¿Cómo integro IAM Identity Center con un grupo de usuarios de Amazon Cognito?

Descripción breve

Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de IdP de terceros. Los usuarios pueden usar IAM Identity Center para federar mediante el IdP de Security Assertion Markup Language versión 2.0 (SAML 2.0). Para obtener más información, consulte How federated sign-in works in Amazon Cognito user pools (Cómo funciona el inicio de sesión federado en los grupos de usuarios de Amazon Cognito).

Un grupo de usuarios integrado con IAM Identity Center permite a los usuarios obtener los tokens del grupo de usuarios de Amazon Cognito. Para obtener más información, consulte Uso de tokens con grupos de usuarios.

Resolución

Para integrar un grupo de usuarios de Amazon Cognito con IAM Identity Center, siga los siguientes pasos.

Nota: Si ya tiene un grupo de usuarios con un cliente de aplicación, omita la siguiente sección.

Cree un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

1.    Cree un grupo de usuarios.

2.    Agregue un cliente de aplicación y configure la interfaz de usuario web alojada.

3.    Agregue un nombre de dominio para su grupo de usuarios.

Nota: Si ya tiene un entorno de IAM Identity Center en funcionamiento, omita la siguiente sección.

Activar IAM Identity Center y agregar un usuario

1.    Antes de activar IAM Identity Center, revise los requisitos previos y las consideraciones.

2.    Active IAM Identity Center.

3.    Elija el origen de identidad y cree un usuario.

Configurar una aplicación SAML desde la consola de IAM Identity Center

1.    Abra la consola de IAM Identity Center y, a continuación, en el panel de navegación, seleccione Applications (Aplicaciones).

2.    Elija Add application (Agregar aplicación) y Add custom SAML 2.0 application (Agregar aplicación SAML 2.0 personalizada); a continuación, elija Next (Siguiente).

3.    En la página Configure application (Configurar aplicación), ingrese un nombre en Display name (Nombre para mostrar) y una descripción en Description (Descripción).

4.    Copie la URL del archivo de metadatos SAML de IAM Identity Center o elija el hipervínculo Download (Descargar). Utilizará estos recursos en pasos posteriores para crear un IdP en un grupo de usuarios.

5.    En Application metadata (Metadatos de la aplicación), seleccione Manually type your metadata values (Escribir manualmente los valores de los metadatos). A continuación, proporcione los siguientes valores.

Importante: Asegúrese de reemplazar los valores de domain-prefix (prefijo de dominio), region (región) y userpool-id (identificador del grupo de usuarios) por información específica de su entorno.

URL del Servicio de consumidor de aserciones (ACS) de la aplicación: https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse Público SAML de la aplicación: urn:amazon:cognito:sp: <userpool-id>

6.    Elija Submit (Enviar). A continuación, vaya a la página Details (Detalles) de la aplicación que ha agregado.

7.    Seleccione la lista desplegable Actions (Acciones) y elija Edit attribute mappings (Editar asignaciones de atributos). A continuación, proporcione los siguientes atributos.

Atributo de usuario en la aplicación: subject (asunto)
Nota: el valor de subject (asunto) está rellenado previamente.
Maps to this string value or user attribute in IAM Identity Center (Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center): ${user.subject}
Format (Formato): Persistent (Persistente)

User attribute in the application (Atributo de usuario en la aplicación): email (correo electrónico)
Maps to this string value or user attribute in IAM Identity Center (Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center): ${user.email} Format (Formato): Basic (Básico)

Los atributos asignados se envían a Amazon Cognito al iniciar sesión. Asegúrese de que todos los atributos obligatorios de su grupo de usuarios estén asignados aquí. Para obtener más información sobre los atributos disponibles para la asignación, consulte Supported IAM Identity Center attributes (Atributos de IAM Identity Center compatibles).

8.    Guarde los cambios.

9.    Pulse el botón Assign Users (Asignar usuarios) y, a continuación, asigne su usuario a la aplicación.

Configurar IAM Identity Center como un IdP SAML en su grupo de usuarios

1.    Configure a SAML IdP in your user pool (Configure un IdP SAML en su grupo de usuarios). Aplique la siguiente configuración:

En Metadata document (Documento de metadatos), proporcione la URL de los metadatos o cargue el archivo que descargó en el paso 4 de la sección anterior. Para obtener más información, consulte Integración de proveedores de identidad SAML de terceros con grupos de usuarios de Amazon Cognito.

Ingrese el nombre de proveedor SAML. Para obtener más información, consulte Elegir nombres de proveedor de identidad SAML.

(Opcional) Ingrese cualquier identificador SAML.

2.    Configure una asignación de atributos del proveedor SAML. Aplique la siguiente configuración:

En el campo SAML attribute (Atributo SAML), proporcione un valor de email (correo electrónico) que coincida con el valor del atributo de usuario proporcionado en el paso 7 de la sección anterior. En el campo User pool attribute (Atributo del grupo de usuarios), seleccione Email (Correo electrónico) en la lista desplegable.

Nota: Agregue cualquier otro atributo configurado en IAM Identity Center en el paso 7 de la sección anterior.

3.    Guarde los cambios.

Integrar el IdP con el cliente de la aplicación del grupo de usuarios

1.    Inicie sesión en la nueva consola de Amazon Cognito.

2.    Elija User Pools (Grupos de usuarios) y seleccione un grupo de usuarios adecuado.

3.    Elija la pestaña App integration (Integración de aplicaciones) y, a continuación, elija App client list (Lista de clientes de aplicaciones).

4.    Seleccione el cliente de aplicación correspondiente.

5.    En la sección Hosted UI (Interfaz de usuario alojada), seleccione Edit (Editar).

6.    Seleccione el IdP apropiado.

7.    Guarde los cambios.

Probar la configuración

1.    Inicie una interfaz de usuario alojada o cree la URL del punto de conexión de inicio de sesión mediante el siguiente patrón de nombres:

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

Por ejemplo: https://mi-grupo-usuarios.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://ejemplo.com

En OAuth 2.0 grant types (Tipos de concesión de OAuth 2.0), seleccione Authorization code grant (Concesión de código de autorización) para que el punto de conexión de inicio de sesión solicite a Amazon Cognito que devuelva los códigos de autorización cuando los usuarios inicien sesión. En OAuth 2.0 grant types (Tipos de concesión de OAuth 2.0), elija Implicit grant (Concesión implícita) para que Amazon Cognito devuelva los tokens de acceso cuando los usuarios inicien sesión. A continuación, reemplace response_type=code por response_type=token en la URL.

2.    Elija IAM IdC (IdC de IAM).

Si se le redirige a la URL de devolución de llamada del cliente de la aplicación, significa que ya ha iniciado sesión como usuario en el navegador. Los identificadores del grupo de usuarios aparecen directamente en la URL de la barra de direcciones del navegador web.

Nota: Para omitir este paso, cree una URL de punto de conexión de autorización con el siguiente patrón de nomenclatura:
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    Ingrese las credenciales de usuario y seleccione Login (Iniciar sesión).

4.    Cuando se le redirija a la URL de devolución de llamada que incluye un código o un token de Amazon Cognito en la barra de direcciones del navegador, se habrá completado la configuración.

Nota: Amazon Cognito solo admite los inicios de sesión iniciados por el proveedor de servicios (SP). Debe utilizar el punto de conexión de inicio de sesión o el punto de conexión autorizado para probar la configuración. No funciona un inicio de sesión iniciado por un IdP en el portal de acceso de AWS para IAM Identity Center.

---