Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de identidades
Research and Engineering Studio puede utilizar cualquier proveedor de identidad compatible con SAML 2.0. Para usar Amazon Cognito como un directorio de usuarios nativo que permite a los usuarios iniciar sesión en el portal web y en Linux basado en identidades de usuario de VDIs Cognito, consulte. [Configuración de los usuarios de Amazon Cognito](setting-up-cognito-users.md) Si implementó RES con recursos externos o planea usar el centro de identidad de IAM, consulte. [Configuración del inicio de sesión único (SSO) con el Centro de identidad de IAM](sso-idc.md) Si tiene su propio proveedor de identidad compatible con SAML 2.0, consulte. [Configuración del proveedor de identidad para el inicio de sesión único (SSO)](configure-id-federation.md)
**Topics**
+ [
# Configuración de los usuarios de Amazon Cognito
](setting-up-cognito-users.md)
+ [
# Sincronización de Active Directory
](active-directory-sync.md)
+ [
# Configuración del inicio de sesión único (SSO) con el Centro de identidad de IAM
](sso-idc.md)
+ [
# Configuración del proveedor de identidad para el inicio de sesión único (SSO)
](configure-id-federation.md)
+ [
# Establecer contraseñas para los usuarios
](setting-user-passwords.md)
# Configuración de los usuarios de Amazon Cognito
Research and Engineering Studio (RES) le permite configurar Amazon Cognito como un directorio de usuarios nativo. Esto permite a los usuarios iniciar sesión en el portal web y en la versión basada en Linux con las identidades de usuario de Amazon VDIs Cognito. Los administradores pueden importar varios usuarios al grupo de usuarios mediante un archivo csv de la consola. AWS Para obtener más información sobre la importación masiva de usuarios, consulte [Importación de usuarios a grupos de usuarios desde un archivo CSV](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) en la Guía *para desarrolladores de Amazon Cognito*. RES admite el uso conjunto de un directorio de usuarios nativos basado en Amazon Cognito y el SSO.
## Configuración administrativa
**Como administrador de RES, para configurar el entorno RES para usar Amazon Cognito como directorio de usuarios, active el botón Usar **Amazon Cognito como directorio de usuarios en la página de administración de identidades, a** **la que se puede acceder desde la página de administración** del entorno.** Para permitir que los usuarios se registren automáticamente, active el botón de **registro automático de usuarios** en esa misma página.
![\[Página de administración de identidades que muestra la configuración del directorio cognitivo\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/id-management-cognito-directory.png)
## Flujo de inicio de sesión de up/sign los usuarios
Si **el registro automático** de usuarios está activado, puede proporcionar a sus usuarios la URL de su aplicación web. Allí, los usuarios encontrarán una opción que dice **¿Aún no eres usuario? Inscríbase aquí**.
![\[Página de inicio de sesión de usuario con opción de autoregistro\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/user-sign-up.png)
## Flujo de registro
Usuarios que elijan **¿Aún no eres usuario? Si se registran aquí**, se les pedirá que introduzcan su correo electrónico y contraseña para crear una cuenta.
![\[Cree una página de cuenta para el autorregistro de los usuarios\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/create-account.png)
Como parte del proceso de registro, se les pedirá a los usuarios que introduzcan el código de verificación recibido en su correo electrónico para completar el proceso de registro.
![\[Página de entrada del código de verificación\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/verify-email.png)
Si el registro automático está desactivado, los usuarios no verán el enlace de registro. Los administradores deben configurar los usuarios en Amazon Cognito fuera de RES. (Consulte [Creación de cuentas de usuario como administrador](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) en la *Guía para desarrolladores de Amazon Cognito*).
![\[Página de entrada de códigos de verificación\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/user-sign-in.png)
## Opciones de página de inicio de sesión
Si tanto el SSO como Amazon Cognito están habilitados, aparecerá la opción **Iniciar sesión con el SSO de la organización**. Cuando los usuarios hagan clic en esa opción, se les redirigirá a su página de inicio de sesión única. De forma predeterminada, los usuarios se autenticarán con Amazon Cognito si está activado.
