Aspectos generales

¿Qué es AWS Single Sign-On (AWS SSO)?

AWS SSO es un servicio de AWS que facilita la administración centralizada del acceso a múltiples cuentas de AWS y aplicaciones empresariales, además de proporcionar a los usuarios un acceso de inicio de sesión único a todas las aplicaciones y las cuentas asignadas desde un mismo lugar. Con AWS SSO, puede administrar fácilmente el acceso SSO y los permisos de usuario a todas sus cuentas de AWS Organizations de forma centralizada. AWS SSO le permite crear y administrar las identidades de los usuarios en el almacén de identidades de AWS SSO o conectarse fácilmente a la fuente de identidades existente, incluidos Microsoft Active Directory, Okta Universal Directory, and Azure Active Directory (Azure AD).

¿Qué beneficios ofrece AWS SSO?

Puede usar AWS SSO para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS, aplicaciones en la nube que admitan SAML (como Salesforce, Office 365 y Box) y aplicaciones internas personalizadas, todo desde una ubicación centralizada. Los empleados pueden aumentar el nivel de productividad iniciando sesión con sus credenciales corporativas existentes de Active Directory o con las credenciales que usted configure en AWS SSO para obtener acceso a sus aplicaciones desde el portal de usuario personalizado. Desde ahora, los empleados no tendrán que recordar varios grupos de credenciales ni las direcciones URL de acceso a aplicaciones en la nube, y los empleados nuevos podrán ser productivos desde el primer día laboral. Una vez que haya agregado usuarios al grupo correspondiente en su directorio, estos obtendrán acceso a cuentas y aplicaciones activadas para los miembros de dicho grupo de manera automática. Obtendrá una mejor visibilidad del uso de las aplicaciones en la nube porque podrá monitorizar y auditar la actividad de inicio de sesión de manera centralizada desde AWS CloudTrail.

¿Qué problemas resuelve AWS SSO?

AWS SSO elimina la complejidad administrativa de las soluciones de SSO personalizadas que utiliza para conceder y administrar identidades en aplicaciones empresariales y cuentas de AWS. Como utiliza varias cuentas de AWS y añade cuentas con frecuencia, la configuración de SSO con los servicios federados de Active Directory (AD FS) para obtener acceso a estas cuentas implica aprender el lenguaje de programación de notificaciones de AD FS personalizado. También necesita preparar las cuentas de AWS con los permisos necesarios para obtener acceso a dichas cuentas. AWS SSO se encuentra disponible sin costo adicional y reduce el nivel de complejidad de la configuración repetitiva y la administración irregular mediante una integración estrecha con AWS. Si utiliza contraseñas independientes para obtener acceso a diferentes aplicaciones en la nube o cuentas de AWS, AWS SSO simplifica la experiencia del usuario y mejora el nivel de seguridad mediante la eliminación de contraseñas individuales necesarias para cada aplicación empresarial en la nube o cuenta de AWS. AWS SSO también resuelve el problema de la visibilidad limitada del acceso a sus aplicaciones de la nube mediante la integración con AWS CloudTrail y el suministro de una ubicación centralizada para auditar el acceso SSO a cuentas de AWS y aplicaciones en la nube que admitan SAML, como Office 365, Salesforce y Box.

¿Por qué debería usar AWS SSO?

Debería usar AWS SSO para aumentar rápidamente el nivel de productividad de sus empleados mediante la concesión de acceso a aplicaciones empresariales en la nube y cuentas de AWS, sin la necesidad de escribir scripts personalizados ni invertir en soluciones de SSO de uso general. También debería usar AWS SSO para reducir el costo y la complejidad administrativa que implican la configuración y la administración del acceso SSO.

AWS SSO es el lugar donde los empleados pueden obtener acceso a las aplicaciones y cuentas de AWS que necesiten durante el transcurso de la jornada laboral desde el portal del usuario de AWS SSO, independientemente de la ubicación en la que se hayan creado las aplicaciones o de dónde se encuentren alojadas.

¿Qué puedo hacer con AWS SSO?

Puede usar AWS SSO para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS administradas con AWS Organizations, aplicaciones empresariales en la nube (como Salesforce, Office 365 y Box) y aplicaciones personalizadas que admitan lenguaje de marcado de aserción de seguridad (SAML) 2.0. Los empleados pueden iniciar sesión con sus credenciales corporativas existentes o con las credenciales que configuren en AWS SSO para obtener acceso a las aplicaciones empresariales desde un único portal de usuario. AWS SSO también le permite auditar el acceso de los usuarios a servicios en la nube mediante AWS CloudTrail.

