleccione Correo electrónico de la lista.
7. Elija Guardar.

Copia de los metadatos del IdP para su aplicación de OneLogin

1. En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), seleccione SSO.
2. En URL del emisor, copie la URL.
3. Elija Guardar.

Configuración de OneLogin como IdP de SAML en Amazon Cognito

Para configurar OneLogin como el IdP de SAML en Amazon Cognito, consulte Creación y administración de un proveedor de identidad de SAML para un grupo de usuarios (Consola de administración de AWS). Siga las instrucciones que aparecen en Para configurar un proveedor de identidad de SAML 2.0 en su grupo de usuarios. Cuando cree el IdP de SAML, en Documento de metadatos, introduzca la URL de emisor que ha copiado.

Asignación de la dirección de correo electrónico del atributo de IdP al atributo de grupo de usuarios

Para asignar la dirección de correo electrónico del atributo de IdP al atributo de grupo de usuarios, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios. Siga las instrucciones que se indican en Para especificar una asignación de atributos de un proveedor de SAML. Al añadir un atributo de SAML en Asignación de atributos, en Atributo de SAML, introduzca http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. En Atributo de grupo de usuarios, seleccione Email de la lista.

Cambio de la configuración del cliente de la aplicación en Amazon Cognito

Nota: Este es un ejemplo de configuración para fines de prueba. Para una configuración de producción, se recomienda utilizar el flujo de OAuth de concesión de código de autorización para la configuración del cliente de la aplicación. Cuando utiliza ese flujo, recibe un código de autorización después de la autenticación en su URL de redireccionamiento. Para intercambiar el código de autorización por los tokens web JSON (JWT), debe llevar a cabo una solicitud al punto de conexión del token.

1. En la consola de Amazon Cognito, en Integración de aplicaciones, seleccione Configuración del cliente de aplicación. A continuación, siga estos pasos:
   En Proveedores de identidades habilitados, seleccione la casilla de verificación Seleccionar todo.
   En Direcciones URL de devolución de llamada, introduzca una URL a la que quiera que se redirija a los usuarios después de iniciar sesión. Para realizar pruebas, introduzca cualquier URL válida, como https://www.ejemplo.com.
   En Direcciones URL de cierre de sesión, introduzca una URL a la que quiera que se redirija a los usuarios después de cerrar sesión. Para realizar pruebas, introduzca cualquier URL válida, como https://www.ejemplo.com.
   En Flujos de OAuth permitidos, active al menos la casilla de verificación Concesión implícita.
   En Ámbitos de OAuth permitidos, seleccione al menos las casillas de verificación de email y openid.
2. Seleccione Guardar cambios. Para obtener más información, consulte Actualización de un cliente de aplicación de grupo de usuarios (AWS CLI y API de AWS).

Prueba del punto de conexión de inicio de sesión

1. En el navegador, introduzca https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl.
   Nota: Sustituya yourDomainPrefix y region por los valores de su grupo de usuarios. Los encontrará en la consola de Amazon Cognito en la pestaña Nombre de dominio de la página de administración de su grupo de usuarios. Sustituya yourClientId por el ID de su cliente de aplicación y redirectUrl por la URL de devolución de llamada del cliente de aplicación. Los encontrará en la consola de Amazon Cognito, en la pestaña Configuración del cliente de la aplicación de la página de administración de su grupo de usuarios. Para obtener más información, consulte Punto de enlace de inicio de sesión.
2. Seleccione OneLogin.
   Nota: Si se le redirige a la URL de devolución de llamada del cliente de aplicación, significa que ya ha iniciado sesión en la cuenta de OneLogin en el navegador. Todo está configurado correctamente.
3. En la página de OneLogin, en Nombre de usuario, introduzca el nombre de usuario de su cuenta de OneLogin.
4. Seleccione Continuar.
5. En Contraseña, introduzca la contraseña de su cuenta de OneLogin.
6. Seleccione Continuar.

Información relacionada

Integración de proveedores de identidad de SAML de terceros con grupos de usuarios de Amazon Cognito

Flujo de autenticación de proveedores de identidad (IdP) de grupos de usuarios de SAML