Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación de cliente en AWS Client VPN
<a name="client-authentication"></a>

La autenticación del cliente se implementa en el primer punto de entrada a la AWS nube. Se utiliza para determinar si los clientes tienen permiso para conectarse al punto de enlace de Client VPN. Si la autenticación se realiza correctamente, los clientes se conectan al punto de enlace de Client VPN y establecen una sesión de VPN. Si la autenticación falla, se deniega la conexión y el cliente no podrá establecer una sesión de VPN.

Client VPN permite utilizar los siguientes tipos de autenticación de cliente: 
+ [Autenticación con Active Directory](ad.md) (basada en el usuario)
+ [Autenticación mutua](mutual.md) (basada en certificados)
+ [Inicio de sesión único (autenticación federada basada en SAML)](federated-authentication.md) (basada en el usuario)

Puede utilizar solo uno de los métodos anteriores o una combinación de autenticación mutua con un método basado en usuarios como el siguiente:
+ Autenticación mutua y autenticación federada
+ Autenticación mutua y autenticación con Active Directory

**importante**  
Para crear un punto de conexión de Client VPN, debe aprovisionar un certificado de servidor en AWS Certificate Manager, independientemente del tipo de autenticación que utilice. Para obtener más información acerca de cómo crear y aprovisionar un certificado de servidor, consulte los pasos de [Autenticación mutua en AWS Client VPN](mutual.md).
Si utiliza una combinación de autenticación mutua y autenticación basada en el usuario, debe utilizar ambos métodos para autenticarse correctamente en la VPN. 

# Autenticación con Active Directory en Client VPN
<a name="ad"></a>

Client VPN proporciona compatibilidad con Active Directory al integrarse con Directory Service. Con la autenticación de Active Directory, los clientes se autentican en grupos de Active Directory existentes. Si Directory Service lo usa, Client VPN puede conectarse a Active Directories existentes aprovisionados en su red local AWS o dentro de ella. Esto le permite utilizar su infraestructura de autenticación del cliente existente. Si utiliza un Active Directory local y no tiene un Microsoft AD AWS administrado existente, debe configurar un conector de Active Directory (AD Connector). Puede utilizar un servidor de Active Directory para autenticar a los usuarios. Para obtener más información acerca de la integración de Active Directory, consulte la [Guía de administración de AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

Client VPN admite la autenticación multifactor (MFA) cuando está habilitada para AWS Managed Microsoft AD o AD Connector. Si la MFA está activada, los clientes tienen que especificar un nombre de usuario, una contraseña y un código de MFA al conectarse a un punto de enlace de Client VPN. Para obtener más información acerca de cómo habilitar la MFA, consulte [Habilitar la autenticación multifactor para AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) y [Habilitar la autenticación multifactor para AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) en la *Guía de administración de AWS Directory Service *. 

Para obtener información sobre las cuotas y las reglas para configurar usuarios y grupos en Active Directory, consulte [Cuotas de usuarios y grupos](limits.md#quotas-users-groups).

# Autenticación mutua en AWS Client VPN
<a name="mutual"></a>

Con la autenticación mutua, Client VPN utiliza certificados para realizar la autenticación entre el cliente y el servidor. Los certificados son un formulario digital de identificación emitido por una entidad de certificación (CA). El servidor utiliza certificados de cliente para autenticar a los clientes cuando intentan conectarse al punto de enlace de Client VPN. Debe crear un certificado y una clave de servidor y al menos un certificado y una clave de cliente.

Debe cargar el certificado del servidor en AWS Certificate Manager (ACM) y especificarlo al crear un punto final Client VPN. Cuando se carga el certificado de servidor en ACM, también se especifica la entidad de certificación (CA). Solo tiene que cargar el certificado de cliente en ACM cuando la entidad de certificación del certificado de cliente es diferente de la entidad de certificación del certificado de servidor. Para obtener más información acerca de ACM, consulte la [Guía del usuario de AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/). 

