Tutorial: Federación de identidades de Amazon Quick Suite e IAM - Amazon Quick Suite

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Federación de identidades de Amazon Quick Suite e IAM

   Se aplica a: Enterprise Edition y Standard Edition 
   Público objetivo: administradores de Amazon Quick Suite y desarrolladores de Amazon Quick Suite 
nota

La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick Suite.

En el siguiente tutorial, encontrará un tutorial para configurar el iDP Okta como un servicio de federación para Amazon Quick Suite. Si bien en este tutorial se muestra la integración de AWS Identity and Access Management (IAM) y Okta, también puede replicar esta solución con el SAML 2.0 que elija. IdPs

En el siguiente procedimiento, se crea una aplicación en el IdP de Okta mediante su atajo «Federación de cuentas AWS ». Okta describe esta aplicación de integración de la siguiente manera:

«Al federar Okta a las cuentas de Identity and Access Management (AWS) de Amazon Web Services () Identity and Access Management (IAM), los usuarios finales obtienen acceso mediante inicio de sesión único a todas las funciones que se les asignan con sus credenciales de Okta. AWS En cada una de ellas Cuenta de AWS, los administradores configuran la federación y configuran las funciones para confiar en Okta. AWS Cuando los usuarios inician sesión AWS, obtienen la experiencia de inicio de sesión único de Okta para ver las funciones asignadas. AWS A continuación, pueden seleccionar el rol que deseen, lo que definirá sus permisos durante la sesión autenticada. Los clientes con un gran número de AWS cuentas pueden utilizar la aplicación AWS Single Sign-On como alternativa». () https://www.okta.com/aws/

Para crear una aplicación de Okta utilizando el acceso directo a la aplicación «Federación de AWS cuentas» de Okta

  1. Inicie sesión en el panel de Okta. Si no tienes una, crea una cuenta gratuita de Okta Developer Edition utilizando esta URL de la marca Amazon Quick Suite. Cuando haya activado su correo electrónico, inicie sesión en Okta.

  2. En el sitio web de Okta, seleccione Consola para desarrolladores <> en la esquina superior izquierda y, a continuación, seleccione IU clásica.

  3. Seleccione Agregar aplicaciones y, luego, Agregar aplicación.

  4. Ingrese aws en Search y seleccione AWS Account Federation en los resultados de la búsqueda.

  5. Seleccione Agregar para crear una instancia de esta aplicación.

  6. En Etiqueta de la application, ingrese AWS Account Federation - Amazon Quick Suite.

  7. Elija Siguiente.

  8. En SAML 2.0, Estado de retransmisión predeterminado, ingrese https://quicksight.aws.amazon.com.

  9. Abra el menú contextual (haga clic con el botón derecho) de Metadatos del proveedor de identidades y guarde el archivo. Nombre el archivo metadata.xml. Necesita esto para el siguiente procedimiento.

    El contenido del archivo es similar a este:

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Una vez guardado el archivo XML, desplácese hasta la parte inferior de la página de Okta y seleccione Listo.

  11. Si es posible, mantenga abierta esta ventana del navegador. La necesitará más adelante en el tutorial.

A continuación, cree un proveedor de identidades en su Cuenta de AWS.

Para crear un proveedor de SAML en (IAM) AWS Identity and Access Management

  1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación, seleccione Proveedores de identidades, Crear proveedor.

  3. Ingrese la siguiente configuración:

    • Tipo de proveedor: elija SAML de la lista.

    • Nombre del proveedor: ingrese Okta.

    • Documento de metadatos: cargue el archivo XML manifest.xml del procedimiento anterior.

  4. Elija Paso siguiente y, a continuación, Crear.

  5. Localice el IdP que creó y elíjalo para ver la configuración. Anote el ARN del proveedor. Lo necesita para terminar el tutorial.

  6. Compruebe que el proveedor de identidades se haya creado con su configuración. En IAM, seleccione Proveedores de identidades, Okta (el IdP que ha agregado) y Descargar los metadatos. El archivo debe ser el que ha cargado recientemente.

A continuación, debe crear una función de IAM para permitir que la federación SAML 2.0 actúe como una entidad de confianza en su seno. Cuenta de AWS Para este paso, debe elegir cómo desea aprovisionar a los usuarios en Amazon Quick Suite. Puede elegir una de las opciones siguientes:

  • Conceda permiso al rol de IAM para que los visitantes primerizos se conviertan automáticamente en usuarios de Amazon Quick Suite.

