Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Federación de identidades e inicio de sesión único Garantizar una administración de identidades coherente en todos los sistemas principales es clave para adoptar cualquier tecnología de forma exitosa y segura. Las instituciones educativas están adoptando cada vez más soluciones de identidad e inicio de sesión único basadas en la nube, como [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)Microsoft Entra ID (anteriormente Azure Active Directory), Okta,, Ping Identity JumpCloud OneLogin, CyberArk para simplificar la administración de identidades, reducir la carga operativa y aplicar de forma centralizada las mejores prácticas, como la autenticación multifactor y el acceso con privilegios mínimos. Muchas de estas instituciones aún mantienen servicios de administración de identidades y directorios, como Active Directory y Shibboleth, para sus entornos en las instalaciones. Se pueden integrar con soluciones basadas en la nube para permitir la administración centralizada de identidades y el inicio de sesión único para los estudiantes, los profesores y el personal. Los proveedores de soluciones en la nube deben tener plataformas sólidas de administración de easy-to-integrate identidades que le permitan federar las identidades a través de los proveedores de identidad en la nube con sus aplicaciones existentes, sus soluciones SaaS y sus servicios en la nube. En el siguiente diagrama se muestra un ejemplo de la arquitectura. ![\[Identity management flow from on-premises systems to Servicios de AWS via cloud identity providers.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/identity-sso.png) Esta arquitectura sigue estas recomendaciones: + **Seleccione un proveedor de nube principal y estratégico. **Esta arquitectura se utiliza AWS como proveedor de nube principal. Al integrarse con un proveedor de identidades en la nube y los servicios de directorios y administración de identidades existentes en las instalaciones, esta arquitectura admite el aprovisionamiento y la administración automatizados del acceso tanto a los servicios del proveedor de nube principal como a otras aplicaciones y soluciones de SaaS. De este modo, se garantiza que los requisitos de seguridad y gobernanza se cumplan de manera coherente y fácil de administrar a medida que se agregan más aplicaciones y servicios a la cartera de tecnología de la institución. + **Diferencie entre aplicaciones de SaaS y servicios de nube básicos. **Esta arquitectura integra varios tipos de sistemas de identidad basados en la nube, SaaS y locales para proporcionar acceso a los Nube de AWS servicios y otras aplicaciones. Muchas soluciones de inicio de sesión único y proveedores de identidades basadas en la nube también son aplicaciones de SaaS que pueden usar integraciones nativas y protocolos estándar, como SAML, para funcionar en todos los entornos. + **Establezca los requisitos de seguridad y gobernanza para cada proveedor de servicios en la nube. **Esta arquitectura sigue las directrices sobre la administración de identidades y accesos emitidas por numerosos marcos de seguridad, como el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST), NIST 800-171 y NIST 800-53. Las integraciones con [AWS Organizations](https://aws.amazon.com/organizations/), [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) y otros [servicios de cumplimiento, identidad y seguridad de AWS](https://aws.amazon.com/products/security/) ayudan a proporcionar controles de acceso detallados y seguros que se basan en permisos de grupos. + **Adopte servicios administrados nativos en la nube siempre que sea posible y práctico. **Esta arquitectura utiliza servicios administrados basados en la nube para la administración de identidades y el inicio de sesión único. De este modo, se reduce el tiempo y la energía que se invierten en la administración de la infraestructura y facilita el mantenimiento de estos sistemas críticos. + **Implemente arquitecturas híbridas cuando las inversiones en las instalaciones existentes incentiven el uso continuado. **Esta arquitectura integra las inversiones en las instalaciones existentes en infraestructura para alojar cargas de trabajo de Active Directory, Lightweight Directory Access Control (LDAP) y Shibboleth, además de proporcionar una vía para trasladar eventualmente los servicios de identidad básicos a una infraestructura basada en la nube. [Además, si tus cargas de trabajo locales necesitan un acceso a los AWS recursos basado en certificados, puedes usar Roles Anywhere.AWS Identity and Access Management](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)