![\[Página de inicio de sesión de usuario con opciones para registrarse, verificar la cuenta o iniciar sesión con el SSO de la organización\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/org-sso-sign-in.png)
## Restricciones
+ El **nombre de su grupo** de Amazon Cognito puede tener un máximo de seis letras; solo se aceptan letras minúsculas.
+ El registro en Amazon Cognito no permitirá dos direcciones de correo electrónico con el mismo nombre de usuario pero con una dirección de dominio diferente.
+ Si Active Directory y Amazon Cognito están habilitados y el sistema detecta un nombre de usuario duplicado, solo los usuarios de Active Directory podrán autenticarse. Los administradores deben tomar medidas para no configurar nombres de usuario duplicados entre Amazon Cognito y su Active Directory.
+ Los usuarios de Cognito no podrán iniciar instancias basadas en Windows, VDIs ya que RES no admite la autenticación basada en Amazon Cognito para instancias de Windows.
## Grupo de administradores para usuarios de Amazon Cognito
De forma predeterminada, RES concede a los usuarios de Cognito el privilegio de administrador del `admins` grupo. Para añadir usuarios al grupo Cognito`admins`:
1. Navegue hasta la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home) y elija el grupo de usuarios existente utilizado para RES.
1. Vaya a **Grupos** en **Administración de usuarios** y, a continuación, seleccione **Crear un grupo**.
1. En la página **Crear un grupo**, en **Nombre del grupo,** introduzca`admins`.
1. Seleccione el `admins` grupo que ha creado y elija **Añadir usuario al grupo para** añadir usuarios de Cognito.
1. Inicie la sincronización de Cognito manualmente de la siguiente manera. [Sincronización](#setting-up-cognito-users-sync)
Tras una sincronización correcta de Amazon Cognito, los usuarios añadidos al `admins` grupo recibirán privilegios de administrador.
## Sincronización
RES sincroniza su base de datos con la información de usuarios y grupos de Amazon Cognito cada hora. A todos los usuarios que pertenezcan al grupo «administradores» se les otorgará el privilegio de sudo en su grupo. VDIs
También puede iniciar la sincronización manualmente desde la consola Lambda.
**Inicie el proceso de sincronización manualmente:**
1. Abra la [consola de Lambda](https://console.aws.amazon.com/lambda).
1. Busca la Lambda de sincronización de Cognito. Esta Lambda sigue esta convención de nomenclatura:. `{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`
1. Seleccione **Probar**.
1. En la sección **Evento de prueba**, selecciona el botón **de prueba** en la parte superior derecha. No importa el formato del cuerpo del evento.
## Consideraciones de seguridad para Cognito
Antes de la versión 2024.12, el [registro de actividad de los usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html), que forma parte de la función del plan Amazon Cognito Plus, estaba habilitado de forma predeterminada. Esta función se eliminó de la implementación básica para ahorrar costos a los clientes que desean probar RES. Puede volver a activar esta función según sea necesario para ajustarla a la configuración de seguridad en la nube de su organización.
# Sincronización de Active Directory
## Configuración de tiempo de ejecución
Todos los AWS CloudFormation parámetros relacionados con Active Directory (AD) son opcionales durante la instalación.
![\[Detalles opcionales de Active Directory\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/active-directory-details.png)
Para cualquier ARN secreto proporcionado en tiempo de ejecución (por ejemplo, `ServiceAccountCredentialsSecretArn` o`DomainTLSCertificateSecretArn`), asegúrese de añadir las siguientes etiquetas al secreto para que RES obtenga permisos para leer el valor secreto:
+ clave: `res:EnvironmentName`, valor: ``
+ clave: `res:ModuleName`, valor: `directoryservice`
Todas las actualizaciones de la configuración de AD que se introduzcan en el portal web se recogerán automáticamente durante la próxima sincronización programada de AD (cada hora). Es posible que los usuarios tengan que volver a configurar el SSO después de cambiar la configuración de AD (por ejemplo, si cambian a un AD diferente).
