Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de aplicaciones con un emisor de tokens de confianza
<a name="using-apps-with-trusted-token-issuer"></a>

Los emisores de tokens confiables le permiten utilizar la propagación de identidades confiable con aplicaciones que se autentican fuera de ella. AWS Con los emisores de tokens de confianza, puede autorizar a estas aplicaciones a realizar solicitudes en nombre de sus usuarios para acceder AWS a las aplicaciones gestionadas.

En los siguientes temas se describe cómo funcionan los emisores de tokens de confianza y se proporcionan instrucciones de configuración.

**Topics**
+ [Descripción general de los emisores de tokens de confianza](#trusted-token-issuer-overview)
+ [Requisitos previos y consideraciones para los emisores de tokens de confianza](#trusted-token-issuer-prerequisites)
+ [Detalles de la notificación de JTI](#trusted-token-issuer-configuration-jti-claim)
+ [Ajustes de configuración de un emisor de tokens de confianza](trusted-token-issuer-configuration-settings.md)
+ [Configuración de un emisor de tokens de confianza](setuptrustedtokenissuer.md)
+ [Sesiones de rol de IAM con identidad mejorada](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)

## Descripción general de los emisores de tokens de confianza
<a name="trusted-token-issuer-overview"></a>

La propagación de identidades fiable proporciona un mecanismo que permite a las aplicaciones que se autentican fuera del AWS sistema realizar solicitudes en nombre de sus usuarios mediante el uso de un emisor de token de confianza. Un *emisor de tokens de confianza* es un servidor de autorización OAuth 2.0 que crea tokens firmados. Estos tokens autorizan a las aplicaciones que inician solicitudes (solicitudes de solicitudes) de acceso a Servicios de AWS(aplicaciones receptoras). Las aplicaciones solicitantes inician las solicitudes de acceso en nombre de los usuarios que el emisor de tokens de confianza autentica. Tanto el emisor de tokens de confianza como IAM Identity Center conocen a los usuarios. 

Servicios de AWS Las personas que reciben solicitudes gestionan la autorización detallada de sus recursos en función de sus usuarios y de la pertenencia a grupos, tal y como se muestran en el directorio de Identity Center. Servicios de AWS no pueden usar directamente los tokens del emisor externo del token.

Para resolver este problema, IAM Identity Center proporciona una forma para que la aplicación solicitante, o un controlador de AWS que utilice la aplicación solicitante, intercambie el token que emite el emisor de tokens de confianza por un token generado por IAM Identity Center. El token que genera IAM Identity Center hace referencia al usuario correspondiente de IAM Identity Center. La aplicación solicitante, o el controlador, utiliza el nuevo token para iniciar una solicitud a la aplicación receptora. Como el nuevo token hace referencia al usuario correspondiente de IAM Identity Center, la aplicación receptora puede autorizar el acceso solicitado en función del usuario o de su grupo, tal como se representa en IAM Identity Center.

**importante**  
Elegir un servidor de autorización OAuth 2.0 para añadirlo como emisor de token de confianza es una decisión de seguridad que requiere una cuidadosa consideración. Seleccione únicamente emisores de tokens de confianza para realizar las siguientes tareas:  
Autenticar al usuario especificado en el token.
Autorizar el acceso de ese usuario a la aplicación receptora. 
Generar un token que IAM Identity Center pueda intercambiar por un token creado por IAM Identity Center. 

