Aspectos generales

¿Qué es AWS Single Sign-On (AWS SSO)?

AWS SSO es un servicio de AWS que le permite usar sus credenciales existentes de Microsoft Active Directory para obtener acceso a aplicaciones basadas en la nube, como aplicaciones empresariales y cuentas de AWS (Office 365, Salesforce, Box), mediante el uso del inicio de sesión único (SSO).

¿Qué beneficios ofrece AWS SSO?

Puede usar AWS SSO para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS, aplicaciones en la nube que admitan SAML (como Salesforce, Office 365 y Box) y aplicaciones internas personalizadas, todo desde una ubicación centralizada. Es posible aumentar el nivel de productividad de los empleados, quienes pueden iniciar sesión con sus nombres de usuario y contraseñas de Active Directory corporativos existentes para obtener acceso a sus aplicaciones a partir del portal de usuario personalizado. Los empleados no necesitarán recordar varios grupos de credenciales ni URL de acceso a aplicaciones en la nube, y los empleados nuevos pueden ser productivos desde el primer día laboral. Una vez que haya añadido usuarios al grupo de Active Directory correspondiente, obtendrán automáticamente acceso a cuentas y aplicaciones activadas para los miembros de dicho grupo. Obtendrá una mejor visibilidad del uso de las aplicaciones en la nube porque podrá monitorear y auditar actividad de inicio de sesión de manera centralizada desde AWS CloudTrail.

¿Qué problemas resuelve AWS SSO?

AWS SSO elimina la complejidad administrativa de las soluciones de SSO personalizadas que utiliza para conceder y administrar identidades en aplicaciones empresariales y cuentas de AWS. Como utiliza varias cuentas de AWS y añade cuentas con frecuencia, la configuración de SSO con los servicios federados de Active Directory (AD FS) para obtener acceso a estas cuentas implica aprender el lenguaje de programación de notificaciones de AD FS personalizado. También necesita preparar las cuentas de AWS con los permisos necesarios para obtener acceso a dichas cuentas. AWS SSO se encuentra disponible sin costo adicional y reduce el nivel de complejidad de la configuración repetitiva y la administración irregular mediante una integración estrecha con AWS. Si utiliza contraseñas independientes para obtener acceso a diferentes aplicaciones en la nube o cuentas de AWS, AWS SSO simplifica la experiencia del usuario y mejora el nivel de seguridad mediante la eliminación de contraseñas individuales necesarias para cada aplicación empresarial en la nube o cuenta de AWS. AWS SSO también resuelve el problema de la visibilidad limitada del acceso a sus aplicaciones de la nube mediante la integración con AWS CloudTrail y el suministro de una ubicación centralizada para auditar el acceso SSO a cuentas de AWS y aplicaciones en la nube que admitan SAML, como Office 365, Salesforce y Box.

¿Por qué debería usar AWS SSO?

Debería usar AWS SSO para aumentar rápidamente el nivel de productividad de sus empleados mediante la concesión de acceso a aplicaciones empresariales en la nube y cuentas de AWS, sin la necesidad de escribir scripts personalizados ni invertir en soluciones de SSO de uso general. También debería usar AWS SSO para reducir el costo y la complejidad administrativa que implican la configuración y la administración del acceso SSO.

AWS SSO es el lugar donde los empleados pueden obtener acceso a las aplicaciones y cuentas de AWS que necesiten durante el transcurso de la jornada laboral desde el portal del usuario de AWS SSO, independientemente de la ubicación en la que se hayan creado las aplicaciones o de dónde se encuentren alojadas.

¿Qué puedo hacer con AWS SSO?

Puede usar AWS SSO para asignar de manera rápida y sencilla acceso a los empleados a cuentas de AWS administradas con AWS Organizations, aplicaciones empresariales en la nube (como Salesforce, Office 365 y Box) y aplicaciones personalizadas que admitan lenguaje de marcado de aserción de seguridad (SAML) 2.0. Los empleados pueden iniciar sesión con los nombres de usuario y las contraseñas existentes para obtener acceso a las aplicaciones empresariales desde un único portal de usuario. AWS SSO también le permite auditar el acceso de los usuarios a servicios en la nube mediante AWS CloudTrail.

¿Quién debería utilizar AWS SSO?

AWS SSO está diseñado para administradores que administran varias aplicaciones empresariales y cuentas de AWS, que desean centralizar la administración del acceso de los usuarios a dichos servicios de la nube y que quieran conceder a los empleados una única ubicación para obtener acceso a las cuentas y aplicaciones sin necesidad de tener que recordar una contraseña más.

¿Cómo puedo empezar a usar AWS SSO?

