Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Aplicaciones administradas por el cliente
IAM Identity Center actúa como un servicio de identidades central para los usuarios y grupos de su fuerza laboral. Si ya utiliza un proveedor de identidades (IdP), IAM Identity Center puede integrarse con su IdP para que pueda aprovisionar sus usuarios y grupos en IAM Identity Center y utilizar su IdP para la autenticación. Con una sola conexión, IAM Identity Center representa su IdP frente a Servicios de AWS varios y permite que OAuth sus aplicaciones 2.0 soliciten acceso a los datos de estos servicios en nombre de sus usuarios. También puede utilizar IAM Identity Center para asignar a sus usuarios el acceso a las aplicaciones de [SAML 2.0.](https://wiki.oasis-open.org/security) Esto incluye AWS servicios como Amazon Connect y AWS Client VPN, que se integran con IAM Identity Center exclusivamente mediante SAML y, por lo tanto, se clasifican como aplicaciones gestionadas por el cliente.
+ Si su aplicación es compatible con los **JSON Web Tokens (JWTs)**, puede utilizar la fiable función de propagación de identidades del Centro de Identidad de IAM para permitir que la aplicación solicite acceso a los datos Servicios de AWS en nombre de sus usuarios. La propagación fiable de la identidad se basa en el marco de autorización OAuth 2.0 e incluye una opción para que las aplicaciones intercambien los identificadores de identidad procedentes de un servidor de autorización OAuth 2.0 externo por símbolos emitidos por el IAM Identity Center y reconocidos por. Servicios de AWS Para obtener más información, consulte [Casos de uso de propagación de identidades de confianza](trustedidentitypropagation-integrations.md).
+ Si su aplicación es compatible con **SAML 2.0**, puede conectarla a una instancia [organizativa de IAM Identity Center](identity-center-instances.md). Puede utilizar IAM Identity Center para asignar acceso a su aplicación SAML 2.0.
**nota**
Al integrar aplicaciones gestionadas por el cliente con una instancia del Centro de Identidad de IAM que utilice una [clave de KMS gestionada por el cliente](encryption-at-rest.md), compruebe si la aplicación invoca el servicio del Centro de Identidad de IAM APIs para confirmar si la aplicación necesita permisos de clave de KMS. Siga las instrucciones para conceder permisos de clave de KMS a flujos de trabajo personalizados que figuran en las políticas clave [básicas](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center) de KMS de la Guía del usuario de IAM Identity Center.
**Topics**
+ [Acceso mediante inicio de sesión único a las aplicaciones SAML 2.0 y 2.0 OAuth](customermanagedapps-saml2-oauth2.md)
+ [Configuración de aplicaciones de SAML 2.0 administradas por el cliente](customermanagedapps-saml2-setup.md)
# Acceso mediante inicio de sesión único a las aplicaciones SAML 2.0 y 2.0 OAuth
El Centro de identidades de IAM le permite ofrecer a sus usuarios un acceso de inicio de sesión único a las aplicaciones SAML 2.0 o 2.0. OAuth Los siguientes temas proporcionan una descripción general de alto nivel de SAML 2.0 y 2.0. OAuth
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)
## SAML 2.0
SAML 2.0 es un estándar del sector utilizado para intercambiar de forma segura aserciones de SAML que transmiten información sobre un usuario entre una autoridad de SAML (denominada proveedor de identidades o IdP) y un consumidor de SAML 2.0 (denominado proveedor de servicios o SP). El Centro de Identidad de IAM utiliza esta información para proporcionar un acceso de inicio de sesión único federado a los usuarios que están autorizados a utilizar las aplicaciones del portal de acceso. AWS
**nota**
IAM Identity Center no admite la validación de las firmas de las solicitudes de autenticación de SAML entrantes procedentes de aplicaciones de SAML.
## OAuth 2.0
OAuth 2.0 es un protocolo que permite a las aplicaciones acceder a los datos de los usuarios y compartirlos de forma segura sin compartir contraseñas. Esta capacidad proporciona a los usuarios una forma segura y estandarizada de permitir que las aplicaciones accedan a sus recursos. El acceso se ve facilitado por diferentes flujos de subvenciones OAuth 2.0.