## Requisitos previos y consideraciones para los emisores de tokens de confianza
<a name="trusted-token-issuer-prerequisites"></a>

Antes de configurar un emisor de tokens de confianza, revise los siguientes requisitos previos y consideraciones.
+ **Configuración de un emisor de tokens de confianza**

  Debe configurar un servidor de autorización OAuth 2.0 (el emisor de token de confianza). Aunque el emisor del token de confianza suele ser el proveedor de identidad que utilizas como fuente de identidad para el IAM Identity Center, no tiene por qué serlo. Para ver instrucciones sobre cómo configurar el emisor de tokens de confianza, consulte la documentación del proveedor de identidades correspondiente.
**nota**  
Puede configurar hasta 10 emisores de tokens de confianza para utilizarlos con IAM Identity Center, siempre que asigne la identidad de cada usuario del emisor de tokens de confianza a un usuario correspondiente de IAM Identity Center.
+ El servidor de autorización OAuth 2.0 (el emisor del token de confianza) que crea el token debe tener un punto final de descubrimiento [OpenID Connect (](https://openid.net/specs/openid-connect-discovery-1_0.html)OIDC) que IAM Identity Center pueda utilizar para obtener claves públicas para verificar las firmas del token. Para obtener más información, consulte [URL del punto de conexión de detección de OIDC (URL del emisor)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Tokens emitidos por el emisor de tokens de confianza**

  Los tokens del emisor de tokens de confianza deben cumplir los siguientes requisitos:
  + El token debe estar firmado y en [formato JSON Web Token (JWT](https://datatracker.ietf.org/doc/html/rfc7519#section-3)) mediante el algoritmo. RS256
  + El token debe contener las siguientes afirmaciones:
    + [Emisor](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss): la entidad que emitió el token. Este valor debe coincidir con el valor que está configurado en el punto de conexión de detección del OIDC (URL del emisor) en el emisor del token de confianza.
    + [Sujeto](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sub): el usuario autenticado.
    + [Público](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud): el destinatario previsto del token. Este es el Servicio de AWS al que se accederá después de cambiarlo por un token de IAM Identity Center. Para obtener más información, consulte [Notificación de audiencia](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
    + [Tiempo de caducidad](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp): el tiempo después del cual caduca el token.
  + El token puede ser un token de identidad o un token de acceso.
  + El token debe tener un atributo que pueda asignarse de forma exclusiva a un usuario de IAM Identity Center.
**nota**  
No se admite el uso de una clave de firma personalizada para JWTs fromMicrosoft Entra ID. Para usar tokens de Microsoft Entra ID con un emisor de tokens de confianza, no puede usar una clave de firma personalizada.
+ **Notificaciones opcionales**

  IAM Identity Center admite todas las notificaciones opcionales que se definen en RFC 7523. Para obtener más información, consulte la [sección 3: JWT Format and Processing Requirements](https://datatracker.ietf.org/doc/html/rfc7523#section-3) de esta RFC.

  Por ejemplo, el token puede contener una [notificación de JTI (ID de JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7). Esta notificación, cuando está presente, impide que los tokens que tienen el mismo JTI se reutilicen para el intercambio de tokens. Para obtener más información acerca de las notificaciones de JTI, consulte [Detalles de la notificación de JTI](#trusted-token-issuer-configuration-jti-claim).
+ **Configuración de IAM Identity Center para que funcione con un emisor de tokens de confianza**

  También debe habilitar IAM Identity Center, configurar el origen de identidad de IAM Identity Center y aprovisionar a los usuarios que correspondan a los usuarios del directorio del emisor de tokens de confianza.

  Para ello, debe hacer una de las siguientes acciones:
  + Sincronice los usuarios con IAM Identity Center mediante el protocolo del sistema de administración de identidades entre dominios (SCIM) 2.0.
  + Cree los usuarios directamente en IAM Identity Center.

## Detalles de la notificación de JTI
<a name="trusted-token-issuer-configuration-jti-claim"></a>

Si IAM Identity Center recibe una solicitud para intercambiar un token que IAM Identity Center ya ha intercambiado, se produce un error en la solicitud. Para detectar e impedir la reutilización de un token para los intercambios de tokens, puede incluir una notificación de JTI. IAM Identity Center protege contra la repetición de tokens en función de las notificaciones que figuran en el token.