Creación de un rol de IAM para una federación SAML 2.0 como entidad de confianza

  1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación, elija Roles, Crear rol.

  3. En Seleccionar tipo de entidad de confianza, elija Federación SAML 2.0.

  4. En Proveedor de SAML, seleccione el IdP que creó en el procedimiento anterior, por ejemplo, Okta.

  5. Active la opción Permitir el acceso mediante programación y a la consola de administración de AWS .

  6. Elija Siguiente: permisos.

  7. Pegue la siguiente política en el editor.

    En el editor de políticas, actualice el JSON con el nombre de recurso de Amazon (ARN) de su proveedor. 

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Elija Revisar política.

  9. En Nombre, escriba QuicksightOktaFederatedPolicy y, después, elija Crear política.

  10. Seleccione Crear una política, JSON por segunda vez.

  11. Pegue la siguiente política en el editor.

    En el editor de políticas, actualiza el JSON con tu Cuenta de AWS ID. Debe ser el mismo identificador de cuenta que utilizó en la política anterior en el ARN del proveedor.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Puede omitir el Región de AWS nombre en el ARN, como se muestra a continuación.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Elija Revisar política.

  13. En Nombre, escriba QuicksightCreateReader y, después, elija Crear política.

  14. Actualice la lista de políticas seleccionando el icono de actualización de la derecha.

  15. En Buscar, ingrese QuicksightOktaFederatedPolicy. Elija la política para habilitarlo ( ).

    Si no desea utilizar el aprovisionamiento automático, puede omitir el siguiente paso.

    Para añadir un usuario de Amazon Quick Suite, usa register-user. Para añadir un grupo de Amazon Quick Suite, usa create-group. Para añadir usuarios al grupo Amazon Quick Suite, utilice create-group-membership.

  16. (Opcional) En Buscar, ingrese QuicksightCreateReader. Elija la política para habilitarlo ( ).

    Realice este paso si desea aprovisionar a los usuarios de Amazon Quick Suite automáticamente, en lugar de utilizar la API de Amazon Quick Suite.

    La política QuicksightCreateReader activa el aprovisionamiento automático al permitir el uso de la acción quicksight:CreateReader. Esta acción concede acceso de suscriptor (nivel de lector) al panel a los usuarios primerizos. Un administrador de Amazon Quick Suite podrá actualizarlos posteriormente desde el menú de perfil de Amazon Quick Suite, Administrar usuarios.

  17. Para seguir asociando la política o las políticas de IAM, elija Siguiente: etiquetas.

  18. Elija Siguiente: Revisar.

  19. En Nombre del rol, ingrese QuicksightOktaFederatedRole y, luego, elija Crear rol.

  20. Compruebe que lo ha realizado correctamente siguiendo estos pasos:

    1. Vuelva a la página principal de la consola de IAM en https://console.aws.amazon.com/iam/. Puede utilizar el botón Atrás de su navegador.

    2. Elija Roles.

    3. En Buscar, ingrese Okta. Elija uno QuicksightOktaFederatedRolede los resultados de la búsqueda.

    4. En la página Resumen de la política, examine la pestaña Permisos. Compruebe que el rol tenga la política o las políticas que usted haya asignado. Debería tener QuicksightOktaFederatedPolicy. Si eligió agregar la capacidad de crear usuarios, también debería tener QuicksightCreateReader.

    5. Utilice el icono para abrir cada política. Compruebe que el texto coincida con lo que se muestra en este procedimiento. Comprueba que has añadido tu propio Cuenta de AWS número en lugar del número de cuenta del ejemplo: 1111.

    6. En la pestaña Relaciones de confianza, compruebe que el campo Entidades de confianza contiene el ARN del proveedor de identidades. Puede comprobar el ARN en la consola de IAM abriendo Proveedores de identidades, Okta.

Creación de una clave de acceso para Okta

  1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/iam/

  2. Agregue una política que permita a Okta mostrar al usuario una lista de roles de IAM. Para ello, elija Política, Crear una política.

  3. Elija JSON y, a continuación, ingrese la siguiente política.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Elija Revisar política.

  5. En Nombre, ingrese OktaListRolesPolicy. A continuación, elija Crear política.

  6. Agregue un usuario para poder proporcionar a Okta una clave de acceso.

    En el panel de navegación, elija Usuarios, Agregar usuario.

