Aspectos generales

¿Qué es AWS Single Sign-On (AWS SSO)?

AWS SSO es un servicio de AWS que facilita la administración centralizada del acceso a múltiples cuentas de AWS y aplicaciones empresariales, además de proporcionar a los usuarios un acceso de inicio de sesión único a todas las aplicaciones y las cuentas asignadas desde un mismo lugar. Con AWS SSO, puede administrar fácilmente el acceso SSO y los permisos de usuario a todas sus cuentas de AWS Organizations de forma centralizada. AWS SSO le permite crear y administrar las identidades de los usuarios en el almacén de identidades de AWS SSO o conectarse fácilmente a la fuente de identidades existente, incluidos Microsoft Active Directory, Okta Universal Directory, and Azure Active Directory (Azure AD).

¿Qué beneficios ofrece AWS SSO?

Puede usar AWS SSO para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS, aplicaciones en la nube que admitan SAML (como Salesforce, Microsoft 365 y Box) y aplicaciones internas personalizadas, todo desde una ubicación centralizada. Los empleados pueden aumentar el nivel de productividad iniciando sesión con sus credenciales corporativas existentes de Active Directory o con las credenciales que usted configure en AWS SSO para acceder a las aplicaciones desde el portal de usuario personalizado. Desde ahora, los empleados no tendrán que recordar varios grupos de credenciales ni las direcciones URL de acceso a aplicaciones en la nube, y los empleados nuevos podrán ser productivos desde el primer día laboral. Una vez que haya agregado usuarios al grupo correspondiente en su directorio, estos obtendrán acceso a cuentas y aplicaciones activadas para los miembros de dicho grupo de manera automática. Obtendrá una mejor visibilidad del uso de las aplicaciones en la nube porque podrá monitorizar y auditar la actividad de inicio de sesión de manera centralizada desde AWS CloudTrail.

¿Qué problemas resuelve AWS SSO?

AWS SSO elimina la complejidad administrativa de las soluciones de SSO personalizadas que utiliza para conceder y administrar identidades en aplicaciones empresariales y cuentas de AWS. Como utiliza varias cuentas de AWS y añade cuentas con frecuencia, la configuración de SSO con los servicios federados de Active Directory (AD FS) para obtener acceso a estas cuentas implica aprender el lenguaje de programación de notificaciones de AD FS personalizado. También necesita preparar las cuentas de AWS con los permisos necesarios para obtener acceso a dichas cuentas. AWS SSO se encuentra disponible sin costo adicional y reduce el nivel de complejidad de la configuración repetitiva y la administración irregular mediante una integración estrecha con AWS. Si utiliza contraseñas independientes para acceder a diferentes aplicaciones en la nube o a cuentas de AWS, AWS SSO simplifica la experiencia del usuario y mejora el nivel de seguridad mediante la eliminación de contraseñas individuales necesarias para cada aplicación empresarial en la nube o cuenta de AWS. AWS SSO también resuelve el problema de la visibilidad limitada del acceso a sus aplicaciones en la nube mediante la integración con AWS CloudTrail y el suministro de una ubicación centralizada para auditar el acceso SSO a cuentas de AWS y aplicaciones en la nube que admitan SAML, tales como Microsoft 365, Salesforce y Box.

¿Por qué debería usar AWS SSO?

Debería usar AWS SSO para aumentar rápidamente el nivel de productividad de sus empleados mediante la concesión de acceso a aplicaciones empresariales en la nube y cuentas de AWS, sin la necesidad de escribir scripts personalizados ni invertir en soluciones de SSO de uso general. También debería usar AWS SSO para reducir el costo y la complejidad administrativa que implican la configuración y la administración del acceso SSO.

AWS SSO es el lugar donde los empleados pueden obtener acceso a las aplicaciones y cuentas de AWS que necesiten durante el transcurso de la jornada laboral desde el portal del usuario de AWS SSO, independientemente de la ubicación en la que se hayan creado las aplicaciones o de dónde se encuentren alojadas.

¿Qué puedo hacer con AWS SSO?