No todos los servidores de autorización OAuth 2.0 añaden una declaración de JTI a los tokens. Es posible que algunos servidores de autorización OAuth 2.0 no te permitan añadir una JTI como afirmación personalizada. OAuth Los servidores de autorización 2.0 que admiten el uso de una declaración de JTI pueden añadir esta afirmación únicamente a los tokens de identidad, solo a los de acceso o a ambos. Para obtener más información, consulte la documentación de su servidor de autorización OAuth 2.0.

 Para obtener información sobre cómo crear aplicaciones que intercambien tokens, consulte la documentación de la API de IAM Identity Center. Para obtener información sobre cómo configurar una aplicación administrada por el cliente para obtener e intercambiar los tokens correctos, consulte la documentación de la aplicación.

# Ajustes de configuración de un emisor de tokens de confianza
<a name="trusted-token-issuer-configuration-settings"></a>

En las siguientes secciones se describen los ajustes necesarios para configurar y utilizar un emisor de tokens de confianza.

**Topics**
+ [URL del punto de conexión de detección de OIDC (URL del emisor)](#oidc-discovery-endpoint-url)
+ [Mapeo de atributos](#trusted-token-issuer-attribute-mappings)
+ [Notificación de audiencia](#trusted-token-issuer-aud-claim)

## URL del punto de conexión de detección de OIDC (URL del emisor)
<a name="oidc-discovery-endpoint-url"></a>

Al agregar un emisor de tokens de confianza a la consola de IAM Identity Center, debe especificar la URL del punto de conexión de detección de OIDC. Se suele hacer referencia a esta URL por su URL relativa, `/.well-known/openid-configuration`. En la consola de IAM Identity Center, esta URL se denomina *URL del emisor*.

**nota**  
Debe pegar la URL del punto de conexión de detección *hasta que no aparezca `.well-known/openid-configuration`*. Si `.well-known/openid-configuration` se incluye en la URL, la configuración del emisor del token de confianza no funcionará. Como el IAM Identity Center no valida esta URL, si la URL no está formada correctamente, la configuración del emisor de token de confianza fallará sin notificación.  
Solo se debe poder acceder a la URL del punto de conexión de detección del OIDC a través de los puertos 80 y 443.

IAM Identity Center utiliza esta URL para obtener información adicional sobre el emisor de tokens de confianza. Por ejemplo, IAM Identity Center utiliza esta URL para obtener la información necesaria para verificar los tokens que genera el emisor de tokens de confianza. Al agregar un emisor de tokens de confianza a IAM Identity Center, debe especificar esta URL. Para encontrar la URL, consulte la documentación del proveedor del servidor de autorización OAuth 2.0 que utilice para generar los tokens para su aplicación o póngase en contacto directamente con el proveedor para obtener ayuda.

## Mapeo de atributos
<a name="trusted-token-issuer-attribute-mappings"></a>

Las asignaciones de atributos permiten que IAM Identity Center vincule el usuario representado en un token emitido por un emisor de tokens de confianza con un único usuario de IAM Identity Center. Debe especificar la asignación de atributos al agregar el emisor de tokens de confianza a IAM Identity Center. Esta asignación de atributos se utiliza en una notificación del token que ha generado el emisor de tokens de confianza. El valor de la notificación se utiliza para buscar en IAM Identity Center. La búsqueda utiliza el atributo especificado para recuperar un único usuario de IAM Identity Center, que se utilizará como el usuario de AWS. La notificación que elija debe asignarse a un atributo de una lista fija de atributos disponibles en el almacén de identidades de IAM Identity Center. Puede elegir uno de los siguientes atributos del almacén de identidades de IAM Identity Center: nombre de usuario, correo electrónico e ID externo. El valor del atributo que especifique en IAM Identity Center debe ser único para cada usuario.

## Notificación de audiencia
<a name="trusted-token-issuer-aud-claim"></a>

Las *notificaciones de audiencia* identifican a la audiencia (destinatarios) a la que se destina un token. Cuando la aplicación que solicita el acceso se autentica a través de un proveedor de identidades que no está federado en IAM Identity Center, dicho proveedor de identidades debe configurarse como un emisor de tokens de confianza. La aplicación que recibe la solicitud de acceso (la aplicación receptora) debe cambiar el token que ha generado el emisor de tokens de confianza por un token que haya generado IAM Identity Center.

