Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración del proveedor de identidad para el inicio de sesión único (SSO)
Research and Engineering Studio se integra con cualquier proveedor de identidad SAML 2.0 para autenticar el acceso de los usuarios al portal RES. Estos pasos proporcionan instrucciones para la integración con el proveedor de identidades de SAML 2.0 que elija. Si tiene intención de utilizar el Centro de identidades de IAM, consulte. [Configuración del inicio de sesión único (SSO) con el Centro de identidad de IAM](sso-idc.md)
**nota**
El correo electrónico del usuario debe coincidir en la afirmación SAML del IDP y en Active Directory. Deberá conectar su proveedor de identidad con su Active Directory y sincronizar los usuarios periódicamente.
**Topics**
+ [Configure su proveedor de identidad](#configure-id-federation_config-idp)
+ [Configure RES para usar su proveedor de identidad](#configure-id-federation_config-res)
+ [Configurar el proveedor de identidades en un entorno que no sea de producción](#configure-id-federation-demo-env)
+ [Depuración de problemas de IdP de SAML](#configure-id-federation_debug)
## Configure su proveedor de identidad
En esta sección se proporcionan los pasos para configurar su proveedor de identidad con información del grupo de usuarios de Amazon Cognito de RES.
1. RES presupone que tiene un AD (AD AWS gestionado o un AD autoaprovisionado) con las identidades de usuario autorizadas para acceder al portal y a los proyectos de RES. Conecte su AD a su proveedor de servicios de identidad y sincronice las identidades de los usuarios. Consulta la documentación de tu proveedor de identidad para obtener información sobre cómo conectar tu AD y sincronizar las identidades de los usuarios. Por ejemplo, consulte [Uso de Active Directory como fuente de identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) en la *Guía del AWS IAM Identity Center usuario*.
1. Configure una aplicación SAML 2.0 para RES en su proveedor de identidad (IdP). Esta configuración requiere los siguientes parámetros:
+ **URL de redireccionamiento de SAML**: la URL que utiliza su IdP para enviar la respuesta de SAML 2.0 al proveedor de servicios.
**nota**
Según el IdP, la URL de redireccionamiento de SAML puede tener un nombre diferente:
URL de aplicación
URL del Servicio de Consumer de Afirmación (ACS)
URL de enlace POST de ACS
**Para obtener la URL**
1. Inicie sesión en RES como **administrador o administrador** de **clústeres**.
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
1. Elija la **URL de redireccionamiento de SAML**.
+ **URI de audiencia de SAML**: el ID único de la entidad de audiencia de SAML por parte del proveedor de servicios.
**nota**
Según el IdP, el URI de audiencia de SAML puede tener un nombre diferente:
ClientID
Aplicación: SAML Audience
ID de entidad del SP
Proporcione la entrada en el siguiente formato.
```
urn:amazon:cognito:sp:{{user-pool-id}}
```
**Para encontrar tu URI de audiencia de SAML**
1. Inicia sesión en RES como **administrador o administrador de** **clústeres**.
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
1. Elija **el ID del grupo de usuarios**.
1. La afirmación de SAML publicada en RES debe tener la siguiente fields/claims configuración en la dirección de correo electrónico del usuario:
+ Asunto o NameID de SAML
+ Correo electrónico SAML
1. Su IdP se agrega fields/claims a la afirmación SAML en función de la configuración. RES requiere estos campos. La mayoría de los proveedores rellenan estos campos automáticamente de forma predeterminada. Consulte las siguientes entradas y valores de los campos si tiene que configurarlos.
+ **AudienceRestriction**: se establece en `urn:amazon:cognito:sp:{{user-pool-id}}`. {{user-pool-id}}Sustitúyalo por el ID de tu grupo de usuarios de Amazon Cognito.
```
urn:amazon:cognito:sp:{{user-pool-id}}
```
+ **Respuesta**: se establece en`InResponseTo`. `https://{{user-pool-domain}}/saml2/idpresponse` {{user-pool-domain}}Sustitúyalo por el nombre de dominio de tu grupo de usuarios de Amazon Cognito.
```
```
+ **SubjectConfirmationData**— `Recipient` Configúrelo en el `saml2/idpresponse` punto final de su grupo de usuarios y `InResponseTo` en el ID de solicitud SAML original.
```
```
+ **AuthnStatement**— Configúrelo de la siguiente manera:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Si su aplicación SAML tiene un campo de URL de cierre de sesión, configúrelo en:. `{{}}/saml2/logout`
**Para obtener la URL del dominio**
1. Inicie sesión en RES como **administrador o administrador** de **clústeres**.
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
1. Elija la **URL del dominio**.
1. Si su IdP acepta un certificado de firma para establecer la confianza en Amazon Cognito, descargue el certificado de firma de Amazon Cognito y cárguelo en su IdP.
**Para obtener el certificado de firma**
1. Abra la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Seleccione su grupo de usuarios. Su grupo de usuarios debería serlo`res-{{}}-user-pool`.