Puede usar AWS SSO para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS administradas con AWS Organizations, aplicaciones empresariales en la nube (como Salesforce, Microsoft 365 y Box) y aplicaciones personalizadas que admitan lenguaje de marcado de aserción de seguridad (SAML) 2.0. Los empleados pueden iniciar sesión con sus credenciales corporativas existentes o con las credenciales que configuren en AWS SSO para acceder a las aplicaciones empresariales desde un único portal de usuario. AWS SSO también le permite auditar el acceso de los usuarios a servicios en la nube mediante AWS CloudTrail.

¿Quién debería utilizar AWS SSO?

AWS SSO está diseñado para administradores que administran varias aplicaciones empresariales y cuentas de AWS, que desean centralizar la administración del acceso de los usuarios a dichos servicios de la nube y que quieran conceder a los empleados una única ubicación para obtener acceso a las cuentas y aplicaciones sin necesidad de tener que recordar una contraseña más.

¿Cómo puedo empezar a usar AWS SSO?

Como cliente nuevo de AWS SSO, debe:

  1. Inicie sesión en la consola de administración de AWS de la cuenta maestra en su cuenta de AWS y vaya hasta la consola de AWS SSO.
  2. Seleccione el directorio que usa para almacenar las identidades de sus usuarios y sus grupos desde la consola de AWS SSO. AWS SSO le suministra un directorio de forma predeterminada que puede usar para administrar los usuarios y los grupos en AWS SSO. También puede cambiar el directorio para conectarse a un directorio de Microsoft AD haciendo clic en una lista de instancias administradas de Microsoft AD y AD Connector que AWS SSO encuentra en su cuenta automáticamente. Si desea conectarse a un directorio de Microsoft AD, consulte Introducción a AWS Directory Service.
  3. Para conceder a los usuarios acceso SSO a cuentas de AWS en su organización, debe seleccionar las cuentas de AWS a partir de una lista que AWS SSO completa y, a continuación, seleccionar los usuarios o los grupos de su directorio, además de los permisos que desea otorgarles. 
  4. Para otorgar a los usuarios acceso a aplicaciones empresariales en la nube, debe realizar lo siguiente:
    1. Seleccionar una de las aplicaciones de la lista de aplicaciones preintegradas que se admiten en AWS SSO
    2. Configurar la aplicación con las instrucciones correspondientes
    3. Seleccionar los usuarios o los grupos que deberían poder acceder a la aplicación
  5. Suministre a sus usuarios la dirección web de inicio de sesión de AWS SSO que se generó cuando configuró el directorio para que puedan iniciar sesión en AWS SSO y acceder a cuentas y aplicaciones empresariales.

¿Cuánto cuesta AWS SSO?

AWS SSO se ofrece sin cargo adicional.

¿En qué regiones de AWS se encuentra disponible AWS SSO?

Vaya a la tabla de regiones de AWS para consultar la disponibilidad de AWS SSO por región.

Compatibilidad con aplicaciones y fuentes de identidades

¿Qué fuentes de identidades puedo utilizar con AWS SSO?

Con AWS SSO, puede crear y administrar las identidades de los usuarios en el almacén de identidades de AWS SSO o conectarse fácilmente a la fuente de identidades existente, incluidos Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) u otro proveedor de identidades (IdP) admitido. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Puedo conectar más de una fuente de identidades a AWS SSO?

No, solo se puede tener un directorio o un proveedor de identidades SAML 2.0 conectado a AWS SSO. Sin embargo, puede cambiar la fuente de identidades que está conectada por otra distinta.

¿Qué proveedores de identidades SAML 2.0 puedo usar con AWS SSO?

Puede conectar AWS SSO a la mayoría de los proveedores de identidades SAML 2.0, como Okta Universal Directory o Azure Active Directory. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Cómo puedo aprovisionar identidades de mi IdP existente en AWS SSO?

Las identidades de su proveedor de identidades existente se deben aprovisionar en AWS SSO antes de asignar los permisos. Puede sincronizar la información de usuarios y grupos de Okta Universal Directory, Azure AD, OneLogin y PingFederate automáticamente mediante el estándar System for Cross-domain Identity Management (SCIM). Para otros proveedores de identidades, puede aprovisionar usuarios desde su proveedor de identidades usando la consola de AWS SSO. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Puedo automatizar la sincronización de identidades de mi IdP en AWS SSO?