Para obtener información sobre cómo obtener los valores de la notificación de audiencia para la aplicación receptora tal como están registrados en el emisor de tokens de confianza, consulte la documentación del emisor de tokens de confianza o póngase en contacto con el administrador del emisor de tokens de confianza para obtener ayuda.

# Configuración de un emisor de tokens de confianza
<a name="setuptrustedtokenissuer"></a>

Para habilitar la propagación de identidades de confianza en una aplicación que se autentica externamente en IAM Identity Center, uno o más administradores deben configurar un emisor de tokens de confianza. Un emisor de tokens de confianza es un servidor de autorización OAuth 2.0 que emite tokens a las aplicaciones que inician solicitudes (solicitudes de solicitudes). Los tokens autorizan a estas aplicaciones a iniciar solicitudes en nombre de sus usuarios a una aplicación o aplicaciones receptoras Servicio de AWS. 

**Topics**
+ [Coordinación de los roles y responsabilidades de administración](#coordinating-administrative-roles-responsibilities)
+ [Tareas para configurar un emisor de tokens de confianza](#setuptrustedtokenissuer-tasks)
+ [Cómo agregar un emisor de tokens de confianza a la consola de IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Cómo ver o editar la configuración del emisor de tokens de confianza en la consola de IAM Identity Center](#view-edit-trusted-token-issuers)
+ [Proceso de configuración y flujo de solicitud para las aplicaciones que utilizan un emisor de tokens de confianza](#setuptrustedtokenissuer-setup-process-request-flow)

## Coordinación de los roles y responsabilidades de administración
<a name="coordinating-administrative-roles-responsibilities"></a>

En algunos casos, un único administrador puede realizar todas las tareas necesarias para configurar un emisor de tokens de confianza. Si varios administradores realizan estas tareas, es necesario que haya una estrecha coordinación. En la siguiente tabla se describe cómo varios administradores pueden coordinarse para configurar un emisor de token de confianza y configurar el AWS servicio para usarlo. 

**nota**  
La aplicación puede ser cualquier AWS servicio que esté integrado con el Centro de Identidad de IAM y permita la propagación de identidades de forma fiable.

Para obtener más información, consulte [Tareas para configurar un emisor de tokens de confianza](#setuptrustedtokenissuer-tasks).


****  

| Rol | Realiza estas tareas | Se coordina con | 
| --- | --- | --- | 
| Administrador del IAM Identity Center |  Agrega el IdP externo como emisor de tokens de confianza a la consola de IAM Identity Center. Ayuda a configurar la asignación de atributos correcta entre IAM Identity Center y el IdP externo. Notifica al administrador del AWS servicio cuando el emisor del token de confianza se añade a la consola del IAM Identity Center.  |  Administrador del IdP externo (emisor de tokens de confianza) AWS administrador del servicio  | 
| Administrador del IdP externo (emisor de tokens de confianza) |  Configura el IdP externo para emitir los tokens. Ayuda a configurar la asignación de atributos correcta entre IAM Identity Center y el IdP externo. Proporciona el nombre de la audiencia (notificación de audiencia) al administrador del servicio de AWS .  |  Administrador del IAM Identity Center AWS administrador de servicios  | 
| AWS administrador de servicios |  Busca en la consola AWS de servicio el emisor del token de confianza. El emisor del token de confianza estará visible en la consola de AWS servicio después de que el administrador del IAM Identity Center lo añada a la consola del IAM Identity Center. Configura el AWS servicio para que utilice el emisor del token de confianza.  |  Administrador del IAM Identity Center Administrador del IdP externo (emisor de tokens de confianza)  | 

## Tareas para configurar un emisor de tokens de confianza
<a name="setuptrustedtokenissuer-tasks"></a>

Para configurar un emisor de tokens de confianza, un administrador de IAM Identity Center, un administrador del IdP externo (emisor de tokens de confianza) y un administrador de aplicaciones deben realizar las siguientes tareas. 

