AWS ParallelCluster Integración de la interfaz de usuario con Identity Center - AWS ParallelCluster
Activar IAM Identity Center Adición de su aplicación al IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS ParallelCluster Integración de la interfaz de usuario con Identity Center

El objetivo de este tutorial es demostrar cómo integrar la AWS ParallelCluster interfaz de usuario con el IAM Identity Center para obtener una solución de inicio de sesión único que unifique a los usuarios de Active Directory y que pueda compartirse con clústeres. AWS ParallelCluster

Al utilizarla AWS ParallelCluster, solo paga por los AWS recursos que se crean al crear o actualizar AWS ParallelCluster imágenes y clústeres. Para obtener más información, consulte AWS servicios utilizados por AWS ParallelCluster.

Requisitos previos:

Activar IAM Identity Center

Si ya tiene un centro de identidad conectado a su AWS Managed Microsoft AD (Active Directory), puede utilizarlo y pasar a la sección Añadir su aplicación al Centro de identidades de IAM.

Si aún no tiene un centro de identidad conectado a uno AWS Managed Microsoft AD, siga los pasos que se indican a continuación para configurarlo.

Habilitación de un centro de identidad

  1. Navegue hasta la consola de IAM Identity Center. (Asegúrese de estar en la región en la que tiene el suyo) AWS Managed Microsoft AD.

  2. Haga clic en el botón Habilitado. Es posible que se le pregunte si desea activar las organizaciones. Se trata de un requisito para poder activar esta opción. Nota: Esta acción enviará al administrador de su cuenta un correo electrónico de confirmación con un enlace que deberá seguir para confirmarla.

Conexión entre Identity Center y un AD administrado

  1. En la página siguiente, después de habilitar el centro de identidad, debería ver los pasos de configuración recomendados. En el paso 1, seleccione Elija la fuente de identidad.

  2. En la sección Origen de identidad, haga clic en el menú desplegable Acciones (en la parte superior derecha) y, a continuación, seleccione Cambiar el origen de identidad.

  3. Seleccione Active Directory.

  4. En Directorios existentes, elija su directorio.

  5. Haga clic en Next (Siguiente).

  6. Revise los cambios, desplácese hasta el final, escriba ACEPTAR en el cuadro de texto para confirmarlos y, a continuación, haga clic en Cambiar el origen de identidad.

  7. Espere a que se completen los cambios y aparecerá un banner verde en la parte superior.

Sincronización de usuarios y grupos en Identity Center

  1. En el banner verde, haga clic en Iniciar la configuración guiada (botón situado en la parte superior derecha).

    Captura de pantalla en la que se muestra el botón Iniciar la configuración guiada.

  2. En la sección Configurar los mapeos de atributos, haga clic en Siguiente

  3. En la sección Configurar el ámbito de sincronización, escriba el nombre de los usuarios que desea sincronizar con el centro de identidades y, a continuación, haga clic en Agregar.

  4. Cuando termine de agregar usuarios y grupos, haga clic en Siguiente.

    Captura de pantalla que resalta el botón Siguiente.

  5. Revise los cambios y, a continuación, haga clic en Guardar configuración.

  6. Si ve una advertencia en la siguiente pantalla sobre los usuarios que no se están sincronizando, seleccione el botón Reanudar la sincronización en la esquina superior derecha.

  7. A continuación, para activar los usuarios, en la pestaña Usuarios de la izquierda, seleccione un usuario y, a continuación, haga clic en Habilitar el acceso de usuarios > Habilitar el acceso de usuarios.

    Nota: Puede que tenga que seleccionar Reanudar la sincronización si aparece un banner de advertencia en la parte superior y esperar a que los usuarios se sincronicen (pruebe con el botón de actualización para comprobar si ya se han sincronizado).

    Captura de pantalla que resalta la pestaña Usuarios.

Adición de su aplicación al IAM Identity Center

Una vez que haya sincronizado sus usuarios con IAM Identity Center, deberá añadir una nueva aplicación. Esto configura qué aplicaciones habilitadas para SSO estarán disponibles en su portal de IAM Identity Center. En este caso, añadiremos la interfaz de usuario de AWS ParallelCluster como aplicación, mientras que el IAM Identity Center será el proveedor de identidad.

El siguiente paso será añadir la AWS ParallelCluster interfaz de usuario como una aplicación en el IAM Identity Center. AWS ParallelCluster La interfaz de usuario es un portal web que ayuda al usuario a gestionar sus clústeres. Para obtener más información, consulte Interfaz de usuario de AWS ParallelCluster.

Configuración de la aplicación en Identity Center

  1. En IAM Identity Center > Aplicaciones (en la barra de menú de la izquierda), haga clic en Aplicaciones.

  2. Haga clic en Agregar aplicación.

  3. Seleccione Agregar aplicación de SAML 2.0 personalizada.

  4. Haga clic en Siguiente.

  5. Seleccione el nombre para mostrar y la descripción que desee utilizar (p. ej., la interfaz de usuario y AWS ParallelCluster la interfaz de usuario)

  6. En la sección Metadatos del IAM Identity Center, copie el enlace al archivo de metadatos SAML de IAM Identity Center y guárdelo para más adelante, ya que se utilizará al configurar el SSO en la aplicación web.