Sí. Si usa Okta Universal Directory, Azure AD, OneLogin o PingFederate, puede usar SCIM para sincronizar la información de usuarios y grupos de su IdP a AWS SSO automáticamente. Consulte la Guía del usuario de AWS SSO para obtener más información.

¿Cómo conecto AWS SSO a Microsoft Active Directory?

Puede conectar AWS SSO a un directorio de Active Directory (AD) en las instalaciones o a un directorio de AWS Managed Microsoft AD mediante el uso de AWS Directory Service. Consulte la Guía del usuario de AWS SSO para obtener más información.

Administro mis usuarios y grupos en Active Directory en las instalaciones. ¿Cómo puedo usar estos usuarios y grupos en AWS SSO? 

Tiene dos opciones para conectar el directorio de Active Directory alojado en las instalaciones a AWS SSO: (1) usar AD Connector, o (2) usar una relación de confianza de AWS Managed Microsoft AD.

AD Connector simplemente conecta su directorio de Active Directory existente en las instalaciones a AWS. AD Connector es un gateway de directorios con el cual puede redirigir las solicitudes de directorios a su Microsoft Active Directory en las instalaciones, sin almacenar en caché información en la nube. Para conectar un directorio en las instalaciones con AD Connector, consulte la Guía de administración de AWS Directory Service.

AWS Managed Microsoft AD facilita la configuración y la ejecución de Microsoft Active Directory en AWS. Se puede utilizar para configurar una relación de confianza de bosque entre su directorio en las instalaciones y AWS Managed Microsoft AD. Para configurar una relación de confianza, consulte la Guía de administración de AWS Directory Service.

Administro usuarios y grupos en AWS Identity and Access Management (IAM). ¿Puedo usar mis usuarios y grupos de IAM en AWS SSO?

En este momento, AWS SSO no admite los usuarios ni los grupos de AWS IAM.

¿Puedo usar mis grupos de usuarios de Amazon Cognito como fuente de identidades en AWS SSO?

Amazon Cognito es un servicio que lo ayuda a administrar identidades para las aplicaciones dirigidas a los clientes. No es una fuente de identidades compatible con AWS SSO. Puede crear y administrar las identidades de su fuerza laboral en AWS SSO o en su fuente de identidades externa, incluido Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD), u proveedor de identidades admitido.

¿AWS SSO es compatible con las interfaces de dispositivo móvil, de navegador y de línea de comandos?

Sí, puede utilizar AWS SSO para controlar el acceso a la consola de administración y a la CLI v2 de AWS. AWS SSO permite a sus usuarios acceder a la CLI y a la consola de administración de AWS a través de una experiencia de inicio de sesión único. La aplicación de consola móvil de AWS también admite AWS SSO para que pueda obtener una experiencia de inicio de sesión uniforme en todas las interfaces de dispositivo móvil, de navegador y de línea de comandos.

¿Qué aplicaciones en la nube puedo conectar a AWS SSO?

Puede conectar las siguientes aplicaciones a AWS SSO:

  1. Aplicaciones integradas a AWS SSO: las aplicaciones integradas a AWS SSO, como SageMaker Studio e IoT SiteWise, utilizan AWS SSO para las autenticaciones y trabajan con las identidades que se encuentran en dicho servicio. No se necesita ninguna configuración adicional para sincronizar las identidades en estas aplicaciones o para configurar la federación por separado.
  2. Aplicaciones SAML preintegradas: AWS SSO incluye con aplicaciones empresariales de uso común integradas previamente. Si desea consultar la lista completa, vaya a la consola de AWS SSO.
  3. Aplicaciones SAML personalizadas: AWS SSO admite las aplicaciones que permiten la identidad federada mediante SAML 2.0. Puede habilitar a AWS SSO para que admita estas aplicaciones mediante el asistente de aplicaciones personalizadas.

Acceso con inicio de sesión única a cuentas de AWS

¿Qué cuentas de AWS puedo conectar a AWS SSO?

