View a markdown version of this page

Configuración de la autenticación de un proveedor de identidad externo (IdP) - AWS DevOps Agente
Requisitos previosFuncionamientoConfiguración de la autenticación de IdP externaActualización de la configuración de IdPCómo acceden los usuarios a la aplicación web Agent SpaceAdministración de sesionesConsideraciones de seguridadDesconectar el IdP externoResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la autenticación de un proveedor de identidad externo (IdP)

La autenticación con un proveedor de identidad externo (IdP) permite a su organización utilizar un proveedor de identidad existente compatible con OIDC, como Okta o Microsoft Entra ID, para administrar el acceso de los usuarios a la aplicación web Agent Space. AWS DevOps Los usuarios inician sesión con sus credenciales corporativas directamente a través de su IdP, sin necesidad de AWS IAM Identity Center.

Requisitos previos

Antes de configurar la autenticación de IdP externa, asegúrese de tener:

  • Un proveedor de identidad compatible con OIDC (Okta o Microsoft Entra ID)

  • Acceso de administrador a su proveedor de identidad

  • Permisos de administrador para acceder a la consola AWS DevOps del agente

  • Un espacio de agente configurado o listo para ser creado

Funcionamiento

Al configurar la autenticación de IdP externa:

  • Los usuarios navegan hasta la URL de la aplicación web Agent Space

  • Se les redirige a la página de inicio de sesión de su proveedor de identidad

  • Tras autenticarse con sus credenciales corporativas, se les redirige de nuevo a la aplicación web

  • La aplicación web intercambia el token de autenticación por AWS credenciales de corta duración destinadas al Agent Space

Las sesiones son válidas durante un máximo de 8 horas. Las credenciales se actualizan automáticamente mediante los tokens de actualización del OIDC sin que los usuarios tengan que volver a autenticarse.

Configuración de la autenticación de IdP externa

Paso 1: registre una aplicación en su proveedor de identidad

Elija su proveedor de identidad y siga las instrucciones de configuración correspondientes.

Opción A: Okta

  1. En la consola de administración de Okta, vaya a Aplicaciones > Aplicaciones y seleccione Crear integración de aplicaciones

  2. Seleccione OIDC - OpenID Connect como método de inicio de sesión y Aplicación web como tipo de aplicación. Elija Siguiente.

  3. Establezca un nombre descriptivo para la aplicación (por ejemplo,) AWS DevOps Agent

  4. En Tipo de subvención, asegúrese de que esté marcada la siguiente casilla:

    • Código de autorización (predeterminado)

    • Token de actualización: es necesario para actualizar la sesión. Si no está activado, los usuarios no podrán mantener las sesiones.

nota

Okta no habilita el tipo de concesión Refresh Token de forma predeterminada. Debe habilitarlo de forma explícita.

  1. Deje la redirección de inicio de sesión URIs como valor predeterminado por ahora; la actualizará después de configurar el espacio de agentes

  2. En Asignaciones, asigne los usuarios o grupos a los que deberían tener acceso

  3. Seleccione Save.

  4. En la pestaña General de la aplicación, anote los siguientes valores:

    • ID de cliente

    • Secreto de cliente: seleccione Copiar para guardar este valor de forma segura

  5. Anote su dominio de Okta: esta es la URL de su emisor (por ejemplo,https://dev-12345678.okta.com).

nota

En la pestaña Iniciar sesión, comprueba que el emisor esté configurado como URL de Okta (no dinámica). Esto garantiza una URL de emisor estable.

nota

No añadas la reclamación de un grupo al token de identificación de la pestaña Reclamaciones del servidor de autorización. AWS DevOps El agente no utiliza la pertenencia a un grupo de su IdP.