**nota**  
La aplicación puede ser cualquier AWS servicio que esté integrado con el IAM Identity Center y permita la propagación de identidades de forma fiable.

1. **Agregue el emisor de token de confianza al Centro de Identidad de IAM: el administrador del Centro** de Identidad de IAM [agrega el emisor de token de confianza mediante la consola del Centro de Identidad de IAM](#how-to-add-trustedtokenissuer) o. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Esta configuración requiere especificar lo siguiente:
   + El nombre del emisor de tokens de confianza.
   + La URL del punto de conexión de detección de OIDC (en la consola de IAM Identity Center, esta URL se denomina *URL del emisor*). Solo se debe poder acceder al punto de conexión de detección a través de los puertos 80 y 443.
   + Asignación de atributos para la búsqueda de usuarios. Esta asignación de atributos se utiliza en una notificación del token que ha generado el emisor de tokens de confianza. El valor de la notificación se utiliza para buscar en IAM Identity Center. La búsqueda utiliza el atributo especificado para recuperar un único usuario en IAM Identity Center.

1. **Conectar el AWS servicio al IAM Identity Center**: el administrador del AWS servicio debe conectar la aplicación al IAM Identity Center mediante la consola de la aplicación o la aplicación. APIs 

    Una vez que el emisor del token de confianza se haya añadido a la consola del IAM Identity Center, también estará visible en la consola de AWS servicio y estará disponible para que el administrador del AWS servicio lo seleccione.

1. **Configure el uso del intercambio de tokens**: en la consola de AWS servicio, el administrador del AWS servicio configura el AWS servicio para que acepte los tokens emitidos por el emisor de token de confianza. Estos tokens se intercambian por tokens que ha generado IAM Identity Center. Para ello, es necesario especificar el nombre del emisor de los tokens de confianza del paso 1 y el valor de reclamación en AUD que corresponde al servicio. AWS 

   El emisor del token de confianza coloca el valor reclamado en AUD en el token que emite para indicar que el token está destinado a ser utilizado por el AWS servicio. Para obtener este valor, póngase en contacto con el administrador del emisor de tokens de confianza.

## Cómo agregar un emisor de tokens de confianza a la consola de IAM Identity Center
<a name="how-to-add-trustedtokenissuer"></a>

En una organización que tiene varios administradores, esta tarea la realiza un administrador de IAM Identity Center. Si es el administrador de IAM Identity Center, debe elegir qué IdP externo desea utilizar como emisor de tokens de confianza. 

**Para agregar un emisor de tokens de confianza a la consola de IAM Identity Center**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuración**.

1. En la página de **configuración**, seleccione la pestaña **Autenticación**.

1. En **Emisores de tokens de confianza**, seleccione **Crear emisor de tokens de confianza**.

1. En la página **Configurar un IdP externo para emitir tokens de confianza**, en **Detalles del emisor del token de confianza**, haga lo siguiente:
   + En **URL del emisor**, escriba la [URL de detección de OIDC](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) del IdP externo que emitirá los tokens para la propagación de identidades de confianza. Debe especificar la URL del punto de conexión de detección hasta el momento sin `.well-known/openid-configuration`. El administrador del IdP externo puede proporcionar esta URL.
**nota**  
Nota: Esta URL debe coincidir con la URL de la afirmación del emisor (iss) en los tokens que se emiten para la propagación de identidades confiables. 
   + En **Nombre del emisor de tokens de confianza**, ingrese un nombre para identificar a este emisor de tokens de confianza en IAM Identity Center y en la consola de la aplicación. 

1. En **Asignar atributos**, haga lo siguiente:
   + En **Atributo de proveedor de identidad**, seleccione un atributo de la lista para asignarlo a un atributo del almacén de identidades de IAM Identity Center.
   + En **Atributo de IAM Identity Center**, seleccione el atributo correspondiente para la asignación de atributos.