  7. Utilice los siguientes valores:

    • En Nombre de usuario, escriba OktaSSOUser.

    • En Tipo de acceso, elija Acceso mediante programación.

  8. Elija Siguiente: permisos.

  9. Elija Adjuntar directamente políticas existentes.

  10. En BuscarOktaListRolesPolicy, introduzca y elija uno de los resultados OktaListRolesPolicyde la búsqueda.

  11. Elija Siguiente: Etiquetas y, a continuación, seleccione Siguiente: Revisar.

  12. Seleccione la opción Crear usuario. Ahora puede obtener la clave de acceso.

  13. Para descargar el par de claves, elija Descargar archivo .csv. El archivo contiene el mismo ID de clave de acceso y la misma clave de acceso secreta que se muestra en esta pantalla. Sin embargo, dado que AWS no muestra esta información por segunda vez, asegúrese de descargar el archivo.

  14. Compruebe que haya completado este paso correctamente haciendo lo siguiente:

    1. Abra la consola de IAM y elija Usuarios. Busca Okta y SSOUser ábrelo eligiendo el nombre de usuario de los resultados de la búsqueda.

    2. En la pestaña Permisos, comprueba que OktaListRolesPolicyesté adjunto.

    3. Utilice el icono para abrir la política. Compruebe que el texto coincida con lo que se muestra en este procedimiento.

    4. En la pestaña Credenciales de seguridad, puede comprobar la clave de acceso, aunque ya la haya descargado. Puede volver a esta pestaña para crear una clave de acceso cuando necesite una nueva.

En el siguiente procedimiento, vuelva a Okta para proporcionar la clave de acceso. La clave de acceso funciona con la nueva configuración de seguridad para permitir que AWS el IDP de Okta funcione en conjunto.

Para terminar de configurar la aplicación Okta con los ajustes AWS

  1. Vuelva al panel de Okta. Inicie sesión si se le solicita. Si la consola para desarrolladores ya no está abierta, seleccione Administrador para volver a abrirla.

  2. Si tiene que volver a abrir Okta, puede volver a esta sección siguiendo estos pasos:

    1. Inicie sesión en Okta. Elija Aplicaciones.

    2. Elija AWS Account Federation - Amazon Quick Suite, la aplicación que creó al principio de este tutorial.

    3. Elija la pestaña Iniciar sesión, entre General y Móvil.

  3. Vaya a Configuración de inicio de sesión avanzada.

  4. En ARN del proveedor de identidades (obligatorio solo para la federación de IAM de SAML), ingrese el ARN del proveedor del procedimiento anterior, por ejemplo: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Seleccione Listo o Guardar. El nombre del botón varía en función de si está creando o editando la aplicación.

  6. Seleccione la pestaña Aprovisionamiento y, en la parte inferior de la pestaña, elija Configurar la integración de la API.

  7. Active Habilitar la integración de la API para mostrar la configuración.

  8. En Clave de acceso y Clave secreta, proporcione la clave de acceso y la clave secreta que descargó anteriormente en un archivo con el nombre OktaSSOUser_credentials.csv.

  9. Seleccione Probar las credenciales de la API. Consulte la configuración Habilitar la integración de la API para ver un mensaje que confirme que AWS Account Federation se verificó correctamente.

  10. Seleccione Guardar.

  11. Asegúrese de que la opción Para la aplicación esté resaltada a la izquierda y seleccione Editar a la derecha.

  12. En Crear usuarios, active la opción Habilitar.

  13. Seleccione Save.

  14. En la pestaña Asignaciones, cerca de Aprovisionamiento e Importar, seleccione Asignar.

  15. Realice una o varias de las siguientes acciones para habilitar el acceso federado:

    • Para trabajar con usuarios individuales, elija Asignar a personas.

    • Para trabajar con grupos de IAM, elija Asignar a grupos. Puede elegir grupos de IAM específicos o Todos (todos los usuarios de su organización).

  16. Realice lo siguiente para cada usuario o grupo de IAM:

    1. Elija Asignar, Rol.

    2. Seleccione una función QuicksightOktaFederatedRolede la lista de funciones de IAM.

    3. Para las funciones de usuario de SAML, habilite. QuicksightOktaFederatedRole

  17. Seleccione Guardar y volver y, a continuación, seleccione, Listo.

  18. Compruebe que ha completado este paso correctamente. Para ello, seleccione el filtro Personas o Grupos de la izquierda y compruebe los usuarios o grupos que ha introducido. Si no puede completar este proceso porque el rol que creó no aparece en la lista, vuelva a los procedimientos anteriores para comprobar la configuración.