Como cliente nuevo de AWS SSO, debe:

  1. Iniciar sesión en la consola de administración de AWS de la cuenta principal en su cuenta de AWS e ir hasta la consola de AWS SSO.
  2. Seleccionar el directorio que utiliza para almacenar las identidades de sus usuarios y grupos en la consola de AWS SSO mediante selecciones en una lista de instancias de Active Directory Connector y Active Directory que AWS SSO detecta en su cuenta automáticamente. Si aún no ha configurado un directorio, consulte Introducción.
  3. Para conceder acceso SSO a usuarios a cuentas de AWS en su organización, debe seleccionar las cuentas de AWS a partir de una lista que completa AWS SSO y, a continuación, seleccionar los usuarios o grupos a partir de su directorio y los permisos que desea otorgarles. 
  4. Para otorgar a los usuarios acceso a aplicaciones empresariales en la nube, debe:
    1. Seleccionar una de las aplicaciones de la lista de aplicaciones preintegradas admitidas en AWS SSO.
    2. Configurar la aplicación con las instrucciones correspondientes.
    3. Seleccionar los usuarios o grupos que deberían poder obtener acceso a la aplicación.
  5. Suministre a los empleados la dirección web de inicio de sesión de AWS SSO que se generó cuando conectó el directorio para que puedan iniciar sesión en AWS SSO con su nombre de usuario y contraseña de Active Directory, y obtener acceso a cuentas y aplicaciones empresariales.

¿Cuánto cuesta AWS SSO?

AWS SSO se ofrece sin cargo adicional.

¿En qué regiones de AWS se encuentra disponible AWS SSO?

Vaya a la tabla de regiones de AWS para consultar la disponibilidad de AWS SSO por región.

Compatibilidad con aplicaciones y directorios

¿Qué directorios puedo usar con AWS SSO?

Puede conectar AWS SSO con Microsoft Active Directory, independientemente de si se ejecuta on-premise o en la nube de AWS. AWS SSO también es compatible con AWS Directory Service para Microsoft Active Directory, también conocido como AWS Managed Microsoft AD, y con el Conector de AD. AWS SSO no es compatible con AD sencillo. Consulte introducción a AWS Directory Service para obtener más información.

¿Puedo usar mis grupos de usuarios de Amazon Cognito como el directorio conectado en AWS SSO?

Por ahora no. Actualmente, AWS SSO solo admite Microsoft Active Directory como directorio de usuarios. Es posible que se añadan otros tipos de directorios con el transcurso del tiempo en función de los pedidos y los comentarios de los clientes.

¿A qué aplicaciones basadas en la nube puedo conectarme con AWS SSO?

Puede conectar las siguientes aplicaciones a AWS SSO:

  1. Consola de administración de AWS: puede configurar el acceso SSO a la consola de administración de AWS.
  2. Aplicaciones SaaS de terceros: AWS SSO incluye integraciones previas con aplicaciones empresariales de uso general. Si desea consultar la lista completa, vaya a la consola de AWS SSO.
  3. Aplicaciones compatibles con SAML personalizadas: AWS SSO admite aplicaciones que permiten la identidad federada mediante el uso de SAML 2.0. En el caso de las aplicaciones que no estén integradas previamente con AWS SSO, puede configurar el inicio de sesión único mediante el uso del asistente de aplicaciones personalizadas de AWS SSO.

Administro usuarios y grupos en Active Directory on-premise. ¿Cómo puedo conectar mi directorio a AWS SSO? 

Tiene dos opciones para conectar Active Directory alojado on-premise a AWS SSO: (1) usar una relación de confianza de AWS Managed Microsoft AD, o (2) utilizar el Conector de AD.

AWS Managed Microsoft AD crea un Active Directory completamente administrado en la nube de AWS y se puede usar para configurar una relación de confianza de bosque entre su directorio on-premise y AWS Managed Microsoft AD. Si desea configurar una relación de confianza, consulte Cuándo crear una relación de confianza.

El Conector de AD es una gateway de directorios que permite redireccionar solicitudes de directorios al Microsoft Active Directory on-premise sin almacenar en caché ninguna información en la nube. Si desea conectar un directorio on-premise mediante el Conector de AD, consulte Conector de AD.

Administro usuarios y grupos en AWS Identity and Access Management (IAM). ¿Puedo conectar mi directorio a AWS SSO? 

Actualmente, AWS SSO no admite grupos ni usuarios de AWS IAM.

¿Puedo conectar más de un directorio a AWS SSO? 

No. Solo puede tener un directorio conectado a AWS SSO por vez. Sin embargo, puede cambiar el directorio que está conectado por otro.

Acceso SSO a cuentas de AWS

¿Qué cuentas de AWS puedo conectar a AWS SSO?

Puede añadir cualquier cuenta de AWS administrada mediante AWS Organizations a AWS SSO. Debe activar todas las características en sus organizaciones para administrar el SSO de sus cuentas.

¿Cómo configuro el SSO a cuentas de AWS en una unidad organizativa (OU) dentro de mi organización?

Puede elegir cuentas dentro de la organización o filtrar cuentas por OU.

¿Cómo controlo los permisos que obtienen mis usuarios cuando usan SSO para obtener acceso a su cuenta?