Opción B: Microsoft Entra ID

  1. En el portal de Azure, vaya a Microsoft Entra ID > Registros de aplicaciones > Nuevo registro

  2. Establezca un nombre descriptivo (por ejemplo,AWS DevOps Agent)

  3. En Tipos de cuentas compatibles, selecciona la opción adecuada para tu organización (normalmente, solo las cuentas de este directorio organizativo)

  4. Deja el URI de redireccionamiento en blanco por ahora. Selecciona Registrar

  5. En la página de descripción general de la aplicación, anote los siguientes valores:

    • ID de aplicación (cliente): se utiliza como ID de cliente al configurar el espacio de agentes

    • ID de directorio (inquilino): se utiliza para construir la URL del emisor

  6. Vaya a Certificados y secretos > Nuevo secreto de cliente

    • Establezca una descripción y un período de caducidad

    • Selecciona Añadir y copia el valor secreto inmediatamente; no se volverá a mostrar

  7. La URL del emisor de Entra ID sigue este formato. {tenant-id}Sustitúyala por tu ID de directorio (inquilino) del paso 5:

    • https://login.microsoftonline.com/{tenant-id}/v2.0

nota

No habilites la afirmación opcional del grupo en la configuración del token. AWS DevOps El agente no utiliza la pertenencia a un grupo de su IdP.

Paso 2: Habilite la aplicación Operator con la autenticación de IdP

  1. En la consola del AWS DevOps agente, seleccione su espacio de agente

  2. Ve a la pestaña Acceso

  3. En Acceso de usuario, selecciona Proveedor de identidad externo

  4. En el formulario de configuración, configure lo siguiente:

    • Proveedor de identidad: seleccione su proveedor de identidad (Okta o Microsoft Entra ID)

    • URL del emisor: la URL del emisor del OIDC de su proveedor de identidad

    • ID de cliente: el ID de cliente de la aplicación OIDC que creó

    • Secreto de cliente: el secreto de cliente de su aplicación OIDC

  5. En Nombre del rol de la aplicación del proveedor de identidad, elija una de estas tres opciones:

    • Crear automáticamente un nuevo rol de DevOps agente (recomendado): crea un nuevo rol de servicio con los permisos adecuados

    • Asigne un rol existente: utilice un rol de IAM existente que ya haya creado

    • Cree un nuevo rol de DevOps agente mediante una plantilla de políticas: utilice los detalles proporcionados para crear su propio rol en la consola de IAM

  6. Revise la alerta de advertencia de URL de llamada que aparece en la parte inferior del formulario. Copia esta URL: tendrás que añadirla a la redirección permitida por tu proveedor de identidad para URIs que los usuarios puedan iniciar sesión.

  7. Elige Connect

Tras seleccionar Connect, la consola muestra la configuración del proveedor de identidad externo con los siguientes detalles:

  • Proveedor: el proveedor de identidad que seleccionó

  • URL del emisor: la URL del emisor del OIDC configurada

  • ID de cliente: el ID de cliente configurado

  • Rol de IAM (ARN): el rol de IAM utilizado para el acceso de los usuarios

  • URL de devolución de llamada: configura esta URL en tu proveedor de identidad como una URI de redireccionamiento permitida

  • URL de inicio de sesión: utilice esta URL para acceder a la aplicación web a través de su proveedor de identidad

Paso 3: Agrega la URL de devolución de llamada a tu proveedor de identidad

Okta

  1. En la consola de administración de Okta, dirígete a la pestaña General de tu aplicación

  2. En Iniciar sesión, selecciona Editar

  3. Agrega la URL de devolución de llamada como URI de redireccionamiento de inicio de sesión:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback

  4. (Opcional) Defina el URI de inicio de sesión para habilitar el inicio de sesión iniciado por el IdP desde el panel de Okta:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login

  5. (Recomendado) Agregue un URI de redireccionamiento de cierre de sesión para redirigir a los usuarios a la aplicación web después de cerrar sesión. De lo contrario, los usuarios podrían ver una página de error al cerrar sesión:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome

  6. Seleccione Save.

ID de Microsoft Entra

  1. En el portal de Azure, vaya a la página de autenticación de la aplicación

  2. En Configuraciones de plataforma, elija Agregar una plataforma > Web

  3. Introduzca la URL de devolución de llamada como URI de redireccionamiento:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback

  4. (Opcional) Agrega un URI de redireccionamiento de cierre de sesión para redirigir a los usuarios a la aplicación web después de cerrar sesión:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome

  5. Seleccione Configurar

Paso 4: Verificar la configuración

  1. Navegue hasta la URL de inicio de sesión que aparece en la consola:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login

  2. Deberías ser redirigido a la página de inicio de sesión de tu proveedor de identidad

  3. Inicie sesión con sus credenciales corporativas

  4. Tras la autenticación correcta, se le redirigirá de nuevo a la aplicación web Agent Space

Actualización de la configuración de IdP

Puede rotar el secreto del cliente sin desconectarlo:

  1. En la consola del AWS DevOps agente, selecciona tu espacio de agente

  2. Ve a la pestaña Acceso

  3. En Configuración del proveedor de identidad externo, elija Rotar el secreto del cliente

  4. Introduzca el nuevo secreto de cliente

  5. Seleccione Save.

Para cambiar cualquier otro campo de configuración del IdP (como la URL del emisor, el ID de cliente o el proveedor de identidad), debe desconectar el IdP existente y configurar uno nuevo.

Cómo acceden los usuarios a la aplicación web Agent Space

Después de configurar la autenticación de IdP externa:

  • Comparta la URL de la aplicación web Agent Space con los usuarios autorizados

  • Cuando los usuarios acceden a la URL, se les redirige a la página de inicio de sesión de su proveedor de identidad

  • Tras introducir sus credenciales (y completar el MFA si lo ha configurado su IdP), se les redirige de nuevo a la aplicación web Agent Space

  • Las sesiones se actualizan automáticamente; consulte Administración de sesiones para obtener más información

Administración de sesiones

Las sesiones de IdP externas para la aplicación web Agent Space tienen las siguientes características:

  • Duración de la sesión: las sesiones del navegador duran hasta 8 horas. Esto no se puede configurar en el AWS DevOps agente. Si la duración de la sesión de su IdP supera las 8 horas, los usuarios pueden volver a autenticarse automáticamente en su próxima visita sin necesidad de introducir sus credenciales. Configure la duración de la sesión y el token de su IdP de acuerdo con los requisitos de seguridad de su organización.

  • Actualización de credenciales: las sesiones se actualizan automáticamente mediante los tokens de actualización del OIDC sin que los usuarios tengan que volver a autenticarse

  • Autenticación multifactorial: se admite cuando se configura en su proveedor de identidad. El IdP gestiona el MFA durante el inicio de sesión; no se necesita ninguna configuración adicional en el agente AWS DevOps

Comportamiento de cierre de sesión

Cuando un usuario hace clic en Cerrar sesión en la aplicación web:

  1. Todas las cookies de sesión se borran inmediatamente

  2. Se redirige al usuario al punto de cierre de sesión OIDC del proveedor de identidad para finalizar la sesión de SSO

  3. Si se configura un URI de redireccionamiento de cierre de sesión, se redirige al usuario a la página de bienvenida de la aplicación web

Revocar el acceso de los usuarios

Para revocar inmediatamente el acceso de un usuario, puedes revocar sus sesiones directamente en el portal de administración de tu proveedor de identidad:

  • Okta: en la consola de administración de Okta, navega hasta Directorio > Personas, selecciona el usuario y selecciona Más acciones > Borrar sesiones de usuario

  • Microsoft Entra ID: en el portal de Azure, vaya a Usuarios, seleccione el usuario y elija Revocar sesiones

Consideraciones de seguridad

Almacenamiento del secreto del cliente: el secreto del cliente que proporciona durante la configuración se cifra con la clave de KMS administrada por el cliente, si la proporcionó al crear el espacio de agente, o con una clave propiedad del servicio en caso contrario. Después de la configuración inicial, nunca se devuelve en las respuestas de la API ni se muestra en la consola.

Rotación de los secretos de los clientes: los secretos de los clientes de Entra tienen una caducidad configurable. Configura un recordatorio para rotar el secreto antes de que caduque mediante la opción Rotar el secreto del cliente de la consola del AWS DevOps agente. Si el secreto caduca, los usuarios no podrán iniciar sesión hasta que se rote.