¿Quién debería utilizar AWS SSO?

AWS SSO está diseñado para administradores que administran varias aplicaciones empresariales y cuentas de AWS, que desean centralizar la administración del acceso de los usuarios a dichos servicios de la nube y que quieran conceder a los empleados una única ubicación para obtener acceso a las cuentas y aplicaciones sin necesidad de tener que recordar una contraseña más.

¿Cómo puedo empezar a usar AWS SSO?

Como cliente nuevo de AWS SSO, debe:

  1. Inicie sesión en la consola de administración de AWS de la cuenta maestra en su cuenta de AWS y vaya hasta la consola de AWS SSO.
  2. Seleccione el directorio que usa para almacenar las identidades de sus usuarios y sus grupos desde la consola de AWS SSO. AWS SSO le suministra un directorio de forma predeterminada que puede usar para administrar los usuarios y los grupos en AWS SSO. También puede cambiar el directorio para conectarse a un directorio de Microsoft AD haciendo clic en una lista de instancias administradas de Microsoft AD y AD Connector que AWS SSO encuentra en su cuenta automáticamente. Si desea conectarse a un directorio de Microsoft AD, consulte Introducción a AWS Directory Service.
  3. Para conceder a los usuarios acceso SSO a cuentas de AWS en su organización, debe seleccionar las cuentas de AWS a partir de una lista que AWS SSO completa y, a continuación, seleccionar los usuarios o los grupos de su directorio, además de los permisos que desea otorgarles. 
  4. Para otorgar a los usuarios acceso a aplicaciones empresariales en la nube, debe realizar lo siguiente:
    1. Seleccionar una de las aplicaciones de la lista de aplicaciones preintegradas que se admiten en AWS SSO
    2. Configurar la aplicación con las instrucciones correspondientes
    3. Seleccionar los usuarios o los grupos que deberían poder acceder a la aplicación
  5. Suministre a sus usuarios la dirección web de inicio de sesión de AWS SSO que se generó cuando configuró el directorio para que puedan iniciar sesión en AWS SSO y acceder a cuentas y aplicaciones empresariales.

¿Cuánto cuesta AWS SSO?

AWS SSO se ofrece sin cargo adicional.

¿En qué regiones de AWS se encuentra disponible AWS SSO?

Vaya a la tabla de regiones de AWS para consultar la disponibilidad de AWS SSO por región.

Compatibilidad con aplicaciones y fuentes de identidades

¿Qué fuentes de identidades puedo utilizar con AWS SSO?

Con AWS SSO, puede crear y administrar las identidades de los usuarios en el almacén de identidades de AWS SSO o conectarse fácilmente a la fuente de identidades existente, incluidos Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) u otro proveedor de identidades (IdP) admitido. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Puedo conectar más de una fuente de identidades a AWS SSO?

No, solo se puede tener un directorio o un proveedor de identidades SAML 2.0 conectado a AWS SSO. Sin embargo, puede cambiar la fuente de identidades que está conectada por otra distinta.

¿Qué proveedores de identidades SAML 2.0 puedo usar con AWS SSO?

Puede conectar AWS SSO a la mayoría de los proveedores de identidades SAML 2.0, como Okta Universal Directory o Azure Active Directory. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Cómo puedo aprovisionar identidades de mi IdP existente en AWS SSO?

Las identidades de su proveedor de identidades existente se deben aprovisionar en AWS SSO antes de asignar los permisos. Puede sincronizar la información de usuarios y grupos de Okta Universal Directory, Azure AD, OneLogin y PingFederate automáticamente mediante el estándar System for Cross-domain Identity Management (SCIM). Para otros proveedores de identidades, puede aprovisionar usuarios desde su proveedor de identidades usando la consola de AWS SSO. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Puedo automatizar la sincronización de identidades de mi IdP en AWS SSO?

Sí. Si usa Okta Universal Directory, Azure AD, OneLogin o PingFederate, puede usar SCIM para sincronizar la información de usuarios y grupos de su IdP a AWS SSO automáticamente. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Cómo conecto AWS SSO a Microsoft Active Directory?

Puede conectar AWS SSO a un directorio de Active Directory (AD) en las instalaciones o a un directorio de AWS Managed Microsoft AD mediante el uso de AWS Directory Service. Consulte la Guía del usuario de AWS SSO para obtener más información.

Administro mis usuarios y grupos en Active Directory en las instalaciones. ¿Cómo puedo usar estos usuarios y grupos en AWS SSO? 

Tiene dos opciones para conectar el directorio de Active Directory alojado en las instalaciones a AWS SSO: (1) usar AD Connector, o (2) usar una relación de confianza de AWS Managed Microsoft AD.