Cuando concede acceso SSO a los usuarios, puede restringir los permisos de los usuarios mediante la selección de un conjunto de permisos. Los conjuntos de permisos son una colección de permisos que puede crear en AWS SSO, adaptar en función de las políticas administradas de AWS para funciones de trabajo o de cualquier política administrada de AWS. Las políticas administradas de AWS para funciones de trabajo están diseñadas para alinearse estrechamente con funciones de trabajo comunes de la industria de TI. De ser necesario, también puede personalizar el conjunto de permisos en su totalidad para adaptarlo a sus requisitos de seguridad. AWS SSO implementa estos permisos en las cuentas seleccionadas automáticamente. Cuando modifique los conjuntos de permisos, AWS SSO le permite implementar los cambios en las cuentas correspondientes con facilidad. Cuando los usuarios obtienen acceso a las cuentas mediante el portal de usuario de AWS SSO, estos permisos restringen lo que pueden hacer dentro de dichas cuentas. También puede conceder varios conjuntos de permisos a los usuarios. Cuando obtienen acceso a la cuenta mediante el portal de usuario, pueden seleccionar el conjunto de permisos que desean utilizar para dicha sesión.

¿Para qué cuentas de AWS puedo obtener credenciales de la interfaz de la línea de comandos (CLI) de AWS?

Puede obtener credenciales de la CLI de AWS para cualquier permiso de usuario y cuenta de AWS que el administrador de AWS SSO le haya asignado. Estas credenciales de CLI se pueden usar para obtener acceso a la cuenta de AWS mediante programación.

¿Cuál es el período de validez de las credenciales de la interfaz de línea de comandos de AWS del portal de usuarios de AWS SSO?

Las credenciales de la CLI de AWS obtenidas mediante el portal de usuarios de AWS SSO son válidas por un período de 60 minutos. Puede obtener un nuevo conjunto de credenciales con la frecuencia que necesite.

Acceso SSO a aplicaciones empresariales

¿Cómo configuro el SSO a aplicaciones empresariales, como Salesforce?

En la consola de AWS SSO, vaya al panel de aplicaciones, elija la opción Configure new application (Configurar aplicación nueva) y seleccione una aplicación de la lista de aplicaciones en la nube que vienen integradas previamente con AWS SSO. Siga las instrucciones que aparecen en la pantalla para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi compañía utiliza aplicaciones empresariales que no se encuentran en la lista de aplicaciones integradas previamente en AWS SSO. ¿Puedo usar AWS SSO de todas maneras?

Sí. Si la aplicación admite SAML 2.0, puede configurarla como una aplicación SAML 2.0 personalizada. En la consola de AWS SSO, vaya al panel de aplicaciones, elija Configure new application (Configurar aplicación nueva) y seleccione Custom SAML 2.0 application (Aplicación SAML 2.0 personalizada). Siga las instrucciones para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi aplicación admite únicamente OpenID Connect (OIDC). ¿Puedo configurar el SSO con AWS SSO?

No. AWS SSO admite únicamente aplicaciones basadas en SAML 2.0.

¿AWS SSO admite el inicio de sesión único en aplicaciones de escritorio y para dispositivos móviles nativas?

No. AWS SSO solamente admite el inicio de sesión único en aplicaciones empresariales mediante navegadores web. 

Información general

¿Qué datos almacenará AWS SSO por mí?

AWS SSO almacenará datos acerca de qué aplicaciones en la nube y cuentas de AWS se asignan a determinados usuarios y grupos, así como también qué permisos se concedieron para el acceso a cuentas de AWS. AWS SSO también creará y administrará funciones de IAM en cuentas de AWS individuales para cada conjunto de permisos al que conceda acceso para sus usuarios.

¿AWS SSO admite la autenticación multifactor (MFA)? 

Sí. Puede solicitar a los usuarios que suministren un factor adicional para iniciar sesión en AWS SSO mediante el uso de un servidor de servicio de autenticación remota telefónica de usuario (RADIUS) y la configuración de un servidor RADIUS para que funcione con Active Directory o el Conector de AD.

¿De qué manera los empleados pueden empezar a usar AWS SSO?

Para poder empezar a usar AWS SSO, los empleados pueden ir al portal de usuario de AWS SSO que se crea cuando conecta su directorio a AWS SSO. Pueden iniciar sesión con su nombre de usuario y contraseña de Active Directory y, a continuación, ver las cuentas y las aplicaciones que se les asignaron. Para obtener acceso a una cuenta o aplicación, los empleados elijen el ícono correspondiente en el portal de usuario de AWS SSO.

¿Hay una API disponible para AWS SSO?

No. Puede usar la consola de AWS SSO para realizar todas las operaciones necesarias.

Me interesa añadir mi aplicación empresarial como una integración incorporada en AWS SSO. ¿Dónde puedo obtener más información?

Envíenos un email para obtener más información.

¿Listo para comenzar?

Inscríbase en AWS Single Sign-On
¿Tiene más preguntas?
Contacte con nosotros