

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de proveedores de identidad para su grupo de usuarios
<a name="cognito-user-pools-identity-provider"></a>

Con los grupos de usuarios, puede implementar el inicio de sesión a través de varios proveedores de identidad externos (IdPs). En esta sección de la guía, encontrará instrucciones para configurar dichos proveedores de identidades con su grupo de usuarios en la consola de Amazon Cognito. Como alternativa, puede usar la API de grupos de usuarios y un AWS SDK para agregar proveedores de identidad de grupos de usuarios mediante programación. Para obtener más información, consulte [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html).

Las opciones de proveedores de identidades compatibles incluyen proveedores de redes sociales como Facebook, Google o Amazon, así como proveedores OpenID Connect (OIDC) o SAML 2.0. Antes de empezar, configúrese con las credenciales administrativas de su IdP. Deberá registrar su solicitud en cada tipo de proveedor, obtener las credenciales necesarias y luego configurar los detalles del proveedor en su grupo de usuarios. A continuación, los usuarios podrán registrarse e iniciar sesión en la aplicación con las cuentas que poseen en los proveedores de identidades conectados.

El menú de **proveedores sociales y externos de** **Autenticación** agrega y actualiza el grupo de usuarios. IdPs Para obtener más información, consulte [Inicio de sesión en el grupo de usuarios con proveedores de identidad externos](cognito-user-pools-identity-federation.md).

**Topics**
+ [Configurar el inicio de sesión de los usuarios con un IdP de redes sociales](#cognito-user-pools-facebook-provider)
+ [Configurar el inicio de sesión de usuarios con un IdP de OIDC](#cognito-user-pools-oidc-providers)
+ [Configurar el inicio de sesión de usuario con un IdP SAML](#cognito-user-pools-saml-providers)

## Configurar el inicio de sesión de los usuarios con un IdP de redes sociales
<a name="cognito-user-pools-facebook-provider"></a>

Puede utilizar la federación para que los grupos de usuarios de Amazon Cognito se integren en los proveedores de identidad de redes sociales, como Facebook, Google y Login with Amazon.

Para añadir un proveedor de identidad social, primero debe crear una cuenta de desarrollador con el proveedor de identidad. Después de crear la cuenta de desarrollador, registre la aplicación con el proveedor de identidad. El proveedor de identidad crea un ID y un secreto de aplicación, y usted configura estos valores en su grupo de usuarios de Amazon Cognito.
+ [Google Identity Platform](https://developers.google.com/identity/)
+ [Facebook for Developers](https://developers.facebook.com/docs/facebook-login)
+ [Login with Amazon](https://developer.amazon.com/login-with-amazon)
+ [Inicio de sesión con Apple](https://developer.apple.com/sign-in-with-apple/)

**Para integrar el inicio de sesión de usuario con un IdP de redes sociales**

1. Inicie sesión en la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si se le solicita, introduzca sus AWS credenciales.

1. En el panel de navegación, elija **User Pools (Grupos de usuarios)** y elija el grupo de usuarios que desea editar.

1. Seleccione el menú **Proveedores sociales y externos**.

1. Elija **Add an identity provider (Agregar un proveedor de identidad)**, o elija el proveedor de identidad de **Facebook**,**Google**, **Amazon** o **Apple** que ha configurado, localice **Identity provider information (Información de proveedor de identidad)**, y elija **Edit (Editar)**. Para obtener más información acerca de agregar un proveedor de identidad social, consulte [Uso de proveedores de identidades de redes sociales con un grupo de usuarios](cognito-user-pools-social-idp.md).

1. Introduzca la información de su proveedor de identidad social realizando uno de los siguientes pasos, según su elección de IdP:  
**Facebook, Google y Login with Amazon**  
Ingrese el ID y el secreto de aplicación que recibió al crear la aplicación de cliente.  
**Inicio de sesión con Apple**  
Ingrese el ID de servicio que proporcionó a Apple, así como el ID de equipo, el ID de clave y la clave privada que recibió al crear el cliente de aplicación.

1. Para **Authorize scopes (Autorizar ámbitos)**, introduzca los nombres de los ámbitos de los proveedores de identidad social que desea asignar a los atributos del grupo de usuarios. Los ámbitos definen a qué atributos de usuario, tales como nombre y correo electrónico, desea acceder con su aplicación. Al introducir ámbitos, utilice las siguientes pautas que se basan en su elección del proveedor de identidad (IdP):
   + **Facebook** — Ámbitos separados con comas. Por ejemplo:

     `public_profile, email`
   + **Google, Login with Amazon y SignInWithApple** — Ámbitos separados con espacios. Por ejemplo:
     + **Google:** `profile email openid`
     + **Login with Amazon:** `profile postal_code`
     + **SignInWithApple:** `name email`
**nota**  
Para SignInWithApple (consola), utilice las casillas de verificación para elegir ámbitos.

