View a markdown version of this page

Configuración de la autenticación de IAM Identity Center - AWS DevOps Agente
Requisitos previosOpciones de autenticaciónConfiguración del centro de identidad de IAM durante la creación de Agent SpaceAgregación de usuarios y gruposCómo acceden los usuarios a la aplicación web Agent SpaceAdministración del acceso de los usuariosAdministración de sesionesDesconectar Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la autenticación de IAM Identity Center

La autenticación del IAM Identity Center proporciona una forma centralizada de gestionar el acceso de los usuarios a la aplicación web AWS DevOps Agent Space. En esta guía se explica cómo configurar la autenticación del IAM Identity Center y cómo gestionar los usuarios.

Requisitos previos

Antes de configurar la autenticación del IAM Identity Center, asegúrese de:

  • El Centro de identidad de IAM está activado en su organización o cuenta

  • Permisos de administrador en el agente AWS DevOps

  • Un espacio de agente configurado o listo para ser creado

Opciones de autenticación

AWS DevOps El agente ofrece dos métodos de autenticación para acceder a la aplicación web Agent Space:

Autenticación de IAM Identity Center: recomendada para entornos de producción. Proporciona una administración centralizada de usuarios, integración con proveedores de identidad externos y sesiones de hasta 12 horas.

Acceso de administrador (autenticación de IAM): proporciona un acceso rápido a los administradores durante la instalación y la configuración iniciales. Las sesiones están limitadas a 30 minutos.

Configuración del centro de identidad de IAM durante la creación de Agent Space

Al crear un espacio de agente, puede configurar la autenticación del Centro de Identidad de IAM en la pestaña Acceso:

Paso 1: Navegue hasta la configuración de la aplicación web

  1. Tras configurar los detalles del espacio de agente y el acceso a la AWS cuenta, vaya a la pestaña Acceso

  2. Verás dos secciones: «Connect IAM Identity Center» y «Acceso de administrador»

Paso 2: Configurar la integración del centro de identidad de IAM

En la sección Connect [Agent Space] al centro de identidad de IAM:

  1. Compruebe la instancia del IAM Identity Center: la consola muestra qué instancia de Identity Center gestionará el acceso de los usuarios de la aplicación web (por ejemplo,ssoins-7223a9580931edbe). La instancia de IAM Identity Center más cercana se rellenará automáticamente.

  2. Seleccione la opción Nombre del rol de la aplicación de IAM Identity Center y elija una de estas tres opciones:

Cree automáticamente un nuevo rol de DevOps agente (recomendado):

  • El sistema crea automáticamente un nuevo rol de servicio con los permisos adecuados

  • Esta es la opción más sencilla y funciona en la mayoría de los casos de uso

Asigne un rol existente:

  • Utilice un rol de IAM existente que ya haya creado

  • El sistema verificará que el rol tiene los permisos necesarios

  • Elija esta opción si su organización tiene funciones precreadas para el agente AWS DevOps

Cree un nuevo rol de DevOps agente mediante una plantilla de políticas:

  • Utilice los detalles de la política proporcionados para crear su propio rol personalizado en la consola de IAM

  • Elija esta opción si necesita personalizar los permisos del rol

Tras hacer clic en Conectar, el sistema automáticamente:

  • Crea o configura el rol de IAM especificado

  • Configura una aplicación del centro de identidad de IAM para su espacio de agente

  • Establece relaciones de confianza entre el Centro de Identidad de IAM y la aplicación web Agent Space

  • Configura los flujos de autenticación OAuth 2.0 para un acceso seguro de los usuarios

Alternativa: usar el acceso de administrador

Si quiere acceder inmediatamente a la aplicación web Agent Space sin configurar el IAM Identity Center:

  1. En la sección Acceso de administrador, anote el ARN del rol de IAM que proporciona acceso de administrador (por ejemplo,) arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42

  2. Haga clic en el botón azul de acceso de administrador para iniciar la aplicación web Agent Space con autenticación de IAM

  3. Las sesiones que utilizan este método están limitadas a 30 minutos

nota

El acceso de administrador está destinado a la instalación y configuración iniciales. Para uso en producción y operaciones continuas, configure la autenticación del IAM Identity Center.