1. En **Etiquetas (opcional)**, seleccione **Agregar etiqueta nueva** y especifique un valor para **Clave** y, si lo desea, para **Valor**.

   Para obtener más información acerca de las etiquetas, consulte [Recursos de etiquetado AWS IAM Identity Center](tagging.md).

1. Seleccione **Crear emisor de tokens de confianza**.

1. Cuando termine de crear el emisor de tokens de confianza, póngase en contacto con el administrador de la aplicación para que sepa el nombre del emisor de tokens de confianza y así pueda confirmar que está visible en la consola correspondiente. 

1. El administrador de la aplicación debe seleccionar este emisor de tokens de confianza en la consola correspondiente para permitir que los usuarios accedan a la aplicación desde las aplicaciones que están configuradas para la propagación de identidades de confianza. 

## Cómo ver o editar la configuración del emisor de tokens de confianza en la consola de IAM Identity Center
<a name="view-edit-trusted-token-issuers"></a>

Tras agregar un emisor de tokens de confianza a la consola de IAM Identity Center, podrá ver y editar la configuración correspondiente. 

Si tiene previsto editar la configuración del emisor de tokens de confianza, tenga en cuenta que si lo hace, los usuarios podrían perder el acceso a cualquier aplicación que esté configurada para utilizar el emisor de tokens de confianza. Para evitar interrumpir el acceso de los usuarios, le recomendamos que se ponga en contacto con los administradores de cualquier aplicación que esté configurada para usar el emisor de tokens de confianza antes de editar la configuración.

**Para visualizar o editar la configuración del emisor de tokens de confianza en la consola de IAM Identity Center**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuración**.

1. En la página de **configuración**, seleccione la pestaña **Autenticación**.

1. En **Emisores de tokens de confianza**, seleccione el emisor de tokens de confianza que desee ver o editar.

1. Seleccione **Acciones** y, a continuación, **Editar**.

1. En la página **Editar emisor de tokens de confianza**, consulte o edite la configuración según sea necesario. Puede editar el nombre del emisor de tokens de confianza, las asignaciones de atributos y las etiquetas.

1. Seleccione **Save changes (Guardar cambios)**.

1. En el cuadro de diálogo **Editar emisor de tokens de confianza**, se le pedirá que confirme que desea realizar cambios. Elija **Confirmar**.

## Proceso de configuración y flujo de solicitud para las aplicaciones que utilizan un emisor de tokens de confianza
<a name="setuptrustedtokenissuer-setup-process-request-flow"></a>

En esta sección se describe el proceso de configuración y el flujo de solicitud para las aplicaciones que utilizan un emisor de tokens de confianza para la propagación de identidades de confianza. En el diagrama siguiente se proporciona una descripción general de este proceso.

![\[Proceso de configuración y flujos de solicitud para las aplicaciones que utilizan un emisor de tokens de confianza para la propagación de identidades de confianza\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)


En los pasos siguientes tiene más información sobre este proceso.

1. Configure el IAM Identity Center y la aplicación AWS gestionada de recepción para utilizar un emisor de token de confianza. Para obtener información, consulte [Tareas para configurar un emisor de tokens de confianza](#setuptrustedtokenissuer-tasks).

1. El flujo de solicitud comienza cuando un usuario abre la aplicación solicitante.

1. La aplicación solicitante solicita un token al emisor del token de confianza para iniciar las solicitudes a la aplicación gestionada receptora AWS . Si el usuario aún no se ha autenticado, este proceso desencadena un flujo de autenticación. El token contiene la siguiente información:
   + El asunto del usuario.
   + El atributo que IAM Identity Center utiliza para buscar al usuario correspondiente en IAM Identity Center.
   + Una notificación de audiencia que contiene un valor que el emisor de tokens de confianza asocia a la aplicación administrada por AWS receptora. Si hay otras notificaciones, IAM Identity Center no las utiliza.