Tras la instalación inicial, los administradores pueden ver o editar la configuración de AD en el portal web de RES, en la página de **administración de identidades**:
![\[Detalles de los ajustes de configuración del dominio de Active Directory\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-active-directory-domain.png)
![\[Ventana emergente de sincronización de Active Directory\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/active-directory-synchronization.png)
### Únase automáticamente a Active Directory
Los administradores pueden configurar la opción **Unirse automáticamente a Active Directory** para controlar el comportamiento de unión al dominio del directorio durante el lanzamiento de la VDI.
**Opciones de configuración:**
+ **Habilitado**: une automáticamente Windows y Linux VDIs al dominio de su directorio durante el lanzamiento.
+ **Desactivado**: desactiva la unión automática a un dominio. Las instancias de Linux se pueden lanzar con o sin la unión de un dominio. Las instancias de Windows requieren la unión de dominios para lanzarse correctamente, por lo que los administradores deben incluir la lógica de unión de dominios en sus scripts de lanzamiento personalizados.
**importante**
Si deshabilita esta configuración, compruebe que los scripts de lanzamiento personalizados de las instancias de Windows incluyan la lógica de unión a dominios necesaria.
### Ajustes adicionales
**Filtros**
Los administradores pueden filtrar los usuarios o grupos para sincronizarlos mediante las opciones Filtro de **usuarios y Filtro** de **grupos**. Los filtros deben seguir la sintaxis del [filtro LDAP](https://ldap.com/ldap-filters/). Un filtro de ejemplo es:
```
(sAMAccountname=)
```
**Parámetros SSSD personalizados**
Los administradores pueden proporcionar un diccionario de pares clave-valor que contenga parámetros y valores de SSSD para escribirlos en la `[domain_type/DOMAIN_NAME]` sección del archivo de configuración de SSSD de las instancias de clúster. RES aplica las actualizaciones de SSSD automáticamente: reinicia el servicio SSSD en las instancias del clúster y activa el proceso de sincronización de AD.
Algunas de las configuraciones de SSSD personalizadas más comunes son:
+ `enumerate`- Configúrelo en «true» para almacenar en caché todas las entradas de usuarios y grupos del servicio de directorio. Si se desactiva, se podría retrasar un poco el primer inicio de sesión de los usuarios.
+ `ldap_id_mapping`- Configúrelo en «true» para asignar LDAP/AD el usuario y el grupo IDs al UIDs entorno local y GIDs al sistema Linux. Si se activa, se puede mejorar la compatibilidad con las aplicaciones y scripts POSIX existentes.
Para obtener una descripción completa del archivo de configuración SSSD, consulte las páginas de manual de Linux de. `SSSD`
![\[Configuraciones SSSD adicionales\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-additional-sssd-config1.png)
Los parámetros y valores del SSSD deben ser compatibles con la configuración del RES SSSD, tal como se describe aquí:
+ `id_provider`está configurado internamente por RES y no debe modificarse.
+ Las configuraciones relacionadas con AD`ldap_uri`, incluidas las demás configuraciones de AD proporcionadas`ldap_search_base`, `ldap_default_bind_dn` `ldap_default_authtok` se configuran en función de las demás configuraciones de AD proporcionadas y no deben modificarse.
El siguiente ejemplo habilita el nivel de depuración de los registros de SSSD:
![\[Configuraciones SSSD adicionales que muestran el nuevo par de clave y valor ingresado\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-additional-sssd-config2.png)
## Actualización del correo electrónico tras la sincronización inicial de AD (versión 2025.09 y versiones posteriores)
Si la dirección de correo electrónico de un usuario de Active Directory ha cambiado, los administradores pueden iniciar la sincronización de AD manualmente o esperar a que se recoja el cambio y se sincronice con RES en la siguiente sincronización de AD programada.