Agregación de usuarios y grupos

Tras configurar la autenticación del IAM Identity Center, debe conceder a usuarios y grupos específicos acceso a la aplicación web Agent Space:

Paso 1: Acceder a la gestión de usuarios

  1. En la consola del AWS DevOps agente, seleccione su espacio de agente

  2. Ve a la pestaña Acceso

  3. En Acceso de usuarios, haga clic en Administrar usuarios y grupos

Paso 2: Añadir usuarios o grupos

  1. Elija Agregar usuarios o grupos

  2. Busque usuarios o grupos en el directorio del centro de identidad de IAM

  3. Seleccione las casillas de verificación situadas junto a los usuarios o grupos que desee añadir

  4. Haga clic en Agregar para concederles acceso

Los usuarios seleccionados ahora pueden acceder a la aplicación web Agent Space con sus credenciales del IAM Identity Center.

Trabajar con proveedores de identidad externos

Si utilizas un proveedor de identidad externo (como Okta, Microsoft Entra ID o Ping Identity) con IAM Identity Center:

  • Los usuarios y los grupos se sincronizan desde su proveedor de identidad externo con el Centro de identidades de IAM

  • Al añadir usuarios y grupos a la aplicación web Agent Space, los selecciona del directorio sincronizado

  • Su proveedor de identidad externo mantiene los atributos de usuario y las pertenencias a grupos

  • Los cambios en su proveedor de identidad se reflejan automáticamente en el Centro de identidades de IAM tras la sincronización

Cómo acceden los usuarios a la aplicación web Agent Space

Una vez que haya agregado usuarios a su espacio de agente:

  1. Comparta la URL de la aplicación web Agent Space con los usuarios autorizados

  2. Cuando los usuarios acceden a la URL, se les redirige a la página de inicio de sesión del IAM Identity Center

  3. Tras introducir sus credenciales (y completar el MFA si está configurado), se les redirige de nuevo a la aplicación web Agent Space

  4. Su sesión es válida durante 8 horas de forma predeterminada (la puede configurar el administrador del Centro de Identidad)

Administración del acceso de los usuarios

Puede actualizar el acceso de los usuarios en cualquier momento:

Añadir más usuarios o grupos:

  • Siga los mismos pasos descritos anteriormente para añadir usuarios o grupos adicionales

Eliminar el acceso:

  1. En la sección Acceso de usuario, busque el usuario o grupo que desee eliminar

  2. Haga clic en el botón Eliminar situado junto a su nombre

  3. Confirme la eliminación

Los usuarios eliminados perderán el acceso inmediatamente, pero las sesiones activas pueden continuar hasta que caduquen.

Administración de sesiones

Las sesiones del IAM Identity Center para la aplicación web Agent Space tienen las siguientes características:

  • Duración predeterminada de la sesión: 8 horas

  • Seguridad de sesión: cookies solo HTTP para una protección mejorada

  • Autenticación multifactorial: se admite cuando se configura en el IAM Identity Center

  • Credenciales de API: las credenciales SigV4 de corta duración (15 minutos) se emiten para las llamadas a la API y se renuevan automáticamente

Para configurar la duración de la sesión:

  1. Navegue hasta la consola del IAM Identity Center

  2. Vaya a Configuración > Autenticación

  3. En Duración de la sesión, configura la duración que prefieras (de 1 hora a 12 horas)

  4. Elija Guardar cambios.

Desconectar Identity Center

  1. En la consola de su Agent Space, haga clic en Acciones en la esquina superior derecha y seleccione Desconectarse del centro de identidades de IAM

  2. Confirme en el cuadro de diálogo de confirmación