Para iniciar sesión en Amazon Quick Suite mediante Okta (inicio de sesión del IdP al proveedor de servicios)

  1. Si utiliza una cuenta de administrador de Okta, cambie al modo de usuario.

  2. Inicie sesión en el panel de aplicaciones de Okta con un usuario al que se le haya concedido acceso federado. Deberías ver una nueva aplicación con tu etiqueta, por ejemplo, AWS Account Federation - Amazon Quick Suite.

  3. Seleccione el icono de la aplicación para iniciar AWS Account Federation - Amazon Quick Suite.

Ahora puede gestionar las identidades con Okta y utilizar el acceso federado con Quick Suite.

El siguiente procedimiento es una parte opcional de este tutorial. Si sigue sus pasos, autoriza a Amazon Quick Suite a reenviar las solicitudes de autorización al IdP en nombre de sus usuarios. Con este método, los usuarios pueden iniciar sesión en Amazon Quick Suite sin necesidad de iniciar sesión primero con la página de IdP.

(Opcional) Para configurar Amazon Quick Suite para enviar solicitudes de autenticación a Okta

  1. Abre Amazon Quick Suite y selecciona Administrar Amazon Quick Suite en el menú de tu perfil.

  2. Seleccione Inicio de sesión único (federación de IAM) en el panel de navegación.

  3. En Configuración, URL del IdP, introduzca la URL que proporciona el IdP para autenticar a los usuarios, por ejemplo, https://dev - .okta. 1-----0 com/home/amazon_aws/. 0oabababababaGQei5d5/282 Puede encontrarla en la página la aplicación Okta, en la pestaña General, en Insertar enlace.

  4. En URL de proveedor de identidad, ingrese RelayState.

  5. Realice una de las siguientes acciones:

    • Para probar primero el inicio de sesión con su proveedor de identidades, use la URL personalizada que se proporciona en Inicio de la prueba con el IdP. Deberías llegar a la página de inicio de Amazon Quick Suite, por ejemplo, https://quicksight.aws.amazon.com/sn/ start.

    • Para probar primero el inicio de sesión con Amazon Quick Suite, usa la URL personalizada que se proporciona en Prueba la end-to-end experiencia. El parámetro enable-sso se adjunta a la URL. Si enable-sso=1, la federación de IAM intenta autenticarse. Sienable-sso=0, Amazon Quick Suite no envía la solicitud de autenticación e inicias sesión en Amazon Quick Suite como antes.

  6. En Estado, elija ACTIVADO.

  7. Seleccione Guardar para conservar los ajustes.

Puede crear un enlace directo a un panel de Amazon Quick Suite para permitir a los usuarios utilizar la federación de IAM para conectarse directamente a paneles específicos. Para ello, agregue el indicador de estado de la retransmisión y la URL del panel a la URL de inicio de sesión único de Okta, tal y como se describe a continuación.

Para crear un enlace directo a un panel de Amazon Quick Suite para el inicio de sesión único

  1. Busque la URL de inicio de sesión único (federación de IAM) de la aplicación Okta en el archivo metadata.xml que descargó al principio del tutorial. Encontrará la URL cerca de la parte inferior del archivo, en el elemento denominado md:SingleSignOnService. Se asigna el nombre Location al atributo y el valor termina en /sso/saml, como se muestra en el siguiente ejemplo.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Toma el valor de la URL de federación de IAM y ?RelayState= añádelo seguido de la URL de tu panel de Amazon Quick Suite. El parámetro RelayState transmite el estado (la URL) en el que se encontraba el usuario cuando se le redirigió a la URL de autenticación.

  3. A la nueva federación de IAM con el estado de retransmisión agregado, añada la URL de su panel de Amazon Quick Suite. La URL resultante debería ser similar a la siguiente:

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Si el enlace que ha creado no se abre, compruebe que está utilizando la URL de federación de IAM más reciente de metadata.xml. Compruebe también que el nombre de usuario que utiliza para iniciar sesión no esté asignado a más de una aplicación Okta de la federación de IAM.