Puede añadir cualquier cuenta de AWS administrada mediante AWS Organizations a AWS SSO. Debe activar todas las características en sus organizaciones para administrar el SSO de sus cuentas.

¿Cómo configuro el SSO a cuentas de AWS en una unidad organizativa (OU) dentro de mi organización?

Puede elegir cuentas dentro de la organización o filtrar cuentas por OU.

¿Cómo controlo los permisos que obtienen mis usuarios cuando usan AWS SSO para obtener acceso a su cuenta?

Cuando concede acceso a los usuarios, puede restringir los permisos de los usuarios mediante la selección de un conjunto de permisos. Los conjuntos de permisos son una colección de permisos que puede crear en AWS SSO, adaptar en función de las políticas administradas de AWS para funciones de trabajo o de cualquier política administrada de AWS. Las políticas administradas de AWS para funciones de trabajo están diseñadas para alinearse estrechamente con funciones de trabajo comunes de la industria de TI. De ser necesario, también puede personalizar el conjunto de permisos en su totalidad para adaptarlo a sus requisitos de seguridad. AWS SSO implementa estos permisos en las cuentas seleccionadas automáticamente. Cuando modifique los conjuntos de permisos, AWS SSO le permite implementar los cambios en las cuentas correspondientes con facilidad. Cuando los usuarios obtienen acceso a las cuentas mediante el portal de usuario de AWS SSO, estos permisos restringen lo que pueden hacer dentro de dichas cuentas. También puede conceder varios conjuntos de permisos a los usuarios. Cuando obtienen acceso a la cuenta mediante el portal de usuario, pueden seleccionar el conjunto de permisos que desean utilizar para dicha sesión.

¿Cómo automatizo la gestión de permisos entre múltiples cuentas?

AWS SSO les proporciona a API y a AWS CloudFormation el soporte para automatizar la gestión de permisos en entornos de cuentas múltiples y recuperar los permisos en forma programada con fines de auditoría y gobernanza.

¿Puedo implementar el control de acceso basado en atributos en AWS SSO?

Sí. AWS SSO le permite seleccionar atributos de usuario, tales como el centro de costos, el título o el lugar, de su fuente de identidad y luego utilizarlos para el control de acceso basado en atributos (ABAC) en AWS. Puede definir los permisos una vez y luego otorgar, revocar o modificar el acceso a AWS simplemente cambiando los atributos en su fuente de identidad.

¿Cómo selecciono los atributos de usuario que utilizaré para el ABAC?

Para implementar el ABAC, puede seleccionar atributos del almacén de identidades de AWS SSO para los usuarios de AWS SSO y los usuarios sincronizados desde Microsoft AD o IdPs externos de SAML 2.0, incluidos Okta Universal Directory, Azure AD, OneLogin o PingFederate. Cuando utiliza un IdP como fuente de identidad, puede optar por enviar los atributos como parte de una afirmación SAML 2.0.

¿Para qué cuentas de AWS puedo obtener credenciales de la interfaz de la línea de comandos (CLI) de AWS?

Puede obtener credenciales de la CLI de AWS para cualquier permiso de usuario y cuenta de AWS que el administrador de AWS SSO le haya asignado. Estas credenciales de CLI se pueden usar para obtener acceso a la cuenta de AWS mediante programación.

¿Cuál es el período de validez de las credenciales de la interfaz de línea de comandos de AWS del portal de usuarios de AWS SSO?

Las credenciales de la CLI de AWS obtenidas mediante el portal de usuarios de AWS SSO son válidas por un período de 60 minutos. Puede obtener un nuevo conjunto de credenciales con la frecuencia que necesite.

Acceso SSO a aplicaciones empresariales

¿Cómo configuro el SSO a aplicaciones empresariales, como Salesforce?

En la consola de AWS SSO, vaya al panel de aplicaciones, elija la opción Configure new application (Configurar aplicación nueva) y seleccione una aplicación de la lista de aplicaciones en la nube que vienen integradas previamente con AWS SSO. Siga las instrucciones que aparecen en la pantalla para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi empresa utiliza aplicaciones empresariales que no se encuentran en la lista de aplicaciones integradas previamente en AWS SSO. ¿Puedo usar AWS SSO de todas maneras? 

