¿Cómo configuro Okta como proveedor de identidades de SAML en un grupo de usuarios de Amazon Cognito?

Breve descripción

Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de un tercero (federación), incluso a través de un IdP, como Okta. Para obtener más información, consulte Agregar inicio de sesión de grupo de usuarios a través de un tercero y Agregar proveedores de identidad SAML a un grupo de usuarios.

Un grupo de usuarios integrado con Okta permite a los usuarios de su aplicación Okta obtener los tokens del grupo de usuarios de Amazon Cognito. Para obtener más información, consulte Uso de tokens con grupos de usuarios.

Resolución

Crear un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

1. Cree un grupo de usuarios.
   Nota: Durante la creación, el atributo estándar email se selecciona de forma predeterminada. Para obtener más información, consulte Custom pool attributes.
2. Cree un cliente de aplicación en el grupo de usuarios. Para obtener más información, consulte Agregar un cliente de aplicación y configurar la interfaz de usuario alojada.
   Nota: Al agregar un cliente de aplicación, desactive la casilla Generar secreto de cliente. En ciertos flujos de autorización, como el flujo de concesión del código de autorización y el flujo de actualización de los tokens, los servidores de autorización utilizan un secreto de cliente de aplicación para autorizar al cliente a realizar solicitudes en nombre de un usuario. Para el flujo de concesión implícito utilizado en esta configuración, no se requiere un secreto de cliente de aplicación.
3. Añada un nombre de dominio para su grupo de usuarios.

Registrarse para obtener una cuenta de desarrollador de Okta

Nota: Si ya tiene una cuenta de desarrollador de Okta, inicie sesión.

1. En la página web de registro para desarrolladores de Okta, introduzca su información personal y, a continuación, seleccione SIGN UP. El equipo de desarrolladores de Okta le enviará un correo electrónico de verificación a la dirección de correo electrónico que ha proporcionado.
2. En el correo electrónico de verificación, busque la información de inicio de sesión de su cuenta. Elija ACTIVATE MY ACCOUNT, inicie sesión y termine de crear la cuenta.

Crear una aplicación SAML en Okta

1. Abra la consola para desarrolladores de Okta. Para obtener más información, consulte Okta's Redesigned Admin Console and Dashboard en el sitio web de Okta.
2. En el menú de navegación, expanda Applications y, a continuación, seleccione Applications.
3. Elija Create App Integration.
4. En el menú Create a new app integration, elija SAML 2.0 como método de inicio de sesión.
5. Seleccione Next.

Para obtener más información, consulte Prepare a SAML integration en la guía Build a Single Sign-On (SSO) Integration en el sitio web para desarrolladores de Okta.

Configurar la integración de SAML para una aplicación Okta

1. En la página Create SAML Integration, en General Settings, introduzca un nombre para la aplicación.
2. (Opcional) Suba un logotipo y elija la configuración de visibilidad de la aplicación.
3. Seleccione Next.
4. En GENERAL, en Single sign on URL, escriba https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Nota: Sustituya yourDomainPrefix y region por los valores de su grupo de usuarios. Busque estos valores en la consola de Amazon Cognito en la página Nombre de dominio de su grupo de usuarios.
5. Para Audience URI (SP Entity ID), escriba urn:amazon:cognito:sp:yourUserPoolId.
   Nota: Sustituya yourUserPoolId por el identificador del grupo de usuarios de Amazon Cognito. Busque este valor en la consola de Amazon Cognito, en la página Configuración general de su grupo de usuarios.
6. En ATTRIBUTE STATEMENTS (OPCIONAL), agregue una instrucción con la siguiente información:
   En Name, introduzca el nombre del atributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
   En Value, introduzca user.email.
7. Deje el resto de ajustes de la página como valores predeterminados o configúrelos según sus preferencias.
8. Seleccione Next.
9. Elija una respuesta a los comentarios para el servicio de asistencia de Okta.
10. Seleccione Finish.

Para obtener más información, consulte Create your integration en la guía Build a Single Sign-On (SSO) Integration del sitio web para desarrolladores de Okta.

Asignar un usuario a su aplicación Okta

1. En la pestaña Assignments de la aplicación Okta, en Assign, seleccione Assign to People.
2. Seleccione Assign junto al usuario que desee asignar.
   Nota: Si se trata de una cuenta nueva, la única opción disponible es elegirse a usted mismo (el administrador) como usuario.
3. (Opcional) En User Name, introduzca un nombre de usuario o déjelo como la dirección de correo electrónico del usuario, si lo desea.
4. Seleccione Save and Go Back. Su usuario está asignado.
5. Seleccione Done.

Para obtener más información, consulte Assign users en la guía Build a Single Sign-On (SSO) Integration del sitio web para desarrolladores de Okta.

Obtener los metadatos del IdP para su aplicación Okta

En la pestaña Sign On de su aplicación Okta, busque el hipervínculo Identity Provider metadata. Haga clic con el botón secundario en el hipervínculo y, a continuación, copie la URL.

Para obtener más información, consulte Specify your integration settings en la guía Build a Single Sign-On (SSO) Integration del sitio web para desarrolladores de Okta.

Configurar Okta como un IdP de SAML en su grupo de usuarios

1. En la consola de Amazon Cognito, seleccione Administrar los grupos de usuarios y, a continuación, elija su grupo de usuarios.
2. En el panel de navegación de la izquierda, en Federación, seleccione Proveedores de identidad.
3. Elija SAML.
4. En Documento de metadatos, pegue la URL de metadatos del proveedor de identidad que ha copiado.
5. En Nombre del proveedor, escriba Okta. Para obtener más información, consulte Elegir nombres de proveedor de identidad SAML.
6. (Opcional) Introduzca cualquier identificador de SAML (Identificadores [opcional]) y active el cierre de sesión desde el IdP (Okta) cuando los usuarios cierren sesión en el grupo de usuarios.
7. Elija Crear un proveedor.