El IAM Identity Center permite a las aplicaciones que se ejecutan en clientes públicos recuperar credenciales temporales de acceso Cuentas de AWS y servicios mediante programación en nombre de sus usuarios. Los clientes públicos suelen ser computadoras de escritorio, portátiles u otros dispositivos móviles que se utilizan para ejecutar aplicaciones de forma local. Algunos ejemplos de AWS aplicaciones que se ejecutan en clientes públicos son AWS Command Line Interface (AWS CLI) y los kits de desarrollo de AWS software (). AWS Toolkit SDKs Para permitir que estas aplicaciones obtengan credenciales, IAM Identity Center admite partes de los siguientes flujos OAuth 2.0:
+ Concesión de códigos de autorización con clave de prueba para el intercambio de códigos (PKCE) ([RFC 6749](https://www.rfc-editor.org/rfc/rfc6749#section-4.1) y [RFC 7636](https://www.rfc-editor.org/rfc/rfc7636))
+ Concesión de autorización de dispositivo ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**nota**
Estos tipos de subvenciones solo se pueden utilizar si Servicios de AWS admiten esta capacidad. Es posible que estos servicios no admitan este tipo de concesión en todas Regiones de AWS. Consulte la documentación relevante Servicios de AWS para conocer las diferencias regionales.
OpenID Connect (OIDC) es un protocolo de autenticación que se basa en el marco 2.0. OAuth El OIDC especifica cómo utilizar la versión 2.0 para la autenticación. OAuth A través del [servicio OIDC del IAM Identity Center APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), una aplicación registra un cliente OAuth 2.0 y utiliza uno de estos flujos para obtener un token de acceso que permite proteger el IAM Identity Center. APIs Una aplicación especifica los [ámbitos de acceso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) para declarar el usuario de API al que va dirigido. Una vez que usted, como administrador de IAM Identity Center, haya configurado su fuente de identidad, los usuarios finales de la aplicación deberán completar un proceso de inicio de sesión, si aún no lo han hecho. A continuación, los usuarios finales deben dar su consentimiento para permitir que la aplicación realice llamadas a la API. Estas llamadas a la API se realizan con los permisos de los usuarios. En respuesta, IAM Identity Center devuelve un token de acceso a la aplicación que contiene los ámbitos de acceso a los que los usuarios dieron su consentimiento.
### Uso de un flujo de concesión 2.0 OAuth
OAuth Los flujos de subvenciones 2.0 solo están disponibles a través de aplicaciones AWS gestionadas que admiten los flujos. Para utilizar un flujo OAuth 2.0, su instancia de IAM Identity Center y cualquier aplicación AWS gestionada compatible que utilice deben desplegarse en una sola Región de AWS instancia. Consulte la documentación de cada una de ellas Servicio de AWS para determinar la disponibilidad regional de las aplicaciones AWS gestionadas y la instancia del IAM Identity Center que desea utilizar.
Para utilizar una aplicación que utilice un flujo OAuth 2.0, el usuario final debe introducir la URL a la que se conectará la aplicación y registrarse en su instancia de IAM Identity Center. En función de la aplicación, como administrador, debe proporcionar a sus usuarios la **URL del portal de acceso AWS ** o la **URL del emisor** de su instancia de IAM Identity Center. Puede encontrar estos dos ajustes en la página de **Configuración** de la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon/). Para obtener información adicional sobre la configuración de una aplicación cliente, consulte la documentación de esa aplicación.
La experiencia del usuario final a la hora de iniciar sesión en una aplicación y dar su consentimiento depende de si la aplicación utiliza [Concesión de código de autorización con PKCE](#auth-code-grant-pkce) o [Concesión de autorización de dispositivo](#device-auth-grant).
#### Concesión de código de autorización con PKCE
Este flujo lo utilizan las aplicaciones que se ejecutan en un dispositivo que tiene un navegador.
1. Se abre una ventana del navegador.
1. Si el usuario no se ha autenticado, el navegador lo redirige para completar la autenticación del usuario.
1. Tras la autenticación, se presenta al usuario una pantalla de consentimiento que muestra la siguiente información:
+ El nombre de la aplicación
+ Los ámbitos de acceso para los que la aplicación solicita el consentimiento
1. El usuario puede cancelar el proceso de consentimiento o puede dar su consentimiento y la aplicación procederá al acceso en función de los permisos del usuario.