Sí. Si la aplicación admite SAML 2.0, puede configurarla como una aplicación SAML 2.0 personalizada. En la consola de AWS SSO, vaya al panel de aplicaciones, elija Configure new application (Configurar aplicación nueva) y seleccione Custom SAML 2.0 application (Aplicación SAML 2.0 personalizada). Siga las instrucciones para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Mi aplicación admite únicamente OpenID Connect (OIDC). ¿Puedo usarlo con AWS SSO?

No. AWS SSO admite únicamente aplicaciones basadas en SAML 2.0.

¿AWS SSO admite Single Sign-On en aplicaciones de escritorio y para dispositivos móviles nativas?

No. AWS SSO solamente admite Single Sign-On en aplicaciones empresariales mediante navegadores web.

Información general

¿Qué datos almacenará AWS SSO por mí?

AWS SSO almacenará datos acerca de qué aplicaciones en la nube y cuentas de AWS se asignan a determinados usuarios y grupos, así como también qué permisos se concedieron para el acceso a cuentas de AWS. AWS SSO también creará y administrará roles de IAM en cuentas individuales de AWS para cada conjunto de permisos al que conceda acceso para sus usuarios.

¿Qué capacidades de multi-factor authentication (MFA) puedo utilizar con AWS SSO?

Con AWS SSO, puede habilitar capacidades de autenticación sólida basadas en estándares para todos los usuarios en todas las fuentes de identidad. Si utiliza un IdP SAML 2.0 compatible como fuente de identidad, puede habilitar las capacidades de autenticación de múltiples factores de su proveedor. Al utilizar AWS SSO o Active Directory como fuente de identidad, AWS SSO es compatible con la especificación de autenticación web para ayudarlo a asegurar el acceso de los usuarios a cuentas de AWS y aplicaciones empresariales con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como la ID táctil en Apple MacBooks, y el reconocimiento facial en otras computadoras personales. También puede habilitar contraseñas de un solo uso (TOTPs) mediante el uso de aplicaciones de autenticación tales como Google Authenticator o Twilio Authy.

También puede utilizar la configuración de MFA del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) existente con AWS SSO y AWS Directory Services para autenticar a sus usuarios como una forma secundaria de verificación. Para obtener más información sobre cómo configurar MFA con AWS SSO, visite la guía del usuario de AWS SSO.

¿AWS SSO admite la especificación de autenticación web?

Sí. Para las identidades de usuario en el almacén de identidades de AWS SSO y Active Directory, AWS SSO admite la especificación de autenticación web (WebAuthn) para ayudarlo a asegurar el acceso de los usuarios a cuentas y aplicaciones empresariales de AWS con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como la ID táctil en Apple MacBooks y el reconocimiento facial en otras computadoras personales. También puede habilitar contraseñas de un solo uso (TOTPs) mediante el uso de aplicaciones de autenticación tales como Google Authenticator o Twilio Authy.

¿De qué manera mis empleados pueden empezar a usar AWS SSO?

Para comenzar a usar AWS SSO, los empleados pueden ir al portal del usuario de AWS SSO que se crea cuando se configura la fuente de identidades en AWS SSO. Si administra los usuarios en AWS SSO, sus empleados pueden usar las direcciones y las contraseñas de email que configuraron con AWS SSO para iniciar sesión en el portal de usuario. Si conecta AWS SSO a Microsoft Active Directory o a un proveedor de identidades SAML 2.0, sus empleados podrán iniciar sesión en el portal del usuario con sus credenciales corporativas existentes y, luego, ver las cuentas y las aplicaciones que se les asignaron. Para obtener acceso a una cuenta o una aplicación, los empleados elijen el icono correspondiente en el portal de usuario de AWS SSO.

¿Hay una API disponible para AWS SSO?

Sí. AWS SSO proporciona API de asignación de cuenta para automatizar la gestión de permisos en entornos de cuentas múltiples, y recuperar los permisos en forma programada con fines de auditoría y gobernanza.

¿Listo para comenzar?

Inscríbase en AWS Single Sign-On
¿Tiene más preguntas?
Contacte con nosotros