## Cómo iniciar o detener la sincronización manualmente (versión 2025.03 y versiones posteriores)
Vaya a la página **de administración de identidades** y pulse el botón **Iniciar la sincronización de AD** en el contenedor de **dominios de Active Directory** para activar una sincronización de AD bajo demanda.
![\[Configuraciones de dominio de Active Directory\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-ad-directory-sync1.png)
Para detener una sincronización de AD en curso, seleccione el botón **Detener la sincronización de AD** en el contenedor de **dominios de Active Directory**.
![\[Página de configuración de dominios de Active Directory que muestra la opción de detener la sincronización\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-ad-directory-sync2.png)
También puede comprobar el estado de la sincronización de AD y la última hora de sincronización en el contenedor de **dominios de Active Directory**.
![\[Página de configuraciones de dominio de Active Directory que muestra la última hora de sincronización\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-ad-directory-sync3.png)
## Cómo ejecutar la sincronización manualmente (versiones 2024.12 y 2024.12.01)
El proceso de sincronización de Active Directory se ha trasladado del host de infraestructura de Cluster Manager a una tarea única de Amazon Elastic Container Service (ECS) en segundo plano. El proceso está programado para ejecutarse cada hora y puede encontrar una tarea de ECS en ejecución en la consola de Amazon ECS, en el `-ad-sync-cluster` clúster, mientras está en curso.
**Para lanzarla manualmente:**
1. Vaya a la [consola de Lambda](https://console.aws.amazon.com/lambda) y busque la lambda llamada. `-scheduled-ad-sync`
1. **Abra la función Lambda y vaya a Probar**
1. En el **JSON de eventos**, introduzca lo siguiente:
```
{
"detail-type": "Scheduled Event"
}
```
1. Seleccione **Probar**
1. Observe los registros de la tarea de sincronización de AD en ejecución en **CloudWatch**→ **Grupos de registros** →`//ad-sync`. Verás los registros de cada una de las tareas de ECS en ejecución. Seleccione la más reciente para ver los registros.
**nota**
Si cambias los parámetros de AD o añades filtros de AD, RES añadirá los nuevos usuarios con los parámetros recién especificados y eliminará los usuarios que se hayan sincronizado previamente y que ya no estén incluidos en el espacio de búsqueda de LDAP.
RES no puede eliminar un usuario o grupo que esté asignado activamente a un proyecto. Debe eliminar usuarios de los proyectos para que RES los elimine del entorno.
## Configuración del SSO
Una vez proporcionada la configuración de AD, los usuarios deben configurar el inicio de sesión único (SSO) para poder iniciar sesión en el portal web de RES como usuarios de AD. **La configuración del SSO se trasladó de la página de **configuración general** a la nueva página de administración de identidades.** Para obtener más información sobre la configuración del SSO, consulte. [Administración de identidades](manage-users.md)
# Configuración del inicio de sesión único (SSO) con el Centro de identidad de IAM
Si aún no tiene un centro de identidad conectado al Active Directory administrado, comience con[Paso 1: Configurar un centro de identidad](#set-up-identity-center). Si ya tiene un centro de identidad conectado al Active Directory administrado, comience con[Paso 2: Conectarse a un centro de identidad](#connect-identity-center).
**nota**
Si va a realizar la implementación en una GovCloud región, configure el inicio de sesión único en la cuenta de AWS GovCloud (US) partición en la que implementó Research and Engineering Studio.
## Paso 1: Configurar un centro de identidad
### Habilitación de IAM Identity Center
1. Inicie sesión en la [consola de AWS Identity and Access Management](https://console.aws.amazon.com/iam).
1. Abra el **Centro de identidad**.
1. Seleccione **Habilitar**.
1. Elija **Activar con AWS Organizations**.
1. Elija **Continuar**.
**nota**
Asegúrese de estar en la misma región en la que tiene su Active Directory administrado.