1. La aplicación solicitante, o el AWS controlador que utiliza, pasa el token al Centro de Identidad de IAM y solicita que se cambie por un token generado por el Centro de Identidad de IAM. Si utiliza un controlador de AWS , es posible que tenga que configurarlo para este caso de uso. Para obtener más información, consulte la documentación de la aplicación AWS gestionada correspondiente. 

1. IAM Identity Center utiliza el punto de conexión de detección de OIDC para obtener la clave pública que puede utilizar para verificar la autenticidad del token. A continuación, IAM Identity Center hace lo siguiente:
   + Verifica el token.
   + Busca en el directorio de Identity Center. Para ello, IAM Identity Center utiliza el atributo asignado que se especifica en el token.
   + Verifica que el usuario está autorizado para acceder a la aplicación receptora. Si la aplicación AWS gestionada está configurada para requerir asignaciones a usuarios y grupos, el usuario debe tener una asignación directa o basada en grupos a la aplicación; de lo contrario, se deniega la solicitud. Si la aplicación AWS administrada está configurada para no requerir asignaciones de usuarios y grupos, el procesamiento continúa.
**nota**  
AWS los servicios tienen una configuración predeterminada que determina si las asignaciones son necesarias para los usuarios y los grupos. Le recomendamos que no modifique la configuración **Requerir asignaciones** de estas aplicaciones si tiene previsto utilizarlas con la propagación de identidades de confianza. Incluso si ha configurado permisos detallados que permiten a los usuarios acceder a recursos de la aplicación específica, la modificación de la configuración **Requerir asignaciones** puede provocar un comportamiento inesperado, como la interrupción del acceso de los usuarios a estos recursos.
   + Comprueba que la aplicación solicitante esté configurada para utilizar ámbitos válidos para la aplicación AWS gestionada receptora. 

1. Si los pasos de verificación anteriores se realizan correctamente, IAM Identity Center creará un nuevo token. El nuevo token es un token opaco (cifrado) que incluye la identidad del usuario correspondiente en el Centro de Identidad de IAM, la audiencia (AUD) de la aplicación AWS gestionada receptora y los ámbitos que la aplicación solicitante puede utilizar al realizar solicitudes a la aplicación gestionada receptora. AWS 

1. La aplicación solicitante, o el controlador que utiliza, inicia una solicitud de recursos a la aplicación receptora y pasa el token que IAM Identity Center generó a la aplicación receptora.

1. La aplicación receptora realiza llamadas a IAM Identity Center para obtener la identidad del usuario y los ámbitos codificados en el token. También puede realizar solicitudes para obtener los atributos del usuario o la pertenencia del usuario a grupos desde el directorio de Identity Center.

1. La aplicación receptora utiliza su configuración de autorización para determinar si el usuario está autorizado a acceder al recurso de la aplicación solicitado.

1. Si el usuario está autorizado a acceder al recurso de la aplicación solicitado, la aplicación receptora responde a la solicitud.

1. La identidad del usuario, las acciones realizadas en su nombre y otros eventos se registran en los registros y CloudTrail eventos de la aplicación receptora. La forma específica en que se registra esta información varía en función de la aplicación.

# Sesiones de rol de IAM con identidad mejorada
<a name="trustedidentitypropagation-identity-enhanced-iam-role-sessions"></a>

[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html) (STS) permite que una aplicación obtenga una sesión de rol de IAM con identidad mejorada. Las sesiones de rol con identidad mejorada tienen un contexto de identidad adicional que incluye un identificador de usuario al Servicio de AWS que llaman. Servicios de AWS puede buscar las pertenencias a los grupos y los atributos del usuario en el Centro de Identidad de IAM y utilizarlos para autorizar el acceso del usuario a los recursos.