1. Seleccione la pestaña de **Sign-in experiencia**.
1. En la sección de inicio de **sesión con un proveedor de identidad federado**, selecciona **Ver certificado de firma**.
Puede usar este certificado para configurar el IDP de Active Directory, agregar un `relying party trust` y habilitar la compatibilidad con SAML en la parte que confía.
**nota**
Esto no se aplica a Keycloak ni a IDC.
1. Una vez completada la configuración de la aplicación, descargue el XML o la URL de los metadatos de la aplicación SAML 2.0. Lo usarás en la siguiente sección.
## Configure RES para usar su proveedor de identidad
**Para completar la configuración del inicio de sesión único para RES**
1. **Inicie sesión en RES como **administrador o administrador de clústeres**.**
1. Vaya a **Administración del entorno** ⇒ **Configuración general** ⇒ Proveedor de **identidad**.
1. En **Single Sign-On**, seleccione el icono de edición situado junto al indicador de estado para abrir la página de **configuración del inicio de sesión único**.
1. En **Identity Provider**, elija **SAML.**
1. En **Nombre del proveedor**, introduce un nombre único para tu proveedor de identidad.
**nota**
No se permiten los siguientes nombres:
Cognito
IdentityCenter
1. En **Fuente del documento de metadatos**, elija la opción adecuada y cargue el documento XML de metadatos o proporcione la URL del proveedor de identidad.
1. En el **campo Atributo de correo electrónico del proveedor**, introduzca el valor del texto`email`.
1. Seleccione **Enviar**.
1. Vuelva a cargar la página de **configuración del entorno**. El inicio de sesión único está habilitado si la configuración es correcta.
## Configurar el proveedor de identidades en un entorno que no sea de producción
Si utilizó los [recursos externos](prerequisites.md#external-resources) proporcionados para crear un entorno RES que no fuera de producción y configuró IAM Identity Center como su proveedor de identidades, puede que desee configurar un proveedor de identidades diferente, como Okta. El formulario de activación del SSO de RES solicita tres parámetros de configuración:
1. Nombre del proveedor: no se puede modificar
1. Documento de metadatos o URL: se puede modificar
1. Atributo de correo electrónico del proveedor: se puede modificar
**Para modificar el documento de metadatos y el atributo de correo electrónico del proveedor, haga lo siguiente:**
1. Vaya a la consola de Amazon Cognito.
1. En la barra de navegación, elija **Grupos de usuarios**.
1. Seleccione su grupo de usuarios para ver la **descripción general del grupo de usuarios**.
1. En la pestaña de **Sign-in experiencia**, vaya al inicio de **sesión con el proveedor de identidad federado** y abra el proveedor de identidades configurado.
1. Por lo general, solo tendrás que cambiar los metadatos y dejar la asignación de atributos sin cambios. Para actualizar el **mapeo de atributos**, elija **Editar**. Para actualizar el **documento de metadatos**, seleccione **Reemplazar metadatos**.
1. Si ha editado la asignación de atributos, tendrá que actualizar la `.cluster-settings` tabla en DynamoDB.
1. Abra la consola de DynamoDB y **seleccione** Tablas en la barra de navegación.
1. Busque y seleccione la `.cluster-settings` tabla y, en el menú **Acciones**, seleccione **Explorar** elementos.
1. En **Escanear o consultar elementos**, vaya a **Filtros** e introduzca los siguientes parámetros:
+ **Nombre del atributo**: `key`
+ **Valor** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Seleccione **Ejecutar**.
1. En **Elementos devueltos**, busque la `identity-provider.cognito.sso_idp_provider_email_attribute` cadena y seleccione **Editar** para modificarla y adaptarla a los cambios en Amazon Cognito.
## Depuración de problemas de IdP de SAML
**SAML-tracer**— Puedes usar esta extensión para que el navegador Chrome realice un seguimiento de las solicitudes de SAML y compruebe los valores de las aserciones de SAML. Para obtener más información, consulta la tienda [ SAML-tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1)web de Chrome.
**Herramientas para desarrolladores de SAML**: OneLogin proporcionan herramientas que puedes usar para decodificar el valor codificado en SAML y comprobar los campos obligatorios en la afirmación de SAML. Para obtener más información, consulte [Base 64 Decode \+](https://www.samltool.com/decode.php) Inflate en el sitio web. OneLogin
**Amazon CloudWatch Logs**: puede comprobar los registros de RES en CloudWatch Logs para ver si hay errores o advertencias. Sus registros están en un grupo de registros con el formato de nombre`/{{res-environment-name}}/cluster-manager`.
**Documentación de Amazon Cognito***: para obtener más información sobre la integración de SAML con Amazon Cognito, consulte [Añadir proveedores de identidad de SAML a un grupo de usuarios en la Guía para desarrolladores](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) de Amazon Cognito.*