Aspectos generales

¿Qué es AWS Single Sign-On (AWS SSO)?

AWS SSO es un servicio de AWS que le permite usar sus credenciales existentes de Microsoft Active Directory para obtener acceso a aplicaciones basadas en la nube, como aplicaciones empresariales y cuentas de AWS (Office 365, Salesforce, Box), mediante Single Sign-On (SSO).

¿Qué beneficios ofrece AWS SSO?

Puede usar AWS SSO para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS, aplicaciones en la nube que admitan SAML (como Salesforce, Office 365 y Box) y aplicaciones internas personalizadas, todo desde una ubicación centralizada. Los empleados pueden aumentar el nivel de productividad iniciando sesión con sus credenciales corporativas existentes de Active Directory o con las credenciales que usted configure en AWS SSO para obtener acceso a sus aplicaciones desde el portal de usuario personalizado. Desde ahora, los empleados no tendrán que recordar varios grupos de credenciales ni las direcciones URL de acceso a aplicaciones en la nube, y los empleados nuevos podrán ser productivos desde el primer día laboral. Una vez que haya agregado usuarios al grupo correspondiente en su directorio, estos obtendrán acceso a cuentas y aplicaciones activadas para los miembros de dicho grupo de manera automática. Obtendrá una mejor visibilidad del uso de las aplicaciones en la nube porque podrá monitorizar y auditar la actividad de inicio de sesión de manera centralizada desde AWS CloudTrail.

¿Qué problemas resuelve AWS SSO?

AWS SSO elimina la complejidad administrativa de las soluciones de SSO personalizadas que utiliza para conceder y administrar identidades en aplicaciones empresariales y cuentas de AWS. Como utiliza varias cuentas de AWS y añade cuentas con frecuencia, la configuración de SSO con los servicios federados de Active Directory (AD FS) para obtener acceso a estas cuentas implica aprender el lenguaje de programación de notificaciones de AD FS personalizado. También necesita preparar las cuentas de AWS con los permisos necesarios para obtener acceso a dichas cuentas. AWS SSO se encuentra disponible sin costo adicional y reduce el nivel de complejidad de la configuración repetitiva y la administración irregular mediante una integración estrecha con AWS. Si utiliza contraseñas independientes para obtener acceso a diferentes aplicaciones en la nube o cuentas de AWS, AWS SSO simplifica la experiencia del usuario y mejora el nivel de seguridad mediante la eliminación de contraseñas individuales necesarias para cada aplicación empresarial en la nube o cuenta de AWS. AWS SSO también resuelve el problema de la visibilidad limitada del acceso a sus aplicaciones de la nube mediante la integración con AWS CloudTrail y el suministro de una ubicación centralizada para auditar el acceso SSO a cuentas de AWS y aplicaciones en la nube que admitan SAML, como Office 365, Salesforce y Box.

¿Por qué debería usar AWS SSO?

Debería usar AWS SSO para aumentar rápidamente el nivel de productividad de sus empleados mediante la concesión de acceso a aplicaciones empresariales en la nube y cuentas de AWS, sin la necesidad de escribir scripts personalizados ni invertir en soluciones de SSO de uso general. También debería usar AWS SSO para reducir el costo y la complejidad administrativa que implican la configuración y la administración del acceso SSO.

AWS SSO es el lugar donde los empleados pueden obtener acceso a las aplicaciones y cuentas de AWS que necesiten durante el transcurso de la jornada laboral desde el portal del usuario de AWS SSO, independientemente de la ubicación en la que se hayan creado las aplicaciones o de dónde se encuentren alojadas.

¿Qué puedo hacer con AWS SSO?

Puede usar AWS SSO para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS administradas con AWS Organizations, aplicaciones empresariales en la nube (como Salesforce, Office 365 y Box) y aplicaciones personalizadas que admitan lenguaje de marcado de aserción de seguridad (SAML) 2.0. Los empleados pueden iniciar sesión con sus credenciales corporativas existentes o con las credenciales que configuren en AWS SSO para obtener acceso a las aplicaciones empresariales desde un único portal de usuario. AWS SSO también le permite auditar el acceso de los usuarios a servicios en la nube mediante AWS CloudTrail.

¿Quién debería utilizar AWS SSO?

AWS SSO está diseñado para administradores que administran varias aplicaciones empresariales y cuentas de AWS, que desean centralizar la administración del acceso de los usuarios a dichos servicios de la nube y que quieran conceder a los empleados una única ubicación para obtener acceso a las cuentas y aplicaciones sin necesidad de tener que recordar una contraseña más.

¿Cómo puedo empezar a usar AWS SSO?

