¿Cómo configuro OneLogin como proveedor de identidades de SAML con un grupo de usuarios de Amazon Cognito?

7 minutos de lectura

Quiero usar OneLogin como proveedor de identidades (IdP) de Security Assertion Markup Language 2.0 (SAML 2.0) con un grupo de usuarios de Amazon Cognito.

Breve descripción

Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de un tercero (federación). incluido un IdP de SAML, como OneLogin. Para obtener más información, consulta Agregar inicio de sesión de grupo de usuarios a través de un tercero y Agregar proveedores de identidad de SAML a un grupo de usuarios. Para configurar OneLogin como IdP de SAML, necesitas un grupo de usuarios de Amazon Cognito y una cuenta de OneLogin con una aplicación.

Resolución

Creación de un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

Para obtener más información, consulta los siguientes artículos:

Nota: Al crear un grupo de usuarios, el atributo estándar email se selecciona de forma predeterminada. Para obtener más información, consulta Atributos del grupo de usuarios.

Creación de una cuenta de OneLogin

Abre el sitio web de OneLogin y, a continuación, selecciona Prueba gratuita.
En la página de creación de la cuenta, en Tu dominio de OneLogin, anota el dominio que proporciona OneLogin.

Creación de una aplicación de OneLogin

En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), selecciona Administración.
En la página de administración, coloca el cursor sobre Aplicaciones y, a continuación, elige Agregar aplicaciones.
En la barra de búsqueda, en Buscar aplicaciones, introduce saml y, a continuación, selecciona Conector de prueba de SAML (IdP) para abrir la página Añadir conector de prueba de SAML (IdP).
(Opcional) En la página Añadir conector de prueba de SAML (IdP), completa cualquiera de los siguientes pasos:
En Nombre de visualización, introduce un nombre y una descripción. Por ejemplo, Configuración de Cognito (IdP).
En Icono rectangular e Icono cuadrado, sigue las especificaciones de la página para cargar los iconos de las miniaturas.
En Descripción, introduce una breve descripción resumida. Por ejemplo, Para el grupo de usuarios de Amazon Cognito.
Elige Guardar.

Edición de la configuración de la aplicación de OneLogin

En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), selecciona Configuración.
En la página Configuración, completa los siguientes pasos:
En RelayState, introduce una URL válida, como https://www.ejemplo.com.
En Audiencia, introduce urn:amazon:cognito:sp:yourUserPoolId.
En Destinatario, introduce https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
En Validador de URL de ACS (Consumer), introduce https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
En URL de ACS (Consumer), introduce https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Deja el campo URL de cierre de sesión único en blanco.
Nota: En Audiencia, sustituye yourUserPoolId por tu ID de grupo de usuarios de Amazon Cognito. Busca el ID en la consola de Amazon Cognito, en la pestaña Configuración general de la página de administración de tu grupo de usuarios.
En Validador de URL de ACS (Consumer) y URL de ACS (Consumer), sustituye yourDomainPrefix y region por los valores de tu grupo de usuarios. Los encontrarás en la consola de Amazon Cognito, en la pestaña Nombre de dominio de la página de administración de tu grupo de usuarios.

Edición de los parámetros de la aplicación de OneLogin

En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), selecciona Parámetros.
Nota: La página Parámetros muestra el parámetro NameID (fka Email) de forma predeterminada.
Para crear un parámetro nuevo y personalizado, selecciona Añadir parámetro.
En el cuadro de diálogo Campo nuevo, en Nombre del campo, introduce http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.
En Indicadores, selecciona la casilla de verificación Incluir en la aserción de SAML.
Elige Guardar.
En Valor, selecciona Correo electrónico de la lista.
Elige Guardar.

Copia de los metadatos del IdP para tu aplicación de OneLogin

En la página del portal de OneLogin (https://your-new-domain.onelogin.com/portal/), selecciona SSO.
En URL del emisor, copia la URL.
Elige Guardar.

Configuración de OneLogin como IdP de SAML en Amazon Cognito

Para configurar OneLogin como el IdP de SAML en Amazon Cognito, consulta Creación y administración de un proveedor de identidad de SAML para un grupo de usuarios (Consola de administración de AWS). Sigue las instrucciones que aparecen en Para configurar un proveedor de identidad de SAML 2.0 en tu grupo de usuarios. Cuando crees el IdP de SAML, en Documento de metadatos, introduce la URL de emisor que hayas copiado.