AD Connector simplemente conecta su directorio de Active Directory existente en las instalaciones a AWS. AD Connector es un gateway de directorios con el cual puede redirigir las solicitudes de directorios a su Microsoft Active Directory en las instalaciones, sin almacenar en caché información en la nube. Para conectar un directorio en las instalaciones con AD Connector, consulte la Guía de administración de AWS Directory Service.

AWS Managed Microsoft AD facilita la configuración y la ejecución de Microsoft Active Directory en AWS. Se puede utilizar para configurar una relación de confianza de bosque entre su directorio en las instalaciones y AWS Managed Microsoft AD. Para configurar una relación de confianza, consulte la Guía de administración de AWS Directory Service.

Administro usuarios y grupos en AWS Identity and Access Management (IAM). ¿Puedo usar mis usuarios y grupos de IAM en AWS SSO?

En este momento, AWS SSO no admite los usuarios ni los grupos de AWS IAM.

¿Puedo usar mis grupos de usuarios de Amazon Cognito como fuente de identidades en AWS SSO?

Amazon Cognito es un servicio que lo ayuda a administrar identidades para las aplicaciones dirigidas a los clientes. No es una fuente de identidades compatible con AWS SSO. Puede crear y administrar las identidades de su fuerza laboral en AWS SSO o en su fuente de identidades externa, incluido Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD), u proveedor de identidades admitido.

¿AWS SSO es compatible con las interfaces de dispositivo móvil, de navegador y de línea de comandos?

Sí, puede utilizar AWS SSO para controlar el acceso a la consola de administración y a la CLI v2 de AWS. AWS SSO permite a sus usuarios acceder a la CLI y a la consola de administración de AWS a través de una experiencia de inicio de sesión único. La aplicación de consola móvil de AWS también admite AWS SSO para que pueda obtener una experiencia de inicio de sesión uniforme en todas las interfaces de dispositivo móvil, de navegador y de línea de comandos.

¿Qué aplicaciones en la nube puedo conectar a AWS SSO?

Puede conectar las siguientes aplicaciones a AWS SSO:

  1. Aplicaciones integradas a AWS SSO: las aplicaciones integradas a AWS SSO, como SageMaker Studio e IoT SiteWise, utilizan AWS SSO para las autenticaciones y trabajan con las identidades que se encuentran en dicho servicio. No se necesita ninguna configuración adicional para sincronizar las identidades en estas aplicaciones o para configurar la federación por separado.
  2. Aplicaciones SAML preintegradas: AWS SSO incluye con aplicaciones empresariales de uso común integradas previamente. Si desea consultar la lista completa, vaya a la consola de AWS SSO.
  3. Aplicaciones SAML personalizadas: AWS SSO admite las aplicaciones que permiten la identidad federada mediante SAML 2.0. Puede habilitar a AWS SSO para que admita estas aplicaciones mediante el asistente de aplicaciones personalizadas.

Acceso con inicio de sesión única a cuentas de AWS

¿Qué cuentas de AWS puedo conectar a AWS SSO?

Puede añadir cualquier cuenta de AWS administrada mediante AWS Organizations a AWS SSO. Debe activar todas las características en sus organizaciones para administrar el SSO de sus cuentas.

¿Cómo configuro el SSO a cuentas de AWS en una unidad organizativa (OU) dentro de mi organización?

Puede elegir cuentas dentro de la organización o filtrar cuentas por OU.

¿Cómo controlo los permisos que obtienen mis usuarios cuando usan AWS SSO para obtener acceso a su cuenta?

Cuando concede acceso a los usuarios, puede restringir los permisos de los usuarios mediante la selección de un conjunto de permisos. Los conjuntos de permisos son una colección de permisos que puede crear en AWS SSO, adaptar en función de las políticas administradas de AWS para funciones de trabajo o de cualquier política administrada de AWS. Las políticas administradas de AWS para funciones de trabajo están diseñadas para alinearse estrechamente con funciones de trabajo comunes de la industria de TI. De ser necesario, también puede personalizar el conjunto de permisos en su totalidad para adaptarlo a sus requisitos de seguridad. AWS SSO implementa estos permisos en las cuentas seleccionadas automáticamente. Cuando modifique los conjuntos de permisos, AWS SSO le permite implementar los cambios en las cuentas correspondientes con facilidad. Cuando los usuarios obtienen acceso a las cuentas mediante el portal de usuario de AWS SSO, estos permisos restringen lo que pueden hacer dentro de dichas cuentas. También puede conceder varios conjuntos de permisos a los usuarios. Cuando obtienen acceso a la cuenta mediante el portal de usuario, pueden seleccionar el conjunto de permisos que desean utilizar para dicha sesión.