Como cliente nuevo de AWS SSO, debe:

  1. Inicie sesión en la consola de administración de AWS de la cuenta maestra en su cuenta de AWS y vaya hasta la consola de AWS SSO.
  2. Seleccione el directorio que usa para almacenar las identidades de sus usuarios y sus grupos desde la consola de AWS SSO. AWS SSO le suministra un directorio de forma predeterminada que puede usar para administrar los usuarios y los grupos en AWS SSO. También puede cambiar el directorio para conectarse a un directorio de Microsoft AD haciendo clic en una lista de instancias administradas de Microsoft AD y AD Connector que AWS SSO encuentra en su cuenta automáticamente. Si desea conectarse a un directorio de Microsoft AD, consulte Introducción a AWS Directory Service.
  3. Para conceder a los usuarios acceso SSO a cuentas de AWS en su organización, debe seleccionar las cuentas de AWS a partir de una lista que AWS SSO completa y, a continuación, seleccionar los usuarios o los grupos de su directorio, además de los permisos que desea otorgarles. 
  4. Para otorgar a los usuarios acceso a aplicaciones empresariales en la nube, debe realizar lo siguiente:
    1. Seleccionar una de las aplicaciones de la lista de aplicaciones preintegradas que se admiten en AWS SSO
    2. Configurar la aplicación con las instrucciones correspondientes
    3. Seleccionar los usuarios o los grupos que deberían poder acceder a la aplicación
  5. Suministre a sus usuarios la dirección web de inicio de sesión de AWS SSO que se generó cuando configuró el directorio para que puedan iniciar sesión en AWS SSO y acceder a cuentas y aplicaciones empresariales.

¿Cuánto cuesta AWS SSO?

AWS SSO se ofrece sin cargo adicional.

¿En qué regiones de AWS se encuentra disponible AWS SSO?

Vaya a la tabla de regiones de AWS para consultar la disponibilidad de AWS SSO por región.

Compatibilidad con aplicaciones y directorios

¿Qué directorios puedo usar con AWS SSO?

Puede usar el directorio que le suministra AWS SSO de forma predeterminada para crear y administrar los usuarios en AWS SSO. De otra manera, puede conectar AWS SSO con Microsoft Active Directory, independientemente de si se ejecuta en las instalaciones o en la nube de AWS. AWS SSO es compatible con AWS Directory Service para Microsoft Active Directory, también conocido como AWS Managed Microsoft AD, y con AD Connector. AWS SSO no es compatible con Simple AD. Consulte Introducción a AWS Directory Service para obtener más información.

¿Puedo usar mis grupos de usuarios de Amazon Cognito como el directorio conectado en AWS SSO?

Por ahora no. Hoy en día, AWS SSO admite la creación y la administración de usuarios de AWS SSO o la conexión a Microsoft Active Directory. Es posible que se agreguen otros tipos de directorios con el transcurso del tiempo en función de los pedidos y los comentarios de los clientes.

¿A qué aplicaciones basadas en la nube puedo conectarme con AWS SSO?

Puede conectar las siguientes aplicaciones a AWS SSO:

  1. Consola de administración de AWS: puede configurar el acceso SSO a la consola de administración de AWS.
  2. Aplicaciones SaaS de terceros: AWS SSO incluye integraciones previas con aplicaciones empresariales de uso general. Si desea consultar la lista completa, vaya a la consola de AWS SSO.
  3. Aplicaciones compatibles con SAML personalizadas: AWS SSO admite aplicaciones que permiten la identidad federada mediante SAML 2.0. En el caso de las aplicaciones que no estén integradas previamente con AWS SSO, puede configurar Single Sign-On mediante el asistente de aplicaciones personalizadas de AWS SSO.

Administro usuarios y grupos en Active Directory on-premise. ¿Cómo puedo conectar mi directorio a AWS SSO? 

Tiene dos opciones para conectar Active Directory alojado on-premise a AWS SSO: (1) usar una relación de confianza de AWS Managed Microsoft AD, o (2) utilizar el AD Connector.

AWS Managed Microsoft AD crea un Active Directory completamente administrado en la nube de AWS y se puede usar para configurar una relación de confianza de bosque entre su directorio on-premise y AWS Managed Microsoft AD. Si desea configurar una relación de confianza, consulte Cuándo crear una relación de confianza.

El AD Connector es una gateway de directorios que permite redireccionar solicitudes de directorios al Microsoft Active Directory on-premise sin almacenar en caché ninguna información en la nube. Si desea conectar un directorio on-premise mediante el AD Connector, consulte AD Connector.

Administro usuarios y grupos en AWS Identity and Access Management (IAM). ¿Puedo conectar mi directorio a AWS SSO? 

Actualmente, AWS SSO no admite grupos ni usuarios de AWS IAM.

¿Puedo conectar más de un directorio a AWS SSO? 

No. Solo puede tener un directorio conectado a AWS SSO por vez. Sin embargo, puede cambiar el directorio que está conectado por otro.

Acceso SSO a cuentas de AWS

¿Qué cuentas de AWS puedo conectar a AWS SSO?

Puede añadir cualquier cuenta de AWS administrada mediante AWS Organizations a AWS SSO. Debe activar todas las características en sus organizaciones para administrar el SSO de sus cuentas.

¿Cómo configuro el SSO a cuentas de AWS en una unidad organizativa (OU) dentro de mi organización?

Puede elegir cuentas dentro de la organización o filtrar cuentas por OU.

¿Cómo controlo los permisos que obtienen mis usuarios cuando usan SSO para obtener acceso a su cuenta?