1. Seleccione **Save changes (Guardar cambios)**.

1. En el menú **Clientes de aplicación**, seleccione un cliente de aplicación de la lista y elija **Editar**. Agregue el nuevo proveedor de identidad social al cliente de aplicación en **Identity providers (Proveedores de identidad)**.

1. Seleccione **Save changes (Guardar cambios)**.

Para obtener más información sobre las redes sociales IdPs, consulte[Uso de proveedores de identidades de redes sociales con un grupo de usuarios](cognito-user-pools-social-idp.md).

## Configurar el inicio de sesión de usuarios con un IdP de OIDC
<a name="cognito-user-pools-oidc-providers"></a>

Puede integrar el inicio de sesión de usuarios a través de un proveedor de identidad OpenID Connect (OIDC), como Salesforce o Ping Identity.

**Para agregar un proveedor OIDC a un grupo de usuarios**

1. Vaya a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si se le solicita, introduzca sus AWS credenciales.

1. Elija **User Pools (Grupos de usuarios)** en el menú de navegación.

1. Elija un grupo de usuarios existente en la lista o [cree un grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Seleccione el menú **Proveedores sociales y externos** y, a continuación, seleccione **Agregar un proveedor de identidades**.

1. Elija un proveedor de identidad de **OpenID Connect**.

1. Introduzca un nombre único en **Provider name (Nombre de proveedor)**.

1. Introduzca el ID de cliente que recibió de su proveedor en **Client ID (ID de cliente)**.

1. Introduzca el secreto de cliente que recibió de su proveedor en **Client Secret (Secreto de cliente)**.

1. Introduzca los **Ámbitos autorizados** para este proveedor. Los ámbitos definen qué grupos de atributos de usuario (tales como `name` y `email`) serán solicitados por su aplicación al proveedor. Los ámbitos deben estar separados por espacios, siguiendo la especificación [OAuth 2.0](https://tools.ietf.org/html/rfc6749#section-3.3).

   El usuario debe autorizar que se proporcionen estos atributos a su aplicación.

1. Seleccione un **Attribute request method (Método de solicitud de atributo)** para proporcionar a Amazon Cognito el método de HTTP (GET o POST) que usa Amazon Cognito para obtener los detalles de usuario del punto de conexión **userInfo** operado por su proveedor.

1. Seleccione un **Setup method (Método de configuración)** para recuperar los puntos de enlace de OpenID Connect con **Auto fill through issuer URL (Autorrellenar mediante la URL del emisor)** o **Manual input (Entrada manual)**. Utilice el **relleno automático de la URL del emisor** cuando su proveedor tenga un `.well-known/openid-configuration` punto de enlace público en el que Amazon Cognito pueda recuperar URLs los puntos de `authorization` enlace`token`,`userInfo`, `jwks_uri` y.

1. Introduzca la URL del emisor o`authorization`, `token``userInfo`, y el `jwks_uri` punto final URLs de su IdP.
**nota**  
Solo puede usar los números de puerto 443 y 80 con la detección, rellenarlos automáticamente e URLs ingresarlos manualmente. Los inicios de sesión de usuario fallan si su proveedor de OIDC utiliza puertos TCP no estándar.  
La URL del emisor debe comenzar por `https://` y no pueden terminar con el carácter `/`. Por ejemplo, Salesforce usa esta URL:  
`https://login.salesforce.com`   
El `openid-configuration` documento asociado a la URL del emisor debe proporcionar HTTPS URLs para los siguientes valores:`authorization_endpoint`, `token_endpoint``userinfo_endpoint`, y. `jwks_uri` Del mismo modo, si eliges la **entrada manual**, solo puedes introducir HTTPS URLs.

1. A la notificación OIDC **sub** se le asigna el atributo de grupo de usuarios **Username (Nombre de usuario)** de forma predeterminada. Puede asignar a las [notificaciones](https://openid.net/specs/openid-connect-basic-1_0.html#StandardClaims) OIDC otros atributos de grupo de usuarios. Introduzca la notificación OIDC y seleccione el atributo de grupo de usuarios correspondiente en la lista desplegable. Por ejemplo, a la notificación **email (correo electrónico)** se le suele asignar el atributo de grupo de usuarios **Email (Correo electrónico)**.

1. Asigne atributos adicionales de su proveedor de identidades a su grupo de usuarios. Para obtener más información, consulte [Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-specifying-attribute-mapping.html).

1. Seleccione **Crear**.

1. En el menú **Clientes de aplicación**, seleccione un cliente de aplicación de la lista. Para añadir el nuevo proveedor de identidad SAML al cliente de aplicación, vaya a la pestaña **Páginas de inicio de sesión** y seleccione **Editar** en **Configuración de páginas de inicio de sesión administrado**.