### Conexión del Centro de Identidad de IAM a un Active Directory administrado
Tras activar el Centro de identidades de IAM, complete estos pasos de configuración recomendados:
1. En el panel de navegación, seleccione **Configuración**.
1. En **Fuente de identidad**, elija **Acciones** y elija **Cambiar fuente de identidad**.
1. En **Directorios existentes**, selecciona tu directorio.
1. Elija **Siguiente**.
1. Revise los cambios e **ACCEPT** introdúzcalos en el cuadro de confirmación.
1. Elija **Cambiar fuente de identidad**.
### Sincronizar usuarios y grupos con el centro de identidad
Una vez que se hayan completado [Conexión del Centro de Identidad de IAM a un Active Directory administrado](#connecting-identity-center-ad) los cambios realizados, aparecerá un banner de confirmación verde.
1. En el banner de confirmación, selecciona **Iniciar la configuración guiada**.
1. **En **Configurar asignaciones de atributos**, seleccione Siguiente.**
1. En la sección **Usuario**, introduce los usuarios que deseas sincronizar.
1. Seleccione **Añadir**.
1. Elija **Siguiente**.
1. Revisa los cambios y, a continuación, selecciona **Guardar configuración**.
1. El proceso de sincronización puede tardar unos minutos. Si recibes un mensaje de advertencia sobre los usuarios que no se están sincronizando, selecciona **Reanudar la sincronización**.
### Habilitar usuarios
1. En el menú, selecciona **Usuarios**.
1. Seleccione los usuarios para los que desea habilitar el acceso.
1. Elija **Habilitar el acceso de los usuarios**.
## Paso 2: Conectarse a un centro de identidad
### Configuración de la aplicación en el Centro de Identidad de IAM
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon/).
1. Elija **Aplicaciones**.
1. Elija **Añadir aplicación**.
1. En las **preferencias de configuración**, elija **Tengo una aplicación que quiero configurar.**
1. En **Tipo de aplicación**, seleccione **SAML 2.0**.
1. Elija **Siguiente**.
1. Introduzca el nombre para mostrar y la descripción que desee utilizar.
1. En **Metadatos del Centro de Identidad de IAM, copie el enlace del archivo de metadatos** **SAML del Centro de Identidad de IAM**. Lo necesitará al configurar el Centro de identidades de IAM con el portal RES.
1. En **Propiedades de la aplicación**, introduzca la **URL de inicio de la aplicación**. Por ejemplo, `/sso`.
1. En **la URL ACS de la aplicación**, introduzca la URL de redireccionamiento desde el portal RES. Para encontrar esto:
1. En **Administración del entorno**, selecciona **Configuración general**.
1. Seleccione la pestaña **Proveedor de identidades**.
1. En el inicio de **sesión único, encontrarás la** URL de redireccionamiento de **SAML.**
1. En **Audiencia SAML de la aplicación**, introduzca la URN de Amazon Cognito.
Para crear la urna:
1. Desde el portal RES, abra la **configuración general**.
1. En la pestaña **Proveedor de identidades**, localice el **ID del grupo de usuarios**.
1. Agregue el **ID del grupo de usuarios** a esta cadena:
```
urn:amazon:cognito:sp:
```
1. **Tras introducir la URN de Amazon Cognito, seleccione Enviar.**
### Configuración de las asignaciones de atributos para la aplicación
1. En el **Centro de identidades**, abra los detalles de la aplicación que ha creado.
1. Elija **Acciones** y, a continuación, elija **Editar asignaciones de atributos**.
1. En **Asunto**, introduzca **\$1\$1user:email\$1**.
1. **En **Formato**, selecciona Dirección de correo electrónico.**
1. Seleccione **Agregar nueva asignación de atributos**.
1. En el **campo Atributo de usuario de la aplicación**, introduce «correo electrónico».
1. En **Asignar a este valor de cadena o atributo de usuario del Centro de Identidad de IAM**, introduzca. **\$1\$1user:email\$1**
1. En **Formato**, escriba «sin especificar».
1. Seleccione **Save changes (Guardar cambios)**.
### Añadir usuarios a la aplicación en el Centro de identidades de IAM
1. En el Centro de identidades, abra **Usuarios asignados** para la aplicación que haya creado y elija **Asignar usuarios**.
