Acerca del SSO

Cuando se configura el SSO, los usuarios que acceden a su IdP externo pueden acceder a las aplicaciones de Google sin verificación adicional, con las siguientes excepciones:

• Incluso si ya accedieron a su IdP, como medida de seguridad adicional, Google a veces les pedirá que verifiquen su identidad. Para obtener más información (y detalles sobre cómo inhabilitar esta verificación si es necesario), consulta Información sobre el acceso seguro de SAML.
• Puedes configurar la verificación adicional en dos pasos para los usuarios que acceden a los servicios de Google. Por lo general, se omite la verificación en dos pasos cuando se activa el SSO. Para obtener más información, consulta Habilitar desafíos con el SSO.

En la Figura 1, se ilustra el proceso por el que un usuario accede a una aplicación de Google, como Gmail, a través de un servicio de SSO basado en SAML operado por socios. En la lista numerada que sigue a la imagen, se detallan cada uno de los pasos.

Importante: Antes de que se lleve a cabo este proceso, el socio debe proporcionar a Google la URL de su servicio de SSO, así como la clave pública que Google debe usar para verificar las respuestas de SAML.

Figura 1: En esta figura, se muestra el proceso de acceso a Google con un servicio de SSO basado en SAML.

En esta imagen, se ilustran los siguientes pasos.

1. El usuario intenta acceder a una aplicación alojada de Google, como Gmail, Calendario de Google o algún otro servicio de Google.
2. Google genera una solicitud de autenticación de SAML, que se codifica y se incorpora en la URL del servicio de SSO del socio. El parámetro RelayState que contiene la URL codificada de la aplicación de Google a la que el usuario intenta acceder también se incorpora en la URL de SSO. Este parámetro RelayState es un identificador opaco que se devuelve sin ninguna modificación ni inspección.
3. Google envía una redirección al navegador del usuario. La URL de redirección incluye la solicitud de autenticación de SAML codificada que se debe enviar al servicio de SSO del socio.
4. El navegador redirecciona a la URL de SSO.
5. El socio decodifica la solicitud de SAML y extrae la URL del ACS (Assertion Consumer Service) de Google y la URL de destino del usuario (parámetro RelayState).
6. Luego, el socio autentica al usuario. Para ello, puede solicitar credenciales de acceso válidas o verificar si hay cookies de sesión válidas.
7. El socio genera una respuesta de SAML que contiene el nombre de usuario autenticado. De acuerdo con la especificación de SAML v2.0, esta respuesta se firma digitalmente con las claves DSA/RSA públicas y privadas del socio.
8. El socio codifica la respuesta de SAML y el parámetro RelayState, y devuelve esa información al navegador del usuario. El socio proporciona un mecanismo para que el navegador pueda reenviar esa información al ACS de Google. Por ejemplo, el socio podría incorporar la respuesta de SAML y la URL de destino en un formulario y proporcionar un botón en el que el usuario pueda hacer clic para enviar el formulario a Google. El socio también podría incluir JavaScript en la página que envía el formulario a Google.
9. El navegador envía una respuesta a la URL del ACS. El ACS de Google verifica la respuesta de SAML con la clave pública del socio. Si la respuesta se verifica correctamente, el ACS redirecciona al usuario a la URL de destino.
10. El usuario accede a la aplicación de Google.