#### Concesión de autorización de dispositivo
Las aplicaciones que se ejecutan en un dispositivo con o sin navegador pueden utilizar este flujo. Cuando la aplicación inicia el flujo, presenta una URL y un código de usuario que el usuario debe verificar más adelante en el flujo. El código de usuario es necesario porque la aplicación que inicia el flujo puede estar ejecutándose en un dispositivo diferente al dispositivo en el que el usuario da su consentimiento. El código garantiza que el usuario dé su consentimiento al flujo que inició en el otro dispositivo.
**nota**
Si tiene clientes que utilizan `device.sso.region.amazonaws.com`, debe actualizar su flujo de autorización para utilizar la clave de prueba para el intercambio de códigos (PKCE). Para obtener más información, consulte [Configuración de la autenticación de IAM Identity Center con la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) en la *Guía del usuario de AWS Command Line Interface *.
1. Cuando el flujo se inicia desde un dispositivo con un navegador, se abre una ventana del navegador. Cuando el flujo se inicia desde un dispositivo sin navegador, el usuario debe abrir un navegador en un dispositivo diferente e ir a la URL que presentó la aplicación.
1. En cualquier caso, si el usuario no se ha autenticado, el navegador lo redirige para completar la autenticación del usuario.
1. Tras la autenticación, se presenta al usuario una pantalla de consentimiento que muestra la siguiente información:
+ El nombre de la aplicación
+ Los ámbitos de acceso para los que la aplicación solicita el consentimiento
+ El código de usuario que la aplicación presentó al usuario
1. El usuario puede cancelar el proceso de consentimiento o puede dar su consentimiento y la aplicación procederá al acceso en función de los permisos del usuario.
### Ámbitos de acceso
Un *ámbito* define el acceso a un servicio al que se puede acceder a través de un flujo OAuth 2.0. Los ámbitos permiten al servicio, también denominado servidor de recursos, agrupar los permisos relacionados con las acciones y los recursos del servicio, y especifican las operaciones más generales que OAuth pueden solicitar los clientes de la versión 2.0. Cuando un cliente OAuth 2.0 se registra en el [servicio OIDC del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), especifica los ámbitos para declarar las acciones que pretende realizar, para lo cual el usuario debe dar su consentimiento.
OAuth Los clientes 2.0 utilizan `scope` los valores definidos en la [sección 3.3 de la OAuth versión 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) para especificar qué permisos se solicitan para un token de acceso. Los clientes pueden especificar un máximo de 25 ámbitos al solicitar un token de acceso. Cuando un usuario da su consentimiento durante una concesión de código de autorización con el PKCE o el flujo de concesión de autorización de un dispositivo, IAM Identity Center codifica los ámbitos en el token de acceso que devuelve.
AWS añade ámbitos al Centro de Identidad de IAM para que sean compatibles. Servicios de AWS En la siguiente tabla, se enumeran los ámbitos que admite el servicio OIDC de IAM Identity Center al registrar un cliente público.