Asignación de la dirección de correo electrónico del atributo de IdP al atributo de grupo de usuarios

Para asignar la dirección de correo electrónico del atributo de IdP al atributo de grupo de usuarios, consulta Especificación de asignaciones de atributos del proveedor de identidad para tu grupo de usuarios. Sigue las instrucciones que se indican en Para especificar una asignación de atributos de un proveedor de SAML. Al añadir un atributo de SAML en Asignación de atributos, en Atributo de SAML, introduce http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. En Atributo de grupo de usuarios, selecciona Email de la lista.

Cambio de la configuración del cliente de la aplicación en Amazon Cognito

Nota: Este es un ejemplo de configuración para fines de prueba. Para una configuración de producción, se recomienda utilizar el flujo de OAuth de concesión de código de autorización para la configuración del cliente de la aplicación. Cuando utilizas ese flujo, recibes un código de autorización después de la autenticación en tu URL de redireccionamiento. Para intercambiar el código de autorización por los tokens web JSON (JWT), debes llevar a cabo una solicitud en el punto de conexión del token.

En la consola de Amazon Cognito, en Integración de aplicaciones, selecciona Configuración del cliente de aplicación. A continuación, sigue estos pasos:
En Proveedores de identidades habilitados, selecciona la casilla de verificación Seleccionar todo.
En Direcciones URL de devolución de llamada, introduce una URL a la que quieras que se redirija a los usuarios después de iniciar sesión. Para realizar pruebas, introduce cualquier URL válida, como https://www.ejemplo.com.
En Direcciones URL de cierre de sesión, introduce una URL a la que quieras que se redirija a los usuarios después de cerrar sesión. Para realizar pruebas, introduce cualquier URL válida, como https://www.ejemplo.com.
En Flujos de OAuth permitidos, activa al menos la casilla de verificación Concesión implícita.
En Ámbitos de OAuth permitidos, selecciona al menos las casillas de verificación de email y openid.
Selecciona Guardar cambios. Para obtener más información, consulta Actualización de un cliente de aplicación de grupo de usuarios (AWS CLI y API de AWS).

Prueba del punto de conexión de inicio de sesión

En el navegador, introduce https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl.
Nota: Sustituye yourDomainPrefix y region por los valores de tu grupo de usuarios. Los encontrarás en la consola de Amazon Cognito en la pestaña Nombre de dominio de la página de administración de tu grupo de usuarios. Sustituye yourClientId por el ID de tu cliente de aplicación y redirectUrl por la URL de devolución de llamada del cliente de aplicación. Los encontrarás en la consola de Amazon Cognito, en la pestaña Configuración del cliente de la aplicación de la página de administración de tu grupo de usuarios. Para obtener más información, consulta Punto de enlace de inicio de sesión.
Selecciona OneLogin.
Nota: Si accedes a la URL de devolución de llamada del cliente de aplicación, significa que ya has iniciado sesión en la cuenta de OneLogin en el navegador. Todo está configurado correctamente.
En la página de OneLogin, en Nombre de usuario, introduce el nombre de usuario de tu cuenta de OneLogin.
Selecciona Continuar.
En Contraseña, introduce la contraseña de tu cuenta de OneLogin.
Selecciona Continuar.

Información relacionada

Integración de proveedores de identidad de SAML de terceros con grupos de usuarios de Amazon Cognito

Flujo de autenticación de proveedores de identidad (IdP) de grupos de usuarios de SAML

Temas: Security, Identity, & Compliance
Etiquetas: Amazon Cognito
Idioma: Español

OFICIAL DE AWSActualizada hace 3 años

Sin comentarios

Contenido relevante

Autenticación de usuarios en chat en Amazon Connect
Eric Vega
preguntada hace un año
Cognito lang=es
Daniel
preguntada hace un año
Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace 7 meses
No puedo acceder a mi cuenta de AWS porque mi correo ya no está disponible
rePost-User-3446361
preguntada hace un año
tengo un grupo asg con dos instancias c6i.xlarge y capacidad máxima 10 , me gustaría saber si estoy preparado para 20 k de usuarios concurrentes
GabGab
preguntada hace un mes
¿Cómo puedo configurar un proveedor de identidades SAML de terceros con un grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo configuro Auth0 como un proveedor de identidades SAML con un grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace un año
¿Cómo configuro AD FS como proveedor de identidades SAML con un grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace un año
¿Cómo configuro Okta como proveedor de identidades de SAML en un grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 7 meses