1. Seleccione los usuarios a los que desee asignar el acceso a la aplicación.
1. Elija **Assign users (Asignar usuarios)**.
### Configuración del centro de identidad de IAM en el entorno RES
1. En el entorno de Research and Engineering Studio, en **Administración del entorno**, abra **Configuración general**.
1. Abra la pestaña **Proveedor de identidades**.
1. En Inicio de **sesión único**, selecciona **Editar** (junto a **Estado**).
1. Complete el formulario con la siguiente información:
1. Elija **SAML**.
1. En **Nombre del proveedor**, introduzca un nombre fácil de usar.
1. Seleccione **Introducir la URL del punto final del documento de metadatos**.
1. Introduzca la URL que copió durante el proceso[Configuración de la aplicación en el Centro de Identidad de IAM](#setup-application-identity-center).
1. En el **atributo de correo electrónico del proveedor**, introduce «correo electrónico».
1. Seleccione **Enviar**.
1. Actualiza la página y comprueba que el **estado** se muestre como activado.
# Configuración del proveedor de identidad para el inicio de sesión único (SSO)
Research and Engineering Studio se integra con cualquier proveedor de identidad SAML 2.0 para autenticar el acceso de los usuarios al portal RES. Estos pasos proporcionan instrucciones para la integración con el proveedor de identidades de SAML 2.0 que elija. Si tiene intención de utilizar el Centro de identidades de IAM, consulte. [Configuración del inicio de sesión único (SSO) con el Centro de identidad de IAM](sso-idc.md)
**nota**
El correo electrónico del usuario debe coincidir en la afirmación SAML del IDP y en Active Directory. Deberá conectar su proveedor de identidad con su Active Directory y sincronizar los usuarios periódicamente.
**Topics**
+ [
## Configure su proveedor de identidad
](#configure-id-federation_config-idp)
+ [
## Configure RES para usar su proveedor de identidad
](#configure-id-federation_config-res)
+ [
## Configurar el proveedor de identidades en un entorno que no sea de producción
](#configure-id-federation-demo-env)
+ [
## Depuración de problemas de IdP de SAML
](#configure-id-federation_debug)
## Configure su proveedor de identidad
En esta sección se proporcionan los pasos para configurar su proveedor de identidad con información del grupo de usuarios de Amazon Cognito de RES.
1. RES presupone que tiene un AD (AD AWS gestionado o un AD autoaprovisionado) con las identidades de usuario autorizadas para acceder al portal y a los proyectos de RES. Conecte su AD a su proveedor de servicios de identidad y sincronice las identidades de los usuarios. Consulta la documentación de tu proveedor de identidad para obtener información sobre cómo conectar tu AD y sincronizar las identidades de los usuarios. Por ejemplo, consulte [Uso de Active Directory como fuente de identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) en la *Guía del AWS IAM Identity Center usuario*.
1. Configure una aplicación SAML 2.0 para RES en su proveedor de identidad (IdP). Esta configuración requiere los siguientes parámetros:
+ **URL de redireccionamiento de SAML**: la URL que utiliza su IdP para enviar la respuesta de SAML 2.0 al proveedor de servicios.
**nota**
Según el IdP, la URL de redireccionamiento de SAML puede tener un nombre diferente:
URL de aplicación
URL del Servicio de Consumer de Afirmación (ACS)
URL de enlace POST de ACS
**Para obtener la URL**
1. Inicie sesión en RES como **administrador o administrador** de **clústeres**.
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
1. Elija la **URL de redireccionamiento de SAML**.
+ **URI de audiencia de SAML**: el ID único de la entidad de audiencia de SAML por parte del proveedor de servicios.
**nota**
Según el IdP, el URI de audiencia de SAML puede tener un nombre diferente:
ClientID
Aplicación: SAML Audience
ID de entidad del SP
Proporcione la entrada en el siguiente formato.