Puede crear una clave y un certificado de cliente diferentes para cada uno de los clientes que se conecte al punto de enlace de Client VPN. De esta forma, puede revocar un certificado de cliente específico si un usuario abandona la organización. En este caso, cuando cree el punto de enlace de Client VPN, puede especificar el ARN del certificado de servidor para el certificado de cliente, siempre que la misma entidad de certificación haya emitido los dos certificados.

Los certificados que se utilizan en AWS Client VPN deben cumplir [RFC 5280: perfil del certificado de infraestructura de clave pública X.509 de Internet y de la lista de revocación de certificados (CRL)](https://datatracker.ietf.org/doc/html/rfc5280), incluidas las extensiones del certificado que se especifican en la sección 4.2 de la nota.

**nota**  
Los puntos de enlace de Client VPN solo admiten claves RSA con un tamaño de 1024 bits y 2048 bits. Además, el certificado de cliente debe tener el atributo CN en el campo Subject (Asunto).  
Cuando se actualicen los certificados usados con el servicio Client VPN, ya sea mediante la rotación automática de ACM, importando manualmente un nuevo certificado o actualizaciones de metadatos al Centro de identidades de IAM, el servicio Client VPN actualizará automáticamente el punto de conexión de Client VPN con el certificado más reciente. Se trata de un proceso automatizado que puede tardar hasta 5 horas. 

**Topics**
+ [Habilitación de la autenticación mutua](client-auth-mutual-enable.md)
+ [Renovación del certificado de servidor](mutual-renew.md)

# Habilitar la autenticación mutua para AWS Client VPN
<a name="client-auth-mutual-enable"></a>

Puede habilitar la autenticación mutua en Client VPN en Windows Linux/MacOS o en Windows.

------
#### [ Linux/macOS ]

En el procedimiento siguiente, se usa easy-rsa de OpenVPN para generar los certificados y las claves del servidor y el cliente, y después se cargan la clave y el certificado del servidor en ACM. Para obtener más información, consulte [Easy-RSA 3 Quickstart README](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md).

**Para generar las claves y los certificados del cliente y el servidor, y cargarlos en ACM**

1. Clone el repositorio easy-rsa de OpenVPN en su equipo local y navegue a la carpeta `easy-rsa/easyrsa3`.

   ```
   $ git clone https://github.com/OpenVPN/easy-rsa.git
   ```

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Inicialice un nuevo entorno de PKI.

   ```
   $ ./easyrsa init-pki
   ```

1. Para crear una nueva entidad de certificación (CA), ejecute este comando y siga las indicaciones.

   ```
   $ ./easyrsa build-ca nopass
   ```

1. Genere el certificado y la clave del servidor.

   ```
   $ ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Genere el certificado y la clave del cliente.

   Asegúrese de guardar el certificado del cliente y la clave privada del cliente, ya que los necesitará para configurar el cliente.

   ```
   $ ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Tiene la opción de repetir este paso para cada cliente (usuario final) que requiera un certificado y una clave de cliente.

1. Copie el certificado y la clave del servidor y el certificado y la clave del cliente en una carpeta personalizada y, a continuación, vaya a la carpeta personalizada.

   Antes de copiar los certificados y las claves, cree la carpeta personalizada; para ello, ejecute el comando `mkdir`. En el ejemplo siguiente se crea una carpeta personalizada en el directorio principal.

   ```
   $ mkdir ~/custom_folder/
   $ cp pki/ca.crt ~/custom_folder/
   $ cp pki/issued/server.crt ~/custom_folder/
   $ cp pki/private/server.key ~/custom_folder/
   $ cp pki/issued/client1.domain.tld.crt ~/custom_folder
   $ cp pki/private/client1.domain.tld.key ~/custom_folder/
   $ cd ~/custom_folder/
   ```

1. Cargue las claves y los certificados del cliente y el servidor en ACM. No olvide cargarlos en la misma región en la que quiere crear el punto de enlace de Client VPN. Los siguientes comandos utilizan la AWS CLI para cargar los certificados. Para cargar los certificados a través de la consola de ACM en su lugar, consulte [Importar un certificado](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) en la *Guía del usuario de AWS Certificate Manager *.