#### Ámbitos de acceso compatibles con el servicio OIDC de IAM Identity Center al registrar a un cliente público
****
| Alcance | Description (Descripción) | Servicios admitidos por |
| --- | --- | --- |
| sso:account:access | Acceda a las cuentas administradas y a los conjuntos de permisos de IAM Identity Center. | IAM Identity Center |
| codewhisperer:analysis | Habilite el acceso al análisis de código de Kiro. | ID de creador de AWS y el Centro de Identidad de IAM |
| codewhisperer:completions | Habilite el acceso a las sugerencias de código en línea de Kiro. | ID de creador de AWS y el Centro de Identidad de IAM |
| codewhisperer:conversations | Habilite el acceso al chat de Kiro. | ID de creador de AWS y el Centro de Identidad de IAM |
| codewhisperer:taskassist | Habilite el acceso a Kiro Agent para el desarrollo de software. | ID de creador de AWS y el Centro de Identidad de IAM |
| codewhisperer:transformations | Habilite el acceso a Kiro Agent para la transformación del código. | ID de creador de AWS y el Centro de Identidad de IAM |
| codecatalyst:read\$1write | Lee y escribe en tus CodeCatalyst recursos de Amazon, lo que te permite acceder a todos tus recursos existentes. | ID de creador de AWS y IAM Identity Center |
| verified\$1access:application:connect | Habilitar Acceso verificado de AWS | Acceso verificado de AWS |
| redshift:connect | Conéctese a Amazon Redshift | Amazon Redshift |
| datazone:domain:access | Acceda a su función DataZone de ejecución de dominio | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Cree y lea modelos de datos | NoSQL Workbench |
| transform:read\$1write | Habilite el acceso a AWS Transform Agent para la transformación del código | AWS Transformación |
# Configuración de aplicaciones de SAML 2.0 administradas por el cliente
Si usa aplicaciones administradas por el cliente que admiten [SAML 2.0](https://wiki.oasis-open.org/security), puede federar su IdP a IAM Identity Center mediante SAML 2.0 y usar IAM Identity Center para administrar el acceso de los usuarios a esas aplicaciones. Puede seleccionar una aplicación de SAML 2.0 de un catálogo de aplicaciones de uso frecuente en la consola de IAM Identity Center o puede configurar su propia aplicación de SAML 2.0.
**nota**
Si tiene aplicaciones gestionadas por clientes compatibles con la OAuth versión 2.0 y sus usuarios necesitan acceder a ellas desde esas aplicaciones Servicios de AWS, puede utilizar la propagación de identidades fiable. Con la propagación de identidades de confianza, un usuario puede iniciar sesión en una aplicación y esa aplicación puede transmitir la identidad de los usuarios en las solicitudes de acceso a los datos de los Servicios de AWS.
**Topics**
+ [Configuración de una aplicación del catálogo de aplicaciones de IAM Identity Center](saasapps.md)
+ [Configuración de su propia aplicación de SAML 2.0](customermanagedapps-set-up-your-own-app-saml2.md)
# Configuración de una aplicación del catálogo de aplicaciones de IAM Identity Center
Puede utilizar el catálogo de aplicaciones de la consola de IAM Identity Center para agregar muchas aplicaciones de SAML 2.0 de uso común que funcionan con IAM Identity Center. Algunos ejemplos son Salesforce, Box y Microsoft 365.
La mayoría de aplicaciones proporcionan información detallada sobre cómo configurar la confianza entre IAM Identity Center y el proveedor de servicios de la aplicación. Esta información está disponible en la página de configuración de la aplicación, después de seleccionarla en el catálogo. Tras configurar la aplicación, puede asignar el acceso a los usuarios o grupos de IAM Identity Center según sea necesario.
Utilice este procedimiento para configurar una relación de confianza de SAML 2.0 entre IAM Identity Center y el proveedor de servicios de la aplicación.
Antes de comenzar este procedimiento, resulta útil disponer del archivo de intercambio de metadatos del proveedor de servicios para que pueda configurar la relación de confianza de manera más eficiente. Aunque no disponga de este archivo, puede utilizar este procedimiento para configurar la confianza manualmente.
**Para añadir y configurar una aplicación del catálogo de aplicaciones**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Elija **Aplicaciones**.
1. Seleccione la pestaña **Administrada por el cliente**.
1. Elija **Agregar aplicación**.
1. En la página **Seleccionar el tipo de aplicación**, en **Preferencia de configuración**, elija **Deseo seleccionar una aplicación del catálogo**.
1. En **Catálogo de aplicaciones**, empiece a escribir el nombre de la aplicación que desea agregar en el cuadro de búsqueda.
1. Elija el nombre de la aplicación en la lista cuando aparezca en los resultados de la búsqueda y, a continuación, seleccione **Siguiente**.
1. En la página **Configurar aplicación**, los campos **Nombre de visualización** y **Descripción** se rellenan automáticamente con los detalles correspondientes de la aplicación. Puede modificar esta información.
1. En **Metadatos de IAM Identity Center**, haga lo siguiente:
1. En a **Archivo de metadatos del SAML de IAM Identity Center**, elija **Descargar** para descargar los metadatos del proveedor de identidad.