AWS las aplicaciones obtienen sesiones de roles con una identidad mejorada realizando solicitudes a la acción de la AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API y pasando una afirmación de contexto con el identificador del usuario (`userId`) en el `ProvidedContexts` parámetro de la solicitud a. `AssumeRole` La afirmación de contexto se obtiene de la reclamación `idToken` recibida en respuesta a una solicitud dirigida a `SSO OIDC` para [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Cuando una AWS aplicación utiliza una sesión de rol con identidad mejorada para acceder a un recurso, CloudTrail registra la `userId` sesión de inicio y la acción realizada. Para obtener más información, consulte [Registro de sesiones de rol de IAM con identidad mejorada](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

**Topics**
+ [Tipos de sesiones de rol de IAM con identidad mejorada](#types-identity-enhanced-iam-role-sessions)
+ [Registro de sesiones de rol de IAM con identidad mejorada](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)

## Tipos de sesiones de rol de IAM con identidad mejorada
<a name="types-identity-enhanced-iam-role-sessions"></a>

AWS STS puede crear dos tipos diferentes de sesiones de rol de IAM con identidad mejorada, en función de la afirmación de contexto proporcionada a la solicitud. `AssumeRole` Las aplicaciones que hayan obtenido tokens de identificación de IAM Identity Center pueden añadir `sts:identiy_context` (recomendado) o `sts:audit_context` (admitido por compatibilidad con versiones anteriores) a las sesiones de rol de IAM. Una sesión de roles de IAM con identidad mejorada solo puede tener una de estas aserciones de contexto, no ambas.

### Sesiones de rol de IAM con identidad mejorada creadas mediante `sts:identity_context`
<a name="role_session_sts_identity_context"></a>

Cuando una sesión de rol con identidad mejorada contiene `sts:identity_context`, el Servicio de AWS llamado determina si la autorización de recursos se basa en el usuario que está representado en la sesión de rol o si se basa en el rol. Los Servicios de AWS que admiten la autorización basada en el usuario proporcionan al administrador de la aplicación controles para asignar el acceso al usuario o a los grupos de los que el usuario es miembro. 

Servicios de AWS que no admitan la autorización basada en el usuario ignoran la. `sts:identity_context` CloudTrail registra el USERID del usuario del Centro de Identidad de IAM con todas las acciones realizadas por el rol. Para obtener más información, consulte [Registro de sesiones de rol de IAM con identidad mejorada](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

Para obtener este tipo de sesión de rol con identidad mejorada AWS STS, las aplicaciones proporcionan el valor del `sts:identity_context` campo de la solicitud mediante el parámetro de [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)solicitud. `ProvidedContexts` Utilice `arn:aws:iam::aws:contextProvider/IdentityCenter` como valor para `ProviderArn`.

Para obtener más información sobre el comportamiento de la autorización, consulte la documentación relativa a la recepción. Servicio de AWS

### Sesiones de rol de IAM con identidad mejorada creadas mediante `sts:audit_context`
<a name="role_session_sts_audit_context"></a>

En el pasado, se `sts:audit_context` utilizaba Servicios de AWS para permitir el registro de la identidad del usuario sin utilizarla para tomar una decisión de autorización. Servicios de AWS ahora pueden usar un único contexto: `sts:identity_context` - para lograrlo y para tomar decisiones de autorización. Recomendamos utilizar `sts:identity_context` en todas las nuevas implementaciones de propagación de identidades de confianza.

## Registro de sesiones de rol de IAM con identidad mejorada
<a name="trustedidentitypropagation-identity-enhanced-iam-role-session-logging"></a>

Cuando se realiza una solicitud a una Servicio de AWS sesión de rol de IAM con identidad mejorada, se inicia sesión en el elemento en el centro `userId` de identidad de IAM del usuario. CloudTrail `OnBehalfOf` La forma en que se registran los eventos CloudTrail varía en función del. Servicio de AWS No todos los Servicios de AWS registran el elemento `onBehalfOf`.

A continuación se muestra un ejemplo de cómo se inicia sesión en una sesión de rol con identidad mejorada. Servicio de AWS CloudTrail

```
"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}
```