   ```
   $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
   ```

   ```
   $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
   ```

   No es necesario cargar el certificado de cliente en ACM. Si el servidor y los certificados del cliente los ha emitido la misma entidad de certificación (CA), puede utilizar el ARN del certificado del servidor para el servidor y el cliente cuando cree el punto de enlace de Client VPN. En los pasos anteriores, se ha utilizado la misma CA para crear ambos certificados. Sin embargo, se incluyen los pasos para cargar el certificado de cliente con ánimo de exhaustividad.

------
#### [ Windows ]

El siguiente procedimiento instala el software ‎Easy-RSA 3.x y lo utiliza para generar los certificados y claves de servidor y cliente.

**Para generar las claves y los certificados del cliente y el servidor y cargarlos en ACM**

1. Abra la página de [versiones de EasyRSA](https://github.com/OpenVPN/easy-rsa/releases) y descargue el archivo ZIP para extraer la versión de Windows.

1. Abra un símbolo del sistema y vaya a la ubicación en la que se extrajo la carpeta `EasyRSA-3.x`.

1. ‎Ejecute el siguiente comando para abrir el shell de EasyRSA 3.

   ```
   C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
   ```

1. Inicialice un nuevo entorno de PKI.

   ```
   # ./easyrsa init-pki
   ```

1. Para crear una nueva entidad de certificación (CA), ejecute este comando y siga las indicaciones.

   ```
   # ./easyrsa build-ca nopass
   ```

1. Genere el certificado y la clave del servidor.

   ```
   # ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Genere el certificado y la clave del cliente.

   ```
   # ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Tiene la opción de repetir este paso para cada cliente (usuario final) que requiera un certificado y una clave de cliente.

1. Salga del shell de EasyRSA 3.

   ```
   # exit
   ```

1. Copie el certificado y la clave del servidor y el certificado y la clave del cliente en una carpeta personalizada y, a continuación, vaya a la carpeta personalizada.

   Antes de copiar los certificados y las claves, cree la carpeta personalizada; para ello, ejecute el comando `mkdir`. En el ejemplo siguiente se crea una carpeta personalizada en su unidad C:\$1.

   ```
   C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
   ```

1. Cargue las claves y los certificados del cliente y el servidor en ACM. No olvide cargarlos en la misma región en la que quiere crear el punto de enlace de Client VPN. Los siguientes comandos utilizan el AWS CLI para cargar los certificados. Para cargar los certificados a través de la consola de ACM en su lugar, consulte [Importar un certificado](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) en la *Guía del usuario de AWS Certificate Manager *.

   ```
   aws acm import-certificate \
       --certificate fileb://server.crt \ 
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt
   ```

   ```
   aws acm import-certificate \
       --certificate fileb://client1.domain.tld.crt \
       --private-key fileb://client1.domain.tld.key \
       --certificate-chain fileb://ca.crt
   ```

   No es necesario cargar el certificado de cliente en ACM. Si el servidor y los certificados del cliente los ha emitido la misma entidad de certificación (CA), puede utilizar el ARN del certificado del servidor para el servidor y el cliente cuando cree el punto de enlace de Client VPN. En los pasos anteriores, se ha utilizado la misma CA para crear ambos certificados. Sin embargo, se incluyen los pasos para cargar el certificado de cliente con ánimo de exhaustividad.

------

# Renovación del certificado de servidor para AWS Client VPN
<a name="mutual-renew"></a>

Puede renovar y volver a importar un certificado de servidor de Client VPN que haya caducado. En función de la versión de OpenVPN easy-rsa que utilice, el procedimiento variará. Consulte la [documentación de renovación y revocación del certificado de Easy-RSA 3](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md) para obtener más información.

