Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de proveedores de identidades SAML con un grupo de usuarios
<a name="cognito-user-pools-saml-idp"></a>

Puede elegir que los usuarios web y de aplicaciones móviles inicien sesión a través de un proveedor de identidades (IdP) SAML como [Microsoft Active Directory Federation Services (ADFS)](https://msdn.microsoft.com/en-us/library/bb897402.aspx) o [Shibboleth](http://www.shibboleth.net/). Debe elegir un IdP SAML compatible con el [estándar SAML 2.0](http://saml.xml.org/saml-specifications).

Con el inicio de sesión gestionado, Amazon Cognito autentica a los usuarios de IdP locales y de terceros y emite tokens web JSON (). JWTs Con los tokens que emite Amazon Cognito, puede consolidar varios orígenes de identidad en un estándar universal de OpenID Connect (OIDC) en todas sus aplicaciones. Amazon Cognito puede procesar las aserciones de SAML de los proveedores externos y convertirlas en ese estándar de SSO. Puede crear y administrar un IDP de SAML en Consola de administración de AWS, a través de o con AWS CLI la API de grupos de usuarios de Amazon Cognito. Para crear su primer IdP de SAML en Consola de administración de AWS, consulte. [Adición y administración de proveedores de identidad de SAML a un grupo de usuarios](cognito-user-pools-managing-saml-idp.md)

![\[Información general sobre la autenticación con inicio de sesión de SAML\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/scenario-authentication-saml.png)


**nota**  
La federación con inicio de sesión a través de un IdP de terceros es una característica de los grupos de usuarios de Amazon Cognito. Los grupos de identidades de Amazon Cognito, también denominados identidades federadas de Amazon Cognito, son una implementación de la federación que debe configurar por separado en cada grupo de identidades. Un grupo de usuarios puede ser un IdP de terceros para un grupo de identidades. Para obtener más información, consulte [Grupos de identidades de Amazon Cognito](cognito-identity.md).

## Referencia rápida para la configuración del IdP
<a name="cognito-user-pools-saml-idp-reference"></a>

Debe configurar el IdP SAML para que acepte solicitudes y envíe respuestas a su grupo de usuarios. La documentación de su IdP SAML contiene información acerca de cómo añadir su grupo de usuarios como aplicación o relación de confianza para el IdP SAML 2.0. En la documentación siguiente se indican los valores que debe proporcionar para el ID de entidad del SP y la URL de servicio de consumidor de aserción (ACS).Referencia rápida de los valores de SAML del grupo de usuarios

**ID de entidad del SP**  

```
urn:amazon:cognito:sp:us-east-1_EXAMPLE
```

**URL del ACS**  

```
https://Your user pool domain/saml2/idpresponse
```

Debe configurar el grupo de usuarios para que sea compatible con el proveedor de identidades. A continuación, indicamos los pasos generales para agregar un IdP SAML externo.

1. Descargue los metadatos de SAML de su IdP o recupere la URL del punto de conexión de metadatos. Consulte [Configuración de un proveedor de identidades de SAML externo](cognito-user-pools-integrating-3rd-party-saml-providers.md).

1. Añada el IdP nuevo al grupo de usuarios. Cargue los metadatos de SAML o proporcione la URL de los metadatos. Consulte [Adición y administración de proveedores de identidad de SAML a un grupo de usuarios](cognito-user-pools-managing-saml-idp.md).

1. Asigne el IdP a los clientes de aplicación. Consulte [Ajustes específicos de una aplicación en los clientes de aplicación](user-pool-settings-client-apps.md).

**Topics**
+ [Referencia rápida para la configuración del IdP](#cognito-user-pools-saml-idp-reference)
+ [Información que debe saber sobre SAML IdPs en los grupos de usuarios de Amazon Cognito](cognito-user-pools-saml-idp-things-to-know.md)
+ [Distinción entre mayúsculas y minúsculas en los nombres de usuario SAML](#saml-nameid-case-sensitivity)
+ [Configuración de un proveedor de identidades de SAML externo](cognito-user-pools-integrating-3rd-party-saml-providers.md)
+ [Adición y administración de proveedores de identidad de SAML a un grupo de usuarios](cognito-user-pools-managing-saml-idp.md)
+ [Inicio de sesión SAML en grupos de usuarios de Amazon Cognito](cognito-user-pools-SAML-session-initiation.md)
+ [Cierre de sesión de usuarios de SAML con un cierre de sesión único](cognito-user-pools-saml-idp-sign-out.md)
+ [Firma y cifrado de SAML](cognito-user-pools-SAML-signing-encryption.md)
+ [Nombres e identificadores de proveedor de identidades SAML](cognito-user-pools-managing-saml-idp-naming.md)

## Distinción entre mayúsculas y minúsculas en los nombres de usuario SAML
<a name="saml-nameid-case-sensitivity"></a>

Cuando un usuario federado intenta iniciar sesión, el proveedor de identidades (IdP) SAML pasa un `NameId` único a Amazon Cognito en la aserción SAML del usuario. Amazon Cognito identifica a un usuario federado de SAML por su reclamación `NameId`. Independientemente de la configuración de distinción entre mayúsculas y minúsculas del grupo de usuarios, Amazon Cognito reconoce un usuario federado que regresa de un IdP SAML cuando pasa su notificación `NameId` única que distingue entre mayúsculas y minúsculas. Si se asigna un atributo como `email` a `NameId`, y el usuario cambia la dirección de correo electrónico, no podrá iniciar sesión en la aplicación.

Asigne `NameId` en las aserciones SAML de un atributo IdP con valores que no cambian.

Por ejemplo, Carlos tiene un perfil de usuario en el grupo de usuarios que distingue mayúsculas de minúsculas de una aserción SAML de Active Directory Federation Services (ADFS) que ha pasado un valor `NameId` de `Carlos@example.com`. La siguiente vez que Carlos intente iniciar sesión, su IdP de ADFS pasa un valor `NameId` de `carlos@example.com`. Dado que `NameId` debe coincidir exactamente en mayúsculas y minúsculas, el inicio de sesión no se produce con éxito.

Si los usuarios no pueden iniciar sesión después de que cambie su `NameID`, elimine sus perfiles de usuario del grupo de usuarios. Amazon Cognito creará nuevos perfiles de usuario la siguiente vez que se inicie sesión.

**Topics**
+ [Referencia rápida para la configuración del IdP](#cognito-user-pools-saml-idp-reference)
+ [Información que debe saber sobre SAML IdPs en los grupos de usuarios de Amazon Cognito](cognito-user-pools-saml-idp-things-to-know.md)
+ [Distinción entre mayúsculas y minúsculas en los nombres de usuario SAML](#saml-nameid-case-sensitivity)
+ [Configuración de un proveedor de identidades de SAML externo](cognito-user-pools-integrating-3rd-party-saml-providers.md)
+ [Adición y administración de proveedores de identidad de SAML a un grupo de usuarios](cognito-user-pools-managing-saml-idp.md)
+ [Inicio de sesión SAML en grupos de usuarios de Amazon Cognito](cognito-user-pools-SAML-session-initiation.md)
+ [Cierre de sesión de usuarios de SAML con un cierre de sesión único](cognito-user-pools-saml-idp-sign-out.md)
+ [Firma y cifrado de SAML](cognito-user-pools-SAML-signing-encryption.md)
+ [Nombres e identificadores de proveedor de identidades SAML](cognito-user-pools-managing-saml-idp-naming.md)