  7. En Propiedades de la aplicación, en la URL de inicio de la aplicación, introduzca su dirección de PCUI. Para encontrarlo, ve a la CloudFormation consola, selecciona la pila que corresponde a la PCUI (por ejemplo, parallelcluster-ui) y ve a la pestaña Salidas para buscar ParallelCluster UIUrl

    p. ej. https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com

  8. En Metadatos de la aplicación, elija Escribir manualmente los valores de los metadatos. A continuación, proporcione los siguientes valores.

    1. Importante: asegúrese de reemplazar los valores del prefijo de dominio (domain-prefix), la región y el identificador del grupo de usuarios (userpool-id) por información específica de su entorno.

    2. El prefijo de dominio, la región y el identificador del grupo de usuarios se pueden obtener desde la consola de Amazon Cognito > Grupos de usuarios

      Captura de pantalla que resalta el nombre del grupo de usuarios en los grupos de usuarios de Cognito

    3. Seleccione el grupo de usuarios que corresponda a la PCUI (que tendrá un nombre de grupo de usuarios como EK3 TO45 PCUI-CD8A2-Cognito-153 S98-UserPool)

    4. Navegue hasta Integración de aplicaciones

      Captura de pantalla donde se destaca el dominio de Cognito en la pestaña Integración de aplicaciones

  9. <domain-prefix>URL del Application Assertion Consumer Service (ACS): https://.auth. <region>.amazoncognito. com/saml2/idpresponse

    Audiencia SAML de la aplicación: urn:amazon:cognito:sp:<userpool-id>

  10. Elija Enviar. A continuación, vaya a la página Detalles de la aplicación que ha agregado.

  11. Seleccione la lista desplegable Acciones y elija Editar las asignaciones de atributos. A continuación, proporcione los siguientes atributos:

    1. Atributo de usuario en la aplicación: asunto (Nota: Asunto viene rellenado previamente). → Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center: ${user:email}, formato: emailAddress

    2. Atributo de usuario de la aplicación: correo electrónico → Se asigna a este valor de cadena o atributo de usuario de IAM Identity Center: ${user:email}, formato: sin especificar

      Captura de pantalla en la que se destaca la sección Asignaciones de atributos para la PCUI

  12. Guarde los cambios.

  13. Pulse el botón Asignar usuarios y, a continuación, asigne su usuario a la aplicación. Estos son los usuarios de su Active Directory que tendrán acceso a la interfaz de la PCUI.

    Captura de pantalla en la que se destaca Asignar usuarios para la aplicación.

Configuración de IAM Identity Center como IdP de SAML en el grupo de usuarios

  1. En la configuración de su grupo de usuarios, seleccione Experiencia de inicio de sesión > Agregar proveedor de identidad

    Captura de pantalla que resalta la pestaña de experiencia de inicio

  2. Elija un IdP de SAML.

  3. Para el nombre del proveedor, proporcione IdentityCenter

  4. En Origen del documento de metadatos, seleccione Ingrese la URL del punto de conexión del documento de metadatos e introduzca la URL copiada durante la configuración de la aplicación en Identity Center.

  5. En Atributos, para correo electrónico, elija un correo electrónico

    Captura de pantalla que resalta la pestaña de experiencia de inicio

  6. Seleccione Agregar proveedor de identidades.

Integración del IdP con el cliente de aplicaciones del grupo de usuarios

  1. A continuación, en la sección Integración de aplicaciones de su grupo de usuarios, elija el cliente que aparece en la lista de clientes de aplicaciones

    Captura de pantalla que resalta la pestaña de experiencia de inicio

  2. En Interfaz de usuario alojada, seleccione Editar.

  3. En Proveedores de identidad, elige IdentityCentertambién.

  4. Elija Guardar cambios.

Validación de su configuración

  1. A continuación, validaremos la configuración que acabamos de crear iniciando la sesión en la PCUI. Inicie sesión en el portal de la PCUI y verá una opción para iniciar sesión con su identificador corporativo:

    Captura de pantalla que resalta la pestaña de experiencia de inicio

  2. Al hacer clic en el IdentityCenterbotón, accederá al inicio de sesión del IdP del IAM Identity Center, seguido de una página con sus aplicaciones que incluye la PCUI. Abra esa aplicación.

  3. Cuando llegue a la siguiente pantalla, su usuario se habrá agregado al grupo de usuarios de Cognito.

    Captura de pantalla donde se muestra la pestaña de experiencia de inicio

Convierta su usuario en administrador

  1. Ahora vaya a la consola de Amazon Cognito > Grupos de usuarios y seleccione el usuario recién creado, que debe tener el prefijo identitycenter.

    Captura de pantalla que resalta la pestaña de experiencia de inicio

  2. En Miembros de grupos, seleccione Añadir usuario al grupo, seleccione admin y haga clic en Añadir.

  3. Ahora, al hacer clic en Continuar, IdentityCenter accederás a la página de la AWS ParallelCluster interfaz de usuario.