**Renovación del certificado de servidor**

1. Realice **una** de las siguientes acciones siguientes:
   + Versión 3.1.x de Easy-RSA

     1. Ejecute el comando de renovación de certificados.

       ```
       $ ./easyrsa renew server nopass
       ```
   + Versión 3.2.x de Easy-RSA

     1. Ejecute el comando expire.

        ```
        $ ./easyrsa expire server
        ```

     1. Firme un certificado nuevo.

        ```
        $ ./easyrsa --san=DNS:server sign-req server server
        ```

1. Cree una carpeta personalizada, copie los nuevos archivos en ella y, a continuación, navegue hasta la carpeta.

   ```
   $ mkdir ~/custom_folder2
   $ cp pki/ca.crt ~/custom_folder2/
   $ cp pki/issued/server.crt ~/custom_folder2/
   $ cp pki/private/server.key ~/custom_folder2/
   $ cd ~/custom_folder2/
   ```

1. Importe los archivos nuevos en ACM. Asegúrese de importarlos en la misma región que el punto de conexión de Client VPN. 

   ```
   $ aws acm import-certificate \
       --certificate fileb://server.crt \
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt \
       --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
   ```

# Inicio de sesión único (autenticación federada basada en SAML 2.0) en Client VPN
<a name="federated-authentication"></a>

AWS Client VPN admite la federación de identidades con Security Assertion Markup Language 2.0 (SAML 2.0) para terminales Client VPN. Puede usar proveedores de identidad (IdPs) compatibles con SAML 2.0 para crear identidades de usuario centralizadas. A continuación, puede configurar un punto de enlace de Client VPN para utilizar la autenticación federada basada en SAML y asociarlo al proveedor de identidades. Los usuarios se conectarán entonces al punto de enlace de Client VPN utilizando sus credenciales centralizadas.

**Topics**
+ [Habilitación de SAML](client-auth-enable-saml.md)
+ [Flujo de trabajo de autenticación](#federated-authentication-workflow)
+ [Requisitos y consideraciones de la autenticación federada basada en SAML](#saml-requirements)
+ [Recursos de configuración de IdP basados en SAML](#saml-config-resources)

# Habilitar SAML para AWS Client VPN
<a name="client-auth-enable-saml"></a>

 Puede habilitar SAML para el inicio de sesión único en Client VPN siguiendo estos pasos. Asimismo, si habilitó el portal de autoservicio del punto de enlace de Client VPN, también puede pedirle a los usuarios que lo utilicen para obtener el archivo de configuración y el cliente proporcionado por AWS . Para obtener más información, consulte [Acceso de AWS Client VPN al portal de la autoservicio](cvpn-self-service-portal.md).

**Para que el proveedor de identidades basado en SAML funcione con un punto de enlace de Client VPN, debe hacer lo siguiente.**

1. Cree una aplicación basada en SAML en el IDP que elija para usarla con una aplicación existente o utilice una AWS Client VPN aplicación existente.

1. Configure el IdP para establecer una relación de confianza con AWS. Para obtener información sobre los recursos, consulte [Recursos de configuración de IdP basados en SAML](federated-authentication.md#saml-config-resources).

1. En su IdP, genere y descargue un documento de metadatos de federación que describa su organización como proveedor de identidades. 

   Este documento XML firmado se utiliza para establecer la relación de confianza entre AWS y el IdP.

1. Cree un proveedor de identidades SAML de IAM en la misma AWS cuenta que el punto final Client VPN. 

   El proveedor de identidad SAML de IAM define la relación entre el IdP y la AWS confianza de su organización mediante el documento de metadatos generado por el IdP. Para obtener más información, consulte [Creación de proveedores de identidad SAML de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) en la *Guía del usuario de IAM*. Si, más adelante, actualiza la configuración de la aplicación en el proveedor de identidades, genere un nuevo documento de metadatos y actualice el proveedor de identidades SAML de IAM.
**nota**  
No es necesario que cree un rol de IAM para utilizar el proveedor de identidades SAML de IAM.

1. Cree un punto de enlace de Client VPN. 

   Especifique la autenticación federada como tipo de autenticación y el proveedor de identidades SAML de IAM que ha creado. Para obtener más información, consulte [Crear un AWS Client VPN punto final](cvpn-working-endpoint-create.md).