```
urn:amazon:cognito:sp:user-pool-id
```
**Para encontrar tu URI de audiencia de SAML**
1. Inicia sesión en RES como **administrador o administrador de** **clústeres**.
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
1. Elija **el ID del grupo de usuarios**.
1. La afirmación de SAML publicada en RES debe tener la siguiente fields/claims configuración en la dirección de correo electrónico del usuario:
+ Asunto o NameID de SAML
+ Correo electrónico SAML
1. Su IdP se agrega fields/claims a la afirmación SAML en función de la configuración. RES requiere estos campos. La mayoría de los proveedores rellenan estos campos automáticamente de forma predeterminada. Consulte las siguientes entradas y valores de los campos si tiene que configurarlos.
+ **AudienceRestriction**: se establece en `urn:amazon:cognito:sp:user-pool-id`. *user-pool-id*Sustitúyalo por el ID de tu grupo de usuarios de Amazon Cognito.
```
urn:amazon:cognito:sp:user-pool-id
```
+ **Respuesta**: se establece en`InResponseTo`. `https://user-pool-domain/saml2/idpresponse` *user-pool-domain*Sustitúyalo por el nombre de dominio de tu grupo de usuarios de Amazon Cognito.
```
```
+ **SubjectConfirmationData**— `Recipient` Configúrelo en el `saml2/idpresponse` punto final de su grupo de usuarios y `InResponseTo` en el ID de solicitud SAML original.
```
```
+ **AuthnStatement**— Configúralo de la siguiente manera:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Si su aplicación SAML tiene un campo de URL de cierre de sesión, configúrelo en:. `/saml2/logout`
**Para obtener la URL del dominio**
1. Inicie sesión en RES como **administrador o administrador** de **clústeres**.
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
1. Elija la **URL del dominio**.
1. Si su IdP acepta un certificado de firma para establecer la confianza en Amazon Cognito, descargue el certificado de firma de Amazon Cognito y cárguelo en su IdP.
**Para obtener el certificado de firma**
1. Abra la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Seleccione su grupo de usuarios. Su grupo de usuarios debería serlo`res--user-pool`.
1. Seleccione la pestaña **Experiencia de inicio de sesión**.
1. En la sección de inicio de **sesión con un proveedor de identidad federado**, selecciona **Ver** certificado de firma.
![\[La consola de Amazon Cognito con el botón Ver certificado de firma en la sección de inicio de sesión del proveedor de identidad federado para un grupo de usuarios seleccionado.\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/cognito-user-pool-signing-cert.png)
Puede usar este certificado para configurar el IDP de Active Directory, agregar un `relying party trust` y habilitar la compatibilidad con SAML en la parte que confía.
**nota**
Esto no se aplica a Keycloak ni a IDC.
1. Una vez completada la configuración de la aplicación, descargue el XML o la URL de los metadatos de la aplicación SAML 2.0. Lo usarás en la siguiente sección.
## Configure RES para usar su proveedor de identidad
**Para completar la configuración del inicio de sesión único para RES**
1. **Inicie sesión en RES como **administrador o administrador de clústeres**.**
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
![\[La interfaz de usuario de configuración del entorno en RES, que incluye una sección para el inicio de sesión único.\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/environment-settings.png)
1. En el **inicio de sesión único**, seleccione el icono de edición situado junto al indicador de estado para abrir la página de configuración del inicio de **sesión único**.
![\[La interfaz de usuario de la configuración de inicio de sesión único en RES.\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/sso-config.png)
1. En **Identity Provider**, elija **SAML.**
1. En **Nombre del proveedor**, introduce un nombre único para tu proveedor de identidad.
**nota**
No se permiten los siguientes nombres:
Cognito
IdentityCenter
1. En **Fuente del documento de metadatos**, elija la opción adecuada y cargue el documento XML de metadatos o proporcione la URL del proveedor de identidad.