Para obtener más información, consulte Creación y administración de un proveedor de identidad SAML para un grupo de usuarios (AWS Management Console).

Asignar la dirección de correo electrónico del atributo IdP al atributo de grupo de usuarios

1. En la consola de Amazon Cognito, seleccione Administrar los grupos de usuarios y, a continuación, elija su grupo de usuarios.
2. En el panel de navegación de la izquierda, en Federación, seleccione Asignación de atributos.
3. En la página de asignación de atributos, seleccione la pestaña SAML.
4. Elija Agregar un atributo SAML.
5. Para el atributo SAML, introduzca el nombre del atributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
6. En Atributo de grupo de usuarios, seleccione Correo electrónico de la lista.

Para obtener más información, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios.

Cambiar la configuración del cliente de aplicación para un grupo de usuarios

1. En la consola de Amazon Cognito, seleccione Administrar los grupos de usuarios y, a continuación, elija su grupo de usuarios.
2. En el panel de navegación de la izquierda, en Integración de aplicaciones, seleccione Configuración del cliente de aplicación.
3. En la página del cliente de aplicación, haga lo siguiente:
   En Proveedores de identidades habilitados, active las casillas Okta y Grupo de usuarios de Cognito.
   En Direcciones URL de devolución de llamada, introduzca la URL a la que desea que se redirijan los usuarios después de iniciar sesión. Para realizar pruebas, introduzca cualquier URL válida, como https://www.ejemplo.com/.
   En Direcciones URL de cierre de sesión, introduzca la URL a la que desea que se redirijan los usuarios después de cerrar sesión. Para realizar pruebas, introduzca cualquier URL válida, como https://www.ejemplo.com/.
   En Flujos de OAuth permitidos, asegúrese de seleccionar al menos la casilla de verificación Concesión implícita.
   En Ámbitos de OAuth permitidos, asegúrese de seleccionar al menos las casillas de verificación de Correo electrónico y OpenID.
4. Seleccione Guardar cambios.

Para obtener más información, consulte Terminología de la configuración del cliente de la aplicación.

Construir la URL del punto de conexión

Con los valores de su grupo de usuarios, cree esta URL del punto de conexión de inicio de sesión: https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Asegúrese de seguir estos pasos:

• Sustituya yourDomainPrefix y region por los valores de su grupo de usuarios. Busque estos valores en la consola de Amazon Cognito en la página Nombre de dominio de su grupo de usuarios.
• Sustituya yourClientId por el ID del cliente de su aplicación y redirectUrl por la URL de devolución de llamada del cliente de su aplicación. Busque estos valores en la consola de Amazon Cognito en la página Configuración del cliente de aplicación del grupo de usuarios.

Para obtener más información, consulte How do I configure the hosted web UI for Amazon Cognito? y Punto de conexión de inicio de sesión.

Probar la URL del punto de conexión

1. Introduzca la URL del punto de conexión de inicio de sesión creada en su navegador web.
2. En la página web del punto de conexión de inicio de sesión, seleccione Okta.
   Nota: Si se le redirige a la URL de devolución de llamada del cliente de aplicación, ya ha iniciado sesión en la cuenta de Okta en el navegador. Los tokens del grupo de usuarios aparecen en la URL de la barra de direcciones del navegador web.
3. En la página Sign In de Okta, introduzca el nombre de usuario y la contraseña del usuario que asignó a su aplicación.
4. Seleccione Sign in.

Tras iniciar sesión, se le redirigirá a la URL de devolución de llamada del cliente de aplicación. Los tokens del grupo de usuarios aparecen en la URL de la barra de direcciones del navegador web.

(Opcional) Omitir la interfaz de usuario alojada en Amazon Cognito

Si desea que sus usuarios se salten la interfaz de usuario web alojada en Amazon Cognito al iniciar sesión en su aplicación, utilice esta URL de punto de conexión en su lugar:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Asegúrese de seguir estos pasos:

• Sustituya yourDomainPrefix y region por los valores de su grupo de usuarios. Busque estos valores en la consola de Amazon Cognito en la página Nombre de dominio de su grupo de usuarios.
• Sustituya samlProviderName por el nombre del proveedor de SAML del grupo de usuarios (Okta).
• (Opcional) Si ha añadido un identificador para el IdP de SAML anteriormente en el campo Identifiers (opcional), sustituya identity_provider=samlProviderName por idp_identifier=idpIdentifier y sustituya idpIdentifier por su cadena de identificador personalizada.
• Sustituya yourClientId por el ID del cliente de su aplicación y redirectUrl por la URL de devolución de llamada del cliente de su aplicación. Busque estos valores en la consola de Amazon Cognito en la página Configuración del cliente de aplicación del grupo de usuarios.
• Sustituya allowedOauthScopes por los ámbitos específicos que desee que solicite el cliente de aplicación de Amazon Cognito. Por ejemplo, scope=email+openid.

Para obtener más información, consulte How do I configure the hosted web UI for Amazon Cognito? y Autorizar punto de conexión.

Información relacionada

Flujo de autenticación de proveedores de identidad (IdP) de grupos de usuarios de SAML

¿Cómo configuro un proveedor de identidades SAML externo con un grupo de usuarios de Amazon Cognito?

¿Cómo configuro Okta como proveedor de identidades de OpenID Connect en un grupo de usuarios de Amazon Cognito?