1. Exporte el [archivo de configuración de cliente](cvpn-working-endpoint-export.md) y distribúyalo a los usuarios. Indique a los usuarios que descarguen la versión más reciente del [cliente proporcionado por AWS](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html) y que lo utilicen para cargar el archivo de configuración y conectarse al punto de enlace de Client VPN.

## Flujo de trabajo de autenticación
<a name="federated-authentication-workflow"></a>

El diagrama siguiente proporciona información general sobre el flujo de trabajo de autenticación de un punto de enlace de Client VPN que utiliza la autenticación federada basada en SAML. Cuando y configure el punto de enlace de Client VPN, tendrá que especificar el proveedor de identidades SAML de IAM.

![\[Flujo de trabajo de autenticación\]](http://docs.aws.amazon.com/es_es/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)


1. El usuario abre el cliente AWS proporcionado en su dispositivo e inicia una conexión con el punto final Client VPN.

1. El punto de enlace de Client VPN devuelve al cliente una dirección URL del proveedor de identidades y una solicitud de autenticación en función de la información proporcionada en el proveedor de identidades SAML de IAM.

1. El cliente AWS proporcionado abre una nueva ventana del navegador en el dispositivo del usuario. El navegador realiza una solicitud al IdP y muestra una página de inicio de sesión.

1. El usuario escribe sus credenciales en la página de inicio de sesión y el IdP devuelve una aserción SAML firmada al cliente.

1. El cliente AWS proporcionado envía la aserción SAML al punto final Client VPN.

1. El punto de enlace de Client VPN valida la aserción y permite o deniega el acceso al usuario.

## Requisitos y consideraciones de la autenticación federada basada en SAML
<a name="saml-requirements"></a>

A continuación, se indican las consideraciones y los requisitos relativos a la autenticación federada basada en SAML.
+ Para obtener información sobre las cuotas y las reglas para configurar usuarios y grupos en un proveedor de identidades basado en SAML, consulte [Cuotas de usuarios y grupos](limits.md#quotas-users-groups).
+ La aserción y la respuesta de SAML deben estar firmadas.
+ AWS Client VPN solo admite las condiciones «AudienceRestriction» y «NotBefore y NotOnOrAfter» en las aserciones de SAML.
+ El tamaño máximo admitido para las respuestas SAML es de 128 KB.
+ AWS Client VPN no proporciona solicitudes de autenticación firmadas.
+ No se admite el cierre de sesión único de SAML. Los usuarios pueden cerrar sesión desconectándose del cliente AWS proporcionado o usted puede [finalizar las conexiones](cvpn-working-connections-disassociate.md).
+ Los puntos de enlace de Client VPN solo admiten un único proveedor de identidades.
+ Multi-Factor Authentication (MFA) se admite si está habilitada en el IdP.
+ Los usuarios deben usar el cliente AWS proporcionado para conectarse al punto final Client VPN. Deben usar la versión 1.2.0 o posterior. Para obtener más información, consulte [Conectarse mediante el cliente AWS proporcionado](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).
+ Los navegadores siguientes son compatibles con la autenticación de proveedores de identidades: Apple Safari, Google Chrome, Microsoft Edge y Mozilla Firefox.
+ El cliente AWS proporcionado reserva el puerto TCP 35001 en los dispositivos de los usuarios para la respuesta SAML.
+ Si el documento de metadatos del proveedor de identidades SAML de IAM se actualiza con una dirección URL incorrecta o malintencionada, pueden generarse problemas de autenticación de los usuarios o ataques de suplantación de identidad (phishing). Por lo tanto, se recomienda utilizar AWS CloudTrail para monitorear las actualizaciones que se realizan en el proveedor de identidades SAML de IAM. Para obtener más información, consulte [Registro de llamadas a IAM y AWS STS con AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) en la *Guía del usuario de IAM*.
+ AWS Client VPN envía una solicitud AuthN al IDP a través de un enlace de redireccionamiento HTTP. Por lo tanto, el IdP debe ser compatible con los enlaces de redirección HTTP y debe estar presente en el documento de metadatos del IdP.
+ Para la aserción SAML, debe utilizar un formato de dirección de correo electrónico para el atributo `NameID`.
+ La longitud máxima del nombre de usuario (`NameID`) es de 1024 bytes. Se rechazarán las conexiones con nombres de usuario más largos.
+ Cuando se actualicen los certificados usados con el servicio Client VPN, ya sea mediante la rotación automática de ACM, importando manualmente un nuevo certificado o actualizaciones de metadatos al Centro de identidades de IAM, el servicio Client VPN actualizará automáticamente el punto de conexión de Client VPN con el certificado más reciente. Se trata de un proceso automatizado que puede tardar hasta 5 horas.