1. En el **campo Atributo de correo electrónico del proveedor**, introduzca el valor del texto`email`.
1. Seleccione **Enviar**.
1. Vuelva a cargar la página de **configuración del entorno**. El inicio de sesión único está habilitado si la configuración es correcta.
## Configurar el proveedor de identidades en un entorno que no sea de producción
Si utilizó los [recursos externos](prerequisites.md#external-resources) proporcionados para crear un entorno RES que no fuera de producción y configuró IAM Identity Center como su proveedor de identidades, puede que desee configurar un proveedor de identidades diferente, como Okta. El formulario de activación del SSO de RES solicita tres parámetros de configuración:
1. Nombre del proveedor: no se puede modificar
1. Documento de metadatos o URL: se puede modificar
1. Atributo de correo electrónico del proveedor: se puede modificar
**Para modificar el documento de metadatos y el atributo de correo electrónico del proveedor, haga lo siguiente:**
1. Vaya a la consola de Amazon Cognito.
1. En la barra de navegación, elija **Grupos de usuarios**.
1. Seleccione su grupo de usuarios para ver la **descripción general del grupo de usuarios**.
1. En la pestaña **Experiencia de inicio de sesión**, vaya a Inicio de **sesión con un proveedor de identidad federado y abra el** proveedor de identidad configurado.
1. Por lo general, solo tendrás que cambiar los metadatos y dejar la asignación de atributos sin cambios. Para actualizar la **asignación de atributos**, seleccione **Editar**. Para actualizar el **documento de metadatos**, seleccione **Reemplazar metadatos**.
![\[Descripción general del grupo de usuarios de Amazon Cognito.\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-attributemetadata.png)
1. Si ha editado la asignación de atributos, tendrá que actualizar la `.cluster-settings` tabla en DynamoDB.
1. Abra la consola de DynamoDB y **seleccione** Tablas en la barra de navegación.
1. Busque y seleccione la `.cluster-settings` tabla y, en el menú **Acciones**, seleccione **Explorar** elementos.
1. En **Escanear o consultar elementos**, vaya a **Filtros** e introduzca los siguientes parámetros:
+ **Nombre del atributo**: `key`
+ **Valor** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Seleccione **Ejecutar**.
1. En **Elementos devueltos**, busque la `identity-provider.cognito.sso_idp_provider_email_attribute` cadena y seleccione **Editar** para modificarla y adaptarla a los cambios en Amazon Cognito.
![\[Amazon Cognito actualiza los filtros y los elementos devueltos en DynamoDB.\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-scanqueryitems.png)
## Depuración de problemas de IdP de SAML
**SAML-Tracer**: puedes usar esta extensión para el navegador Chrome para rastrear las solicitudes de SAML y comprobar los valores de las aserciones de SAML. Para obtener más información, consulta [SAML-Tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) en la tienda web de Chrome.
**Herramientas para desarrolladores de SAML**: OneLogin proporcionan herramientas que puedes usar para decodificar el valor codificado en SAML y comprobar los campos obligatorios en la afirmación de SAML. Para obtener más información, consulte [Base 64 Decode \$1](https://www.samltool.com/decode.php) Inflate en el sitio web. OneLogin
**Amazon CloudWatch Logs**: puede comprobar los registros de RES en CloudWatch Logs para ver si hay errores o advertencias. Sus registros están en un grupo de registros con el formato de nombre`/res-environment-name/cluster-manager`.
**Documentación de Amazon Cognito***: para obtener más información sobre la integración de SAML con Amazon Cognito, consulte [Añadir proveedores de identidad de SAML a un grupo de usuarios en la Guía para desarrolladores](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) de Amazon Cognito.*
# Establecer contraseñas para los usuarios
1. En la [Directory Service consola,](https://console.aws.amazon.com/directoryservicev2/) selecciona el directorio de la pila creada.
1. En el menú **Acciones**, selecciona **Restablecer la contraseña del usuario**.
1. Seleccione el usuario e introduzca una contraseña nueva.
1. Seleccione **Restablecer contraseña**.