1. En el a **Certificado de IAM Identity Center**, elija **Descargar certificado** para descargar el certificado del proveedor de identidad.
**nota**
Necesitará estos archivos más tarde al configurar la aplicación desde el sitio web del proveedor de servicios. Siga las instrucciones de dicho proveedor.
1. (Opcional) En **Propiedades de la aplicación**, puede especificar **URL de inicio de aplicación**, **Estado de retransmisión** y **Duración de la sesión**. Para obtener más información, consulte [Entender las propiedades de la aplicación en la consola de IAM Identity Center](appproperties.md).
1. En **Metadatos de la aplicación**, realice una de las siguientes acciones:
1. Si tiene un archivo de metadatos, seleccione **Cargar archivo de metadatos de SAML de la aplicación**. A continuación, seleccione **Elegir archivo** para buscar y seleccionar el archivo de metadatos.
1. Si no tiene un archivo de metadatos, elija **Escribir manualmente los valores de los metadatos** y, a continuación, proporcione la **URL de ACS de la aplicación** y los valores de **audiencia de SAML de la aplicación**.
1. Seleccione **Enviar**. Accederá a la página de detalles de la aplicación que acaba de añadir.
# Configuración de su propia aplicación de SAML 2.0
Puede configurar sus propias aplicaciones que permitan la federación de identidades mediante SAML 2.0 y agregarlas a IAM Identity Center. La mayoría de los pasos para configurar sus propias aplicaciones de SAML 2.0 son los mismos que para configurar una aplicación de SAML 2.0 desde el catálogo de aplicaciones de la consola de IAM Identity Center. Sin embargo, también debe proporcionar más asignaciones de atributos de SAML para sus aplicaciones de SAML 2.0. Estas asignaciones permiten que IAM Identity Center rellene correctamente la aserción de SAML 2.0 para su aplicación. Puede proporcionar esta asignación de atributos SAML adicionales cuando configure la aplicación por primera vez. También puede proporcionar asignaciones de atributos de SAML 2.0 en la página de detalles de la aplicación de la consola de IAM Identity Center.
Utilice el siguiente procedimiento para configurar una relación de confianza de SAML 2.0 entre IAM Identity Center y el proveedor de servicios de la aplicación de SAML 2.0. Antes de comenzar este procedimiento, asegúrese de que dispone del certificado y del archivo de intercambio de metadatos del proveedor de servicios para que pueda completar la configuración de la relación de confianza.
**Para configurar su propia aplicación de SAML 2.0**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Elija **Aplicaciones**.
1. Seleccione la pestaña **Administrada por el cliente**.
1. Elija **Agregar aplicación**.
1. En la página **Seleccionar el tipo de aplicación**, en **Preferencia de configuración**, seleccione **Tengo una aplicación que quiero configurar**.
1. En **Tipo de aplicación**, seleccione **SAML 2.0**.
1. Elija **Siguiente**.
1. En la página **Configurar aplicación**, en **Configurar aplicación**, introduzca un **nombre para mostrar** para la aplicación, por ejemplo **MyApp**. Escriba una descripción en **Descripción**.
1. En **Metadatos de IAM Identity Center**, haga lo siguiente:
1. En a **Archivo de metadatos del SAML de IAM Identity Center**, elija **Descargar** para descargar los metadatos del proveedor de identidad.
1. Junto a **Certificado de IAM Identity Center**, seleccione **Descargar** para descargar el certificado del proveedor de identidades.
**nota**
Necesitará estos archivos más tarde al configurar la aplicación personalizada desde el sitio web del proveedor de servicios.
1. (Opcional) En **Propiedades de la aplicación**, también puede especificar los valores de **URL de inicio de aplicación**, **Estado de retransmisión** y **Duración de la sesión**. Para obtener más información, consulte [Entender las propiedades de la aplicación en la consola de IAM Identity Center](appproperties.md).
1. En **Metadatos de la aplicación**, elija **Escribir manualmente los valores de los metadatos**. A continuación, proporcione valores para la **URL de ACS de la aplicación** y la **audiencia de SAML de la aplicación**.
1. Seleccione **Enviar**. Accederá a la página de detalles de la aplicación que acaba de añadir.