¿Cómo integro IAM Identity Center con un grupo de usuarios de Amazon Cognito?

Breve descripción

Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de IdP de terceros. Los usuarios pueden usar IAM Identity Center para federar mediante el IdP de la versión 2.0 de Lenguaje de marcado para confirmaciones de seguridad (SAML 2.0). Para obtener más información, consulte Cómo funciona el inicio de sesión federado en los grupos de usuarios de Amazon Cognito.

Un grupo de usuarios integrado con IAM Identity Center permite a los usuarios obtener los tokens del grupo de usuarios de Amazon Cognito. Para obtener más información, consulte Uso de tokens con grupos de usuarios.

Solución

Para integrar un grupo de usuarios de Amazon Cognito con IAM Identity Center, siga los siguientes pasos.

Nota: Si ya tiene un grupo de usuarios con un cliente de aplicación, omita la siguiente sección.

Crear un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

1.    Cree un grupo de usuarios.

2.    Agregue un cliente de aplicación y configure la interfaz de usuario web alojada.

3.    Agregue un nombre de dominio para su grupo de usuarios.

Nota: Si ya tiene un entorno de IAM Identity Center en funcionamiento, omita la siguiente sección.

Activar IAM Identity Center y agregar un usuario

1.    Antes de activar IAM Identity Center, revise los requisitos previos y las consideraciones.

2.    Active IAM Identity Center.

3.    Elija el origen de identidad y cree un usuario.

Configurar una aplicación SAML desde la consola de IAM Identity Center

1.    Abra la consola de IAM Identity Center y, a continuación, en el panel de navegación, seleccione Aplicaciones.

2.    Elija Agregar aplicación y Agregar aplicación SAML 2.0 personalizada y, a continuación, elija Siguiente.

3.    En la página Configurar la aplicación, introduzca un nombre de visualización y una descripción.

4.    Copie la URL del archivo de metadatos SAML de IAM Identity Center o elija el hipervínculo Descargar. Utilizará estos recursos en pasos posteriores para crear un IdP en un grupo de usuarios.

5.    En Metadatos de la aplicación, elija Escribir manualmente los valores de los metadatos. A continuación, proporcione los siguientes valores.

Importante: Asegúrese de reemplazar los valores de domain-prefix, region y userpool-id por información específica de su entorno.

URL del Servicio de consumidor de aserciones (ACS) de la aplicación: https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
Público SAML de la aplicación: urn:amazon:cognito:sp:<userpool-id>

6.    Elija Enviar. A continuación, vaya a la página Detalles de la aplicación que ha agregado.

7.    Seleccione la lista desplegable Acciones y elija Editar las asignaciones de atributos. A continuación, proporcione los siguientes atributos.

Atributo de usuario en la aplicación: asunto
**Nota: el valor de ** asunto está rellenado previamente.
Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center: ${user:subject}
Formato: Persistente

Atributo de usuario en la aplicación: correo electrónico
Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center: ${user:email}
Formato: Básico

Los atributos asignados se envían a Amazon Cognito al iniciar sesión. Asegúrese de que todos los atributos obligatorios de su grupo de usuarios estén asignados aquí. Para obtener más información sobre los atributos disponibles para la asignación, consulte Supported IAM Identity Center attributes.

8.    Guarde los cambios.

9.    Pulse el botón Asignar usuarios y, a continuación, asigne su usuario a la aplicación.

Configurar IAM Identity Center como un IdP SAML en su grupo de usuarios

1.    Configure un IdP SAML en su grupo de usuarios. Aplique la siguiente configuración:

En Documento de metadatos, proporcione la URL de los metadatos o cargue el archivo que descargó en el paso 4 de la sección anterior. Para obtener más información, consulte Integración de proveedores de identidad SAML de terceros con grupos de usuarios de Amazon Cognito.

Ingrese el nombre de proveedor SAML. Para obtener más información, consulte Elegir nombres de proveedor de identidad SAML.

(Opcional) Ingrese cualquier identificador SAML.

2.    Configure una asignación de atributos del proveedor SAML. Aplique la siguiente configuración:

En el campo Atributo SAML, proporcione un valor de correo electrónico que coincida con el valor del atributo de usuario proporcionado en el paso 7 de la sección anterior. En el campo Atributo de grupo de usuarios, seleccione Correo electrónico en la lista desplegable.

Nota: Agregue cualquier otro atributo configurado en IAM Identity Center en el paso 7 de la sección anterior.

3.    Guarde los cambios.

Integrar el IdP con el cliente de la aplicación del grupo de usuarios

1.    Inicie sesión en la nueva consola de Amazon Cognito.

2.    Elija Grupos de usuarios y seleccione un grupo de usuarios adecuado.

3.    Elija la pestaña Integración de aplicaciones y, a continuación, elija Lista de clientes de aplicación.

4.    Seleccione el cliente de aplicación correspondiente.

5.    En la sección Interfaz de usuario alojada, seleccione Editar.

6.    Seleccione el IdP correspondiente.

7.    Guarde los cambios.

Probar la configuración

1.    Inicie una interfaz de usuario alojada o cree la URL del punto de conexión de inicio de sesión mediante el siguiente patrón de nomenclatura:

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

Por ejemplo: https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

En Tipos de concesión de OAuth 2.0 seleccione Concesión de código de autorización para que el punto de conexión de inicio de sesión solicite a Amazon Cognito que devuelva los códigos de autorización cuando los usuarios inicien sesión. En Tipos de concesión de OAuth 2.0, elija Concesión implícita para que Amazon Cognito devuelva los tokens de acceso cuando los usuarios inicien sesión. A continuación, reemplace response_type=code por response_type=token en la URL.

2.    Elija IAM IdC.

Si se le redirige a la URL de devolución de llamada del cliente de la aplicación, significa que ya ha iniciado sesión como usuario en el navegador. Los tokens del grupo de usuarios aparecen directamente en la URL de la barra de direcciones del navegador web.

Nota: Para omitir este paso, cree una **URL de punto de conexión de autorización **con el siguiente patrón de nomenclatura:
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    Ingrese las credenciales de usuario y seleccione Iniciar sesión.

4.    Cuando se le redirija a la URL de devolución de llamada que incluye un código o un token de Amazon Cognito en la barra de direcciones del navegador, se habrá completado la configuración.

Nota: Amazon Cognito solo admite los inicios de sesión iniciados por el proveedor de servicios (SP). Debe utilizar el punto de conexión de inicio de sesión o el punto de conexión autorizado para probar la configuración. No funciona un inicio de sesión iniciado por un IdP en el portal de acceso de AWS para IAM Identity Center.