Cuando concede acceso SSO a los usuarios, puede restringir los permisos de los usuarios mediante la selección de un conjunto de permisos. Los conjuntos de permisos son una colección de permisos que puede crear en AWS SSO, adaptar en función de las políticas administradas de AWS para funciones de trabajo o de cualquier política administrada de AWS. Las políticas administradas de AWS para funciones de trabajo están diseñadas para alinearse estrechamente con funciones de trabajo comunes de la industria de TI. De ser necesario, también puede personalizar el conjunto de permisos en su totalidad para adaptarlo a sus requisitos de seguridad. AWS SSO implementa estos permisos en las cuentas seleccionadas automáticamente. Cuando modifique los conjuntos de permisos, AWS SSO le permite implementar los cambios en las cuentas correspondientes con facilidad. Cuando los usuarios obtienen acceso a las cuentas mediante el portal de usuario de AWS SSO, estos permisos restringen lo que pueden hacer dentro de dichas cuentas. También puede conceder varios conjuntos de permisos a los usuarios. Cuando obtienen acceso a la cuenta mediante el portal de usuario, pueden seleccionar el conjunto de permisos que desean utilizar para dicha sesión.

¿Para qué cuentas de AWS puedo obtener credenciales de la interfaz de la línea de comandos (CLI) de AWS?

Puede obtener credenciales de la CLI de AWS para cualquier permiso de usuario y cuenta de AWS que el administrador de AWS SSO le haya asignado. Estas credenciales de CLI se pueden usar para obtener acceso a la cuenta de AWS mediante programación.

¿Cuál es el período de validez de las credenciales de la interfaz de línea de comandos de AWS del portal de usuarios de AWS SSO?

Las credenciales de la CLI de AWS obtenidas mediante el portal de usuarios de AWS SSO son válidas por un período de 60 minutos. Puede obtener un nuevo conjunto de credenciales con la frecuencia que necesite.

Acceso SSO a aplicaciones empresariales

¿Cómo configuro el SSO a aplicaciones empresariales, como Salesforce?

En la consola de AWS SSO, vaya al panel de aplicaciones, elija la opción Configure new application (Configurar aplicación nueva) y seleccione una aplicación de la lista de aplicaciones en la nube que vienen integradas previamente con AWS SSO. Siga las instrucciones que aparecen en la pantalla para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi empresa utiliza aplicaciones empresariales que no se encuentran en la lista de aplicaciones integradas previamente en AWS SSO. ¿Puedo usar AWS SSO de todas maneras? 

Sí. Si la aplicación admite SAML 2.0, puede configurarla como una aplicación SAML 2.0 personalizada. En la consola de AWS SSO, vaya al panel de aplicaciones, elija Configure new application (Configurar aplicación nueva) y seleccione Custom SAML 2.0 application (Aplicación SAML 2.0 personalizada). Siga las instrucciones para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi aplicación admite únicamente OpenID Connect (OIDC). ¿Puedo configurar el SSO con AWS SSO?

No. AWS SSO admite únicamente aplicaciones basadas en SAML 2.0.

¿AWS SSO admite Single Sign-On en aplicaciones de escritorio y para dispositivos móviles nativas?

No. AWS SSO solamente admite Single Sign-On en aplicaciones empresariales mediante navegadores web. 

Información general

¿Qué datos almacenará AWS SSO por mí?

AWS SSO almacenará datos acerca de qué aplicaciones en la nube y cuentas de AWS se asignan a determinados usuarios y grupos, así como también qué permisos se concedieron para el acceso a cuentas de AWS. AWS SSO también creará y administrará funciones de IAM en cuentas de AWS individuales para cada conjunto de permisos al que conceda acceso para sus usuarios.

¿AWS SSO admite la autenticación multifactor (MFA)? 

Sí. Puede solicitar a los usuarios que suministren un factor adicional para iniciar sesión en AWS SSO mediante el uso de un servidor de servicio de autenticación remota telefónica de usuario (RADIUS) y la configuración de un servidor RADIUS para que funcione con Active Directory o el AD Connector.

¿De qué manera los empleados pueden empezar a usar AWS SSO?

Para empezar a usar AWS SSO, los empleados pueden ir al portal de usuario de AWS SSO que se crea con la configuración de su directorio en AWS SSO. Si administra los usuarios en AWS SSO, sus empleados pueden usar las direcciones y las contraseñas de email que configuraron con AWS SSO para iniciar sesión en el portal de usuario. Si se conecta a Microsoft Active Directory, los empleados pueden iniciar sesión en el portal de usuario con su nombre de usuario y su contraseña de Active Directory y, a continuación, ver las cuentas y las aplicaciones que se les asignaron. Para obtener acceso a una cuenta o una aplicación, los empleados elijen el icono correspondiente en el portal de usuario de AWS SSO.

¿Hay una API disponible para AWS SSO?

No. Puede usar la consola de AWS SSO para realizar todas las operaciones necesarias.

¿Está listo para comenzar?

Inscríbase en AWS Single Sign-On
¿Tiene más preguntas?
Contacte con nosotros