Configuración de la sincronización del correo electrónico para usuarios federados en Quick - Amazon Quick
Paso 1: actualización de la relación de confianza del rol de IAMPaso 2: adición de un atributo SAML o un token OIDCPaso 3: activación de la sincronización del correo electrónico

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la sincronización del correo electrónico para usuarios federados en Quick

 Se aplica a: Enterprise Edition 
   Destinatarios: administradores de sistemas y administradores de Amazon Quick 
nota

La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.

En la edición Amazon Quick Enterprise, como administrador, puede impedir que los nuevos usuarios usen direcciones de correo electrónico personales cuando aprovisionen directamente a Quick a través de su proveedor de identidad (IdP). Luego, Quick usa las direcciones de correo electrónico preconfiguradas que se transfieren a través del IdP al aprovisionar nuevos usuarios a su cuenta. Por ejemplo, puedes hacer que solo se usen las direcciones de correo electrónico asignadas por la empresa cuando los usuarios se aprovisionen a tu cuenta de Amazon Quick a través de tu IdP.

nota

Asegúrese de que sus usuarios se federen directamente a Amazon Quick a través de su IdP. Al federarse a Consola de administración de AWS través de su IdP y, a continuación, hacer clic en Amazon Quick, se produce un error y no podrá acceder a Amazon Quick.

Al configurar la sincronización del correo electrónico para los usuarios federados en Amazon Quick, los usuarios que inician sesión en su cuenta de Amazon Quick por primera vez tienen direcciones de correo electrónico preasignadas. Se utilizan para registrar sus cuentas. Con este enfoque, los usuarios pueden omitir manualmente esto ingresando una dirección de correo electrónico. Además, los usuarios no pueden usar una dirección de correo electrónico que pueda diferir de la dirección de correo electrónico que indique en calidad de administrador.

Amazon Quick admite el aprovisionamiento a través de un IdP que admite la autenticación SAML u OpenID Connect (OIDC). Para configurar las direcciones de correo electrónico de los nuevos usuarios al aprovisionar a través de un IdP, debe actualizar la relación de confianza del rol de IAM que utilizan con AssumeRoleWithSAML o AssumeRoleWithWebIdentity. A continuación, agrega un atributo SAML o un token OIDC a su IdP. Por último, se activa la sincronización del correo electrónico para los usuarios federados en Amazon Quick.

Los siguientes procedimientos describen los pasos de manera más detallada.

Paso 1: actualización de la relación de confianza del rol de IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity

Puede configurar las direcciones de correo electrónico para que las utilicen sus usuarios cuando aprovisionen a Amazon Quick a través de su IdP. Para ello, agregue la acción sts:TagSession a la relación de confianza del rol de IAM que utilice con AssumeRoleWithSAML o AssumeRoleWithWebIdentity. De este modo, puede transferir etiquetas principal cuando los usuarios asuman el rol.

El siguiente ejemplo ilustra un rol de IAM actualizado en el que el IdP es Okta. Para utilizar este ejemplo, actualice el nombre de recurso de Amazon (ARN) Federated con el ARN de su proveedor de servicios. Puede reemplazar los elementos en rojo con su información específica del servicio AWS y del IdP.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Paso 2: adición de un atributo SAML o un token OIDC para la etiqueta de la entidad principal de IAM en su IdP

Tras actualizar la relación de confianza del rol de IAM como se describe en la sección anterior, agregue un atributo SAML o un token OIDC para la etiqueta Principal de IAM en su IdP.

Los siguientes ejemplos ilustran un atributo SAML y un token OIDC. Para usar estos ejemplos, reemplace la dirección de correo electrónico por una variable en su IdP que apunte a la dirección de correo electrónico de un usuario. Puede reemplazar los elementos resaltados en rojo por su información.

  • Atributo SAML: el siguiente ejemplo ilustra un atributo SAML. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    nota

    Si utiliza Okta como IdP, asegúrese de activar un indicador de característica en su cuenta de usuario de Okta para usar SAML. Para obtener más información, consulte Okta y AWS su asociación para simplificar el acceso mediante etiquetas de sesión en el blog de Okta.

  • Token OIDC: el siguiente ejemplo ilustra un ejemplo de token OIDC. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Paso 3: Activa la sincronización del correo electrónico para los usuarios federados en Amazon Quick

Como se ha descrito anteriormente, actualice la relación de confianza del rol de IAM y agregue un atributo SAML o un token OIDC para la etiqueta Principal de IAM en su IdP. A continuación, active la sincronización del correo electrónico para los usuarios federados en Amazon Quick tal y como se describe en el siguiente procedimiento.

Activación de la sincronización del correo electrónico para los usuarios federados

  1. Desde cualquier página de Amazon Quick, elige tu nombre de usuario en la parte superior derecha y, a continuación, selecciona Administrar Amazon Quick.

  2. Seleccione Inicio de sesión único (federación de IAM) en el menú de la izquierda.

  3. En la página Federación de IAM iniciada por el proveedor de servicios, en Sincronización de email para usuarios federados, seleccione ACTIVADO.

    Cuando la sincronización del correo electrónico para los usuarios federados está activada, Amazon Quick utiliza las direcciones de correo electrónico que configuró en los pasos 1 y 2 al aprovisionar nuevos usuarios a su cuenta. Los usuarios no pueden ingresar sus propias direcciones de correo electrónico.

    Cuando la sincronización del correo electrónico para los usuarios federados está desactivada, Amazon Quick pide a los usuarios que introduzcan su dirección de correo electrónico manualmente al aprovisionar nuevos usuarios a su cuenta. Pueden usar las direcciones de correo electrónico que deseen.