1. Seleccione **Save changes (Guardar cambios)**.

Para obtener más información sobre el OIDC IdPs, consulte. [Uso de proveedores de identidades de OIDC con un grupo de usuarios](cognito-user-pools-oidc-idp.md)

## Configurar el inicio de sesión de usuario con un IdP SAML
<a name="cognito-user-pools-saml-providers"></a>

Puede utilizar la federación de grupos de usuarios de Amazon Cognito para que se integren en un proveedor de identidad (IdP) SAML. Proporcione un documento de metadatos, ya sea cargando el archivo o escribiendo una URL de punto de enlace del documento de metadatos. Para obtener información sobre cómo obtener documentos de metadatos para el SAML IdPs de terceros, consulte. [Configuración de un proveedor de identidades de SAML externo](cognito-user-pools-integrating-3rd-party-saml-providers.md)

**Para configurar un proveedor de identidad SAML 2.0 en su grupo de usuarios**

1. Diríjase a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si se le solicita, introduzca sus AWS credenciales.

1. Elija **User Pools** (Grupos de usuarios).

1. Elija un grupo de usuarios existente en la lista o [cree un grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Seleccione el menú **Proveedores sociales y externos** y, a continuación, seleccione **Agregar un proveedor de identidades**.

1. Elija un proveedor de identidad **SAML**.

1. Introduzca los **identificadores** separados por comas. Un identificador indica a Amazon Cognito que debe comprobar la dirección de correo electrónico que introduce un usuario al iniciar sesión y, a continuación, dirigirlo al proveedor que corresponda a su dominio.

1. Elija **Add sign-out flow** (Añadir flujo de cierre de sesión) si desea que Amazon Cognito envíe solicitudes de cierre de sesión firmadas a su proveedor cuando un usuario cierra la sesión. Configure el proveedor de identidad SAML 2.0 para que envíe respuestas de cierre de sesión al punto de conexión `https://mydomain.auth.us-east-1.amazoncognito.com/saml2/logout` que crea Amazon Cognito al configurar el inicio de sesión administrado. El punto de conexión `saml2/logout` utiliza el enlace POST.
**nota**  
Si selecciona esta opción y el proveedor de identidad SAML espera una solicitud de cierre de sesión firmada, también deberá configurar el certificado de firma que ofrece Amazon Cognito en el IdP SAML.   
El proveedor de identidad SAML procesará la solicitud de cierre de sesión firmada y cerrará la sesión de Amazon Cognito del usuario.

1. Seleccione un **Origen de documentos de metadatos**. Si su proveedor de identidad ofrece metadatos SAML en una URL pública, puede elegir **Metadata document URL** (URL del documento de metadatos) e introducir esa URL pública. En caso contrario, elija **Upload metadata document** (Cargar documento de metadatos) y seleccione un archivo de metadatos que haya descargado anteriormente de su proveedor.
**nota**  
Si su proveedor tiene un punto de conexión público, le recomendamos que ingrese una URL de documento de metadatos, en lugar de cargar un archivo. Si utiliza la URL, Amazon Cognito actualiza los metadatos automáticamente. Normalmente, los metadatos se actualizan cada seis horas o antes de que caduquen, lo que ocurra primero.

1. **Asigne atributos entre el proveedor de SAML y la aplicación** para asignar atributos de proveedor SAML al perfil de usuario de su grupo de usuarios. Incluya los atributos requeridos del grupo de usuarios en la asignación de atributos. 

   Por ejemplo, cuando elige **User pool attribute (Atributo grupo de usuarios)** `email`, escriba el nombre de atributo SAML tal como aparece en la aserción SAML del proveedor de identidad. Es posible que su proveedor de identidades ofrezca aserciones SAML de ejemplo y como referencia. Algunos proveedores de identidad utilizan nombres sencillos, como `email`, mientras que otros utilizan nombres de atributo con formato de URL similares a este:

   ```
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   ```

1. Seleccione **Crear**.

**nota**  
Si aparece `InvalidParameterException` al crear un IdP SAML con una URL de punto de conexión de metadatos HTTPS, asegúrese de que el punto de conexión de los metadatos tenga SSL correctamente configurado y de que tenga un certificado SSL válido asociado. Un ejemplo de una excepción de este tipo sería «Error al recuperar los metadatos de*<metadata endpoint>*».

**Para configurar el proveedor de identidad SAML para añadir un certificado de firma**
+ Para obtener el certificado que contiene la clave pública que el IdP utiliza para verificar la solicitud de cierre de sesión firmada, haga lo siguiente:

  1. Vaya al menú **Proveedores sociales y externos** de su grupo de usuarios.

  1. Seleccione su proveedor de SAML.

  1. Elija **Ver certificado de firma**.

Para obtener más información sobre SAML IdPs , consulte. [Uso de proveedores de identidades SAML con un grupo de usuarios](cognito-user-pools-saml-idp.md)