## Recursos de configuración de IdP basados en SAML
<a name="saml-config-resources"></a>

En la siguiente tabla, se enumeran los recursos basados en SAML con AWS Client VPN los IdPs que hemos probado y los recursos que pueden ayudarlo a configurar el IdP.


| IdP | Recurso | 
| --- | --- | 
| Okta | [Autentique AWS Client VPN a los usuarios con SAML](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) | 
| Microsoft Entra ID (anteriormente Azure Active Directory) | Para obtener más información, consulte el [tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con AWS ClientVPN en el sitio web](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial) de documentación de Microsoft. | 
| JumpCloud | [Intégrelo con AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) | 
| AWS IAM Identity Center | [Uso de IAM Identity Center con AWS Client VPN fines de autenticación y autorización](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/)  | 

### Información del proveedor de servicios para crear una aplicación
<a name="saml-config-service-provider-info"></a>

Para crear una aplicación basada en SAML con un IdP que no aparezca en la tabla anterior, utilice la siguiente información para configurar la información del AWS Client VPN proveedor de servicios.
+ Dirección URL de Assertion Consumer Service (ACS): `http://127.0.0.1:35001`
+ URI de audiencia: `urn:amazon:webservices:clientvpn`

Se debe incluir al menos un atributo en la respuesta SAML del IdP. A continuación, se muestran ejemplos de atributos.


| Atributo | Description (Descripción) | 
| --- | --- | 
| FirstName | El nombre del usuario. | 
| LastName | El apellido del usuario. | 
| memberOf | El grupo o los grupos a los que pertenece el usuario. | 

**nota**  
El atributo `memberOf` es necesario para usar las reglas de autorización basadas en grupos de Active Directory o SAML IdP. Distingue también mayúsculas y minúsculas y se debe configurar exactamente como se especifica. Para obtener más información, consulte [Autorización basada en red](client-authorization.md#auth-rules) y [AWS Client VPN reglas de autorización](cvpn-working-rules.md).

### Compatibilidad con el portal de autoservicio
<a name="saml-self-service-support"></a>

Si activa el portal de autoservicio en el punto de enlace de Client VPN, los usuarios iniciarán sesión en él utilizando las credenciales del proveedor de identidades basado en SAML.

Si su IdP admite varios Assertion Consumer Service (ACS) URLs, añada la siguiente URL de ACS a su aplicación.

```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Si utiliza el punto final Client VPN en una GovCloud región, utilice la siguiente URL de ACS en su lugar. Si usa la misma aplicación de IDP para autenticarse tanto en el estándar como en las GovCloud regiones, puede agregar ambas. URLs

```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Si su IdP no admite varios ACS URLs, haga lo siguiente: 

1. Cree otra aplicación basada en SAML en el proveedor de identidades y especifique la siguiente URL de ACS.

   ```
   https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
   ```

1. Genere y descargue un documento de metadatos de federación.

1. Cree un proveedor de identidades SAML de IAM en la misma AWS cuenta que el punto final Client VPN. Para obtener más información, consulte [Creación de proveedores de identidad SAML de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) en la *Guía del usuario de IAM*. 
**nota**  
Cree este proveedor de identidades SAML de IAM además del que [va a crear para la aplicación principal](#federated-authentication).

1. [Cree el punto de enlace de Client VPN](cvpn-working-endpoint-create.md) y especifique los dos proveedores de identidades SAML de IAM que ha creado.