Acerca del SSO

Cuando se configura el SSO, los usuarios que acceden a su IdP externo pueden acceder a las apps de Google sin verificación adicional, con las siguientes excepciones:

• Incluso si ya accedieron a su IdP, como medida de seguridad adicional, Google a veces les pedirá que verifiquen su identidad. Para obtener más información (y detalles sobre cómo inhabilitar esta verificación si es necesario), consulta la sección sobre cómo comprender el acceso seguro con SAML.
• Puedes configurar la verificación en 2 pasos adicional para los usuarios que acceden a los servicios de Google. Por lo general, se omite la verificación en 2 pasos cuando se activa el SSO. Para obtener más información, consulta Habilita desafíos con SSO.

En la Figura 1, se ilustra el proceso por el que un usuario accede a una aplicación de Google, como Gmail, a través de un servicio de SSO basado en SAML que opera un socio. La lista numerada que sigue a la imagen detalla cada paso.

Importante: Antes de que se lleve a cabo este proceso, el socio debe proporcionar a Google la URL de su servicio de SSO, así como la clave pública que Google debe usar para verificar las respuestas de SAML.

Figura 1: En esta figura, se muestra el proceso de acceso a Google con un servicio de SSO basado en SAML.

En esta imagen, se ilustran los siguientes pasos.

1. El usuario intenta acceder a una aplicación alojada de Google, como Gmail, Calendario de Google o algún otro servicio de Google.
2. Google genera una solicitud de autenticación SAML, que se codifica y se incorpora en la URL del servicio de SSO del socio. El parámetro RelayState, que contiene la URL codificada de la aplicación de Google a la que el usuario intenta acceder, también se incorpora en la URL de SSO. Este parámetro RelayState es un identificador opaco que se devuelve sin ninguna modificación ni inspección.
3. Google envía un redireccionamiento al navegador del usuario. La URL de redireccionamiento incluye la solicitud de autenticación de SAML codificada que se debe enviar al servicio de SSO del socio.
4. El navegador redirecciona a la URL de SSO.
5. El socio decodifica la solicitud de SAML y extrae la URL del ACS (Assertion Consumer Service) de Google y la URL de destino del usuario (parámetro RelayState).
6. Luego, el socio autentica al usuario. Los socios pueden autenticar a los usuarios solicitándoles credenciales de acceso válidas o verificando si tienen cookies de sesión válidas.
7. El socio genera una respuesta de SAML que contiene el nombre de usuario del usuario autenticado. De acuerdo con la especificación de SAML v2.0, esta respuesta se firma digitalmente con las claves DSA/RSA públicas y privadas del socio.
8. El socio codifica la respuesta de SAML y el parámetro RelayState, y devuelve esa información al navegador del usuario. El socio proporciona un mecanismo para que el navegador pueda reenviar esa información al ACS de Google. Por ejemplo, el socio podría incorporar la respuesta de SAML y la URL de destino en un formulario, y proporcionar un botón en el que el usuario pueda hacer clic para enviar el formulario a Google. El socio también podría incluir JavaScript en la página que envía el formulario a Google.
9. El navegador envía una respuesta a la URL del ACS. El ACS de Google verifica la respuesta de SAML con la clave pública del socio. Si la respuesta se verifica correctamente, ACS redirecciona al usuario a la URL de destino.
10. El usuario accedió a la app de Google.