¿Cómo automatizo la gestión de permisos entre múltiples cuentas?

AWS SSO les proporciona a las API y a AWS CloudFormation soporte para automatizar la gestión de permisos en entornos de cuentas múltiples, y recuperar los permisos en forma programada con fines de auditoría y gobernanza.

¿Para qué cuentas de AWS puedo obtener credenciales de la interfaz de la línea de comandos (CLI) de AWS?

Puede obtener credenciales de la CLI de AWS para cualquier permiso de usuario y cuenta de AWS que el administrador de AWS SSO le haya asignado. Estas credenciales de CLI se pueden usar para obtener acceso a la cuenta de AWS mediante programación.

¿Cuál es el período de validez de las credenciales de la interfaz de línea de comandos de AWS del portal de usuarios de AWS SSO?

Las credenciales de la CLI de AWS obtenidas mediante el portal de usuarios de AWS SSO son válidas por un período de 60 minutos. Puede obtener un nuevo conjunto de credenciales con la frecuencia que necesite.

Acceso SSO a aplicaciones empresariales

¿Cómo configuro el SSO a aplicaciones empresariales, como Salesforce?

En la consola de AWS SSO, vaya al panel de aplicaciones, elija la opción Configure new application (Configurar aplicación nueva) y seleccione una aplicación de la lista de aplicaciones en la nube que vienen integradas previamente con AWS SSO. Siga las instrucciones que aparecen en la pantalla para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi empresa utiliza aplicaciones empresariales que no se encuentran en la lista de aplicaciones integradas previamente en AWS SSO. ¿Puedo usar AWS SSO de todas maneras? 

Sí. Si la aplicación admite SAML 2.0, puede configurarla como una aplicación SAML 2.0 personalizada. En la consola de AWS SSO, vaya al panel de aplicaciones, elija Configure new application (Configurar aplicación nueva) y seleccione Custom SAML 2.0 application (Aplicación SAML 2.0 personalizada). Siga las instrucciones para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi aplicación admite únicamente OpenID Connect (OIDC). ¿Puedo usarlo con AWS SSO?

No. AWS SSO admite únicamente aplicaciones basadas en SAML 2.0.

¿AWS SSO admite Single Sign-On en aplicaciones de escritorio y para dispositivos móviles nativas?

No. AWS SSO solamente admite Single Sign-On en aplicaciones empresariales mediante navegadores web.

Información general

¿Qué datos almacenará AWS SSO por mí?

AWS SSO almacenará datos acerca de qué aplicaciones en la nube y cuentas de AWS se asignan a determinados usuarios y grupos, así como también qué permisos se concedieron para el acceso a cuentas de AWS. AWS SSO también creará y administrará roles de IAM en cuentas de AWS individuales para cada conjunto de permisos al que conceda acceso para sus usuarios.

¿AWS SSO admite la autenticación multifactor (MFA)? 

Sí. Puede habilitar o requerir a los usuarios que configuren una aplicación multifactor en sus teléfonos o puede solicitar a los usuarios que proporcionen un factor adicional para iniciar sesión en AWS SSO al operar un servidor de Servicio de usuario de autenticación remota (RADIUS) y configurar el Servidor RADIUS para trabajar con Active Directory o AD Connector.

¿De qué manera los empleados pueden empezar a usar AWS SSO?

Para comenzar a usar AWS SSO, los empleados pueden ir al portal del usuario de AWS SSO que se crea cuando se configura la fuente de identidades en AWS SSO. Si administra los usuarios en AWS SSO, sus empleados pueden usar las direcciones y las contraseñas de email que configuraron con AWS SSO para iniciar sesión en el portal de usuario. Si conecta AWS SSO a Microsoft Active Directory o a un proveedor de identidades SAML 2.0, sus empleados podrán iniciar sesión en el portal del usuario con sus credenciales corporativas existentes y, luego, ver las cuentas y las aplicaciones que se les asignaron. Para obtener acceso a una cuenta o una aplicación, los empleados elijen el icono correspondiente en el portal de usuario de AWS SSO.

¿Hay una API disponible para AWS SSO?

Sí. AWS SSO proporciona API de asignación de cuenta para automatizar la gestión de permisos en entornos de cuentas múltiples, y recuperar los permisos en forma programada con fines de auditoría y gobernanza.

¿Listo para comenzar?

Inscríbase en AWS Single Sign-On
¿Tiene más preguntas?
Contacte con nosotros