La federación de identidades es un sistema de confianza entre dos partes con el fin de autenticar a los usuarios y transmitir la información necesaria para autorizar el acceso de éstos a los recursos. En este sistema, un proveedor de identidades (IdP) es responsable de la autenticación de los usuarios, y un proveedor de servicios (SP), como un servicio o una aplicación, controla el acceso a los recursos. Mediante un acuerdo administrativo y una configuración, el SP confía en el IdP para autenticar a los usuarios y se basa en la información que el IdP proporciona sobre ellos. Tras autenticar a un usuario, el IdP envía al SP un mensaje, denominado aserción, que contiene el nombre de inicio de sesión del usuario y otros atributos que el SP necesita para establecer una sesión con el usuario y determinar el alcance del acceso a los recursos que el SP debe conceder. El concepto de federación es un enfoque común para crear sistemas de control de acceso que administran a los usuarios de forma centralizada dentro de un IdP central y gobiernan su acceso a múltiples aplicaciones y servicios que actúan como SP.
AWS ofrece distintas soluciones para federar a sus empleados, contratistas y socios (personal) a cuentas de AWS y aplicaciones empresariales, así como para agregar soporte de federación a sus aplicaciones web y móviles orientadas al cliente. AWS admite los estándares de identidad abiertos más utilizados, incluidos Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) y OAuth 2.0.
Puede utilizar dos servicios de AWS para federar su personal en cuentas de AWS y aplicaciones empresariales: AWS IAM Identity Center (sucesor de AWS SSO) o AWS Identity and Access Management (IAM). AWS IAM Identity Center es una excelente opción para ayudarle a definir permisos de acceso federados para los usuarios en función de su pertenencia a grupos en un único directorio centralizado. Si utiliza varios directorios o desea administrar los permisos basados en los atributos del usuario, plantéese el uso de AWS IAM como alternativa de diseño. Para obtener más información sobre las cuotas de servicio y otras consideraciones de diseño en AWS IAM Identity Center, consulte la Guía del usuario de AWS IAM Identity Center. Para obtener más información sobre las consideraciones de diseño de AWS IAM, consulte la Guía del usuario de AWS IAM.
Gracias a AWS IAM Identity Center es sencillo administrar de forma centralizada el acceso a múltiples cuentas de AWS y aplicaciones empresariales, además de proporcionar a los usuarios acceso de inicio de sesión único a todas las aplicaciones y las cuentas asignadas desde un mismo lugar. Puede utilizar AWS IAM Identity Center para identidades en el directorio de usuarios de AWS IAM Identity Center, su directorio corporativo existente o IdP externos.
AWS IAM Identity Center funciona con un IdP de su elección, como Okta Universal Directory o Azure Active Directory (AD) a través del protocolo Security Assertion Markup Language 2.0 (SAML 2.0). AWS IAM Identity Center utiliza los permisos y políticas de IAM de forma fluida para usuarios y roles federados con el fin de ayudarle a administrar el acceso federado de forma centralizada en todas las cuentas de AWS de su organización de AWS. Con AWS IAM Identity Center, puede asignar permisos en función de la pertenencia a grupos en el directorio del IdP y, a continuación, controlar el acceso de los usuarios simplemente modificando los usuarios y grupos en el IdP. AWS IAM Identity Center también admite el estándar System for Cross-domain Identity Management (SCIM) para permitir el aprovisionamiento automático de usuarios y grupos desde Azure AD u Okta Universal Directory a AWS. AWS IAM Identity Center facilita la implementación del control de acceso basado en atributos (ABAC) mediante la definición de permisos específicos basados en atributos de usuario definidos en el IdP de SAML 2.0. AWS IAM Identity Center le permite seleccionar los atributos ABAC a partir de la información de usuario sincronizada desde el IdP a través de SCIM o pasar varios atributos, como el centro de costos, el título o la configuración regional, como parte de una aserción de SAML 2.0. Puede definir permisos una vez para toda la organización de AWS y luego conceder, revocar o modificar el acceso de AWS simplemente cambiando los atributos en el IdP. Con AWS IAM Identity Center, también puede asignar permisos en función de la pertenencia a grupos en el directorio del IdP y, a continuación, controlar el acceso de los usuarios simplemente modificando los usuarios y grupos en el IdP.
AWS IAM Identity Center puede servir como IdP para autenticar usuarios en aplicaciones integradas en AWS IAM Identity Center y aplicaciones basadas en la nube compatibles con SAML 2.0, como Salesforce, Box y Microsoft 365, con un directorio de su elección. También puede utilizar AWS IAM Identity Center para autenticar usuarios en la consola de administración de AWS, la aplicación móvil de la consola de AWS y la interfaz de línea de comandos (CLI) de AWS. Como origen de identidad, puede elegir Microsoft Active Directory o el directorio de usuarios de AWS IAM Identity Center.
Para obtener más información, consulte la Guía del usuario de AWS IAM Identity Center, visite Introducción a AWS IAM Identity Center y explore los siguientes recursos adicionales:
- Publicación de blog: AWS IAM Identity Center entre Okta Universal Directory y AWS
- Publicación de blog: Las novedades de AWS IAM Identity Center
Puede habilitar el acceso federado a las cuentas de AWS mediante el uso de AWS Identity and Access Management (IAM). La flexibilidad de AWS IAM le permite habilitar un IdP de SAML 2.0 u Open ID Connect (OIDC) independiente para cada cuenta de AWS y utilizar atributos de usuario federados para el control del acceso. Con AWS IAM, puede transferir atributos de usuario, como el centro de costos, el cargo o la ubicación, de los IdP a AWS e implementar permisos de acceso específicos basados en estos atributos. AWS IAM le ayuda a definir los permisos una vez y, a continuación, conceder, revocar o modificar el acceso a AWS simplemente cambiando los atributos en el IdP. Puede aplicar la misma política de acceso federado a varias cuentas de AWS implementando políticas de IAM administradas personalizadas reutilizables.
Para obtener más información, consulte IAM Identity Providers and Federation, visite Introducción a IAM y explore recursos adicionales:
- Publicación de blog: Nuevo para la federación de identidades: use atributos de empleado para el control de acceso en AWS
- Publicación de blog: How to Implement a General Solution for Federated API/CLI Access Using SAML 2.0
- Publicación de blog: How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS
- Taller: Choose Your Own SAML Adventure: A Self-Directed Journey to AWS Identity Federation Mastery
Puede agregar soporte de federación a las aplicaciones web y móviles orientadas al cliente mediante Amazon Cognito. Le permite a agregar el registro de usuarios, el inicio de sesión y el control de acceso a las aplicaciones móviles y web de forma rápida y sencilla. El escalado de Amazon Cognito le permite admitir a millones de usuarios e iniciar sesión mediante proveedores de identidad social, como Apple, Facebook, Google y Amazon, y proveedores de identidad empresarial a través de SAML 2.0.
Para obtener más información, consulte la Amazon Cognito Developer Guide, visite Introducción a Amazon Cognito y explore recursos adicionales:
- Publicación de blog: Announcing SAML Support for Amazon Cognito
- Publicación de blog: Amazon Cognito User Pools supports federation with SAML
- Publicación de blog: SAML for Your Serverless JavaScript Application: Part I
- Documentación de Amazon Cognito