Administración de la vida útil de los tokens: la duración de los tokens (tokens de acceso, tokens de actualización) emitidos por su proveedor de identidad depende de la configuración de su IdP. Recomendamos configurar los tiempos de vida de los tokens adecuados en su IdP:

  • Okta: Configura la vida útil de los tokens en Seguridad > API > Servidores de autorización > Políticas de acceso

  • Microsoft Entra ID: configure la vida útil de los tokens mediante políticas de vida útil de los tokens

Notificación de grupos: no habilite la reclamación de grupos en la configuración de token de su proveedor de identidad. AWS DevOps Actualmente, el agente no utiliza la pertenencia a un grupo de su IdP.

Identificador de usuario: el AWS DevOps agente utiliza una afirmación específica del proveedor para identificar a los usuarios de forma exclusiva:

  • Okta: utiliza la sub afirmación del token de identificación

  • Microsoft Entra ID: utiliza la afirmación oid (identificador de objeto) del token de ID

Estos identificadores son inmutables y aparecen en los CloudTrail registros con fines de auditoría.

Desconectar el IdP externo

  1. En la consola del AWS DevOps agente, seleccione su espacio de agente

  2. Ve a la pestaña Acceso

  3. En Acceso de usuario, selecciona Desconectar

  4. Revise los impactos que aparecen en el cuadro de diálogo de confirmación y confirme

La desconexión permitirá:

  • Elimine la configuración de IdP del espacio de agentes

  • Impida que los usuarios inicien sesión a través del proveedor de identidad externo

  • Eliminar el historial individual de chat y artefactos asociado a las cuentas de usuario de IdP

Las sesiones de usuario activas continuarán hasta que caduquen o se produzca un error en la próxima actualización de credenciales.

Resolución de problemas

  • La redirección al IdP falla: compruebe que la URL del emisor coincida con el punto final de detección de OIDC de su IdP. En el caso de Okta, asegúrate de que el emisor esté configurado como URL de Okta (no dinámica) en la pestaña de inicio de sesión. Para Entra, usa el formato. https://login.microsoftonline.com/{tenant-id}/v2.0

  • Acceso denegado o error de política (Okta): compruebe que el usuario o su grupo estén asignados a la aplicación en Asignaciones. Seleccione Inicio de sesión > Reglas de la política de inicio de sesión.

  • Error de configuración del IdP después del inicio de sesión: su proveedor de identidad no devolvió un token de actualización. Asegúrese de que el offline_access alcance y el tipo de concesión del token de actualización estén habilitados:

    • Okta: Ve a la pestaña General de tu aplicación y activa la casilla Actualizar el token en Tipo de concesión

    • Entra: ve a los permisos de la API y asegúrate de que aparezca en offline_access la lista de permisos delegados

  • La autenticación se realiza correctamente, pero la aplicación web muestra un error: compruebe que el URI de redireccionamiento de su IdP coincida exactamente con la URL de devolución de llamada que se muestra en AWS DevOps la consola del agente.

  • Fallos de autenticación: si la notificación opcional del grupo está habilitada en su IdP, deshabilítela. AWS DevOps El agente no usa notificaciones grupales.

  • El inicio de sesión falla después de la autenticación del IdP: en el caso de Entra, la verificación no requestedAccessTokenVersion está configurada null en el manifiesto de la aplicación. En el caso de Okta, compruebe que la URL del emisor sea correcta.

  • Página de error tras hacer clic en Cerrar sesión (Okta): si ves un post_logout_redirect_uri error después de cerrar sesión, agrégala https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome como URI de redirección de cierre de sesión en la pestaña General de la aplicación de Okta.

  • Los usuarios permanecen en la página del proveedor de identidad después de cerrar sesión (Entra): para redirigir a los usuarios a la aplicación web después de cerrar sesión, añada https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome un URI de redireccionamiento en la página de autenticación de la aplicación Entra.