App en la nube de Office 365

• Agrega tu dominio de Workspace a Microsoft Office 365. Para obtener instrucciones, consulta Cómo agregar un dominio a Microsoft 365.
• Instala PowerShell.

• Configura ImmutableID. Office 365 usa el atributo ImmutableID para identificar a los usuarios de forma única. Para que el SSO entre Google y Office 365 funcione, cada usuario de Office 365 debe tener un ImmutableID, y el atributo SAML Name ID que se envía a Office 365 durante el SSO debe ser el mismo que el ImmutableID.

  El ImmutableID de un usuario de Office 365 varía según cómo se crea el usuario. Estos son los casos más probables:

  • Aún no hay usuarios en Office 365: Si vas a configurar Google para que aprovisione usuarios automáticamente, no tienes que configurar el atributo ImmutableID. Se asigna de forma predeterminada a la dirección de correo electrónico del usuario, el nombre principal de usuario (UPN). Continúa con el paso 1.

  • Si los usuarios se crearon en la Consola del administrador de Office 365: ImmutableID debe estar en blanco. Para estos usuarios, usa el comando Update-MgUser de PowerShell para configurar el ImmutableID en Office 365 de modo que coincida con el UPN del usuario:

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    También puedes usar Update-MgUser para actualizar todos los usuarios de forma masiva. Para conocer los pasos, consulta la documentación de PowerShell.

  • Si los usuarios se crearon a través de la sincronización de Microsoft Entra ID: ImmutableID es una versión codificada del objectGUID de Active Directory. Para estos usuarios:
    1. Usa PowerShell para recuperar el ImmutableID de Entra ID. Por ejemplo, para recuperar el ImmutableID de todos los usuarios y exportarlo a un archivo CSV, haz lo siguiente:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. Crea un atributo personalizado en Google y, luego, completa el perfil de cada usuario con su ImmutableID de Office 365. Para conocer los pasos, consulta Cómo agregar un atributo personalizado nuevo y actualizar un perfil de usuario. También puedes automatizar el proceso con GAM (una herramienta de línea de comandos de código abierto) o las APIs de la Consola del administrador.

    Para obtener más información sobre ImmutableID, consulta la documentación de Microsoft.

1. En la Consola del administrador de Google, ve a Menú AppsApps web y para dispositivos móviles.

   Ir a Apps web y para dispositivos móviles

   Debes acceder como administrador avanzado para realizar esta tarea.

2. Haz clic en Agregar appBuscar apps.
3. En Ingresa el nombre de la app, ingresa Office 365.
4. En los resultados de la búsqueda, coloca el cursor sobre Microsoft Office 365 y haz clic en Seleccionar.
5. En la ventana Detalles del proveedor de identidad de Google, en Opción 2: Copia la URL de SSO, el ID de entidad y el certificado, haz lo siguiente:
   1. Junto a URL de SSO, haz clic en Copiar y guarda la URL.
   2. Junto a ID de entidad, haz clic en Copiar y guarda el ID de entidad.
   3. Junto a Certificado, haz clic en Copiar y guarda el certificado.

      Necesitas estos detalles para completar la configuración en Office 365.

Deja abierta la Consola del administrador de Google. Continuarás con la configuración en la Consola del administrador después de completar los pasos de configuración en la app.

1. Abre una ventana de incógnito del navegador, ve a la página de acceso de Office 365 y accede con tu cuenta de administrador de Office 365.
2. Con un editor de texto, crea variables de PowerShell a partir de los datos que copiaste en el paso 1. Estos son los valores necesarios para cada variable:

   Variable	Valor
   $DomainName	"your-company.com"
   $FederationBrandName	"Google Cloud Identity" (o cualquier valor que elijas)
   $Authentication	"Federated"
   $PassiveLogOnUrl $ActiveLogOnUri	"URL de SSO" (del paso 1)
   $SigningCertificate	"Pega el certificado completo aquí" (del paso 1)*
   $IssuerURI	"ID de entidad" (del paso 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	"SAMLP"

   * Asegúrate de que la variable $SigningCertifcate esté en una línea de texto o PowerShell mostrará un mensaje de error.
3. Con la consola de PowerShell, ejecuta el comando Update-MgDomain para configurar tu dominio de Active Directory para la federación. Para conocer los pasos, consulta la documentación de Microsoft PowerShell.
4. (Opcional) Para probar la configuración de la federación, usa el siguiente comando de PowerShell:

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Nota: Si tu dominio ya está federado y necesitas cambiar la federación a Google, ejecuta el siguiente comando con los mismos parámetros que se indican en la tabla anterior:
Update-MgDomainFederationConfiguration

1. Regresa a la pestaña del navegador de la Consola del administrador.
2. Haz clic en Continuar.
3. En la página Detalles del proveedor de servicios:
   1. Marca la casilla Respuesta firmada.
   2. En Formato del ID de nombre, selecciona Persistente.
   3. En ID de nombre, elige una opción:
      • Si creaste un atributo personalizado para agregar el ImmutableID de Office 365 a los perfiles de tus usuarios, selecciona el atributo personalizado.
      • Si no creaste un atributo ImmutableID personalizado, selecciona Información básicaCorreo electrónico principal.
4. Haz clic en Continuar.
5. En la página Asignación de atributos, haz clic en Seleccionar campo y asigna los siguientes atributos del directorio de Google a sus atributos correspondientes de Office 365. El atributo IDPEmail es obligatorio.

   Atributo del directorio de Google	Atributo de Office 365
   Información básica > Correo electrónico principal	IDPEmail*

6. (Opcional) Para agregar asignaciones adicionales, haz clic en Agregar asignación y selecciona los campos que necesitas asignar.
7. (Opcional) Para ingresar nombres de grupos que sean relevantes para esta app:
   1. En Membresía del grupo (opcional), haz clic en Buscar un grupo, ingresa una o más letras del nombre del grupo y selecciona el nombre del grupo.
   2. Agrega grupos adicionales según sea necesario (máximo de 75 grupos).
   3. En Atributo de la app, ingresa el nombre del atributo de grupos correspondiente del proveedor de servicios.

   Independientemente de la cantidad de nombres de grupos que ingreses, la respuesta de SAML incluye solo los grupos de los que un usuario es miembro (directa o indirectamente). Para obtener más información, consulta Acerca de la asignación de membresías de grupos.

8. Haz clic en Finalizar.

1. En la Consola del administrador de Google, ve a Menú AppsApps web y para dispositivos móviles.

   Ir a Apps web y para dispositivos móviles

   Debes acceder como administrador avanzado para realizar esta tarea.

2. Haz clic en Office 365.
3. Haz clic en Acceso de usuarios.

4. Para activar o desactivar un servicio para todas las personas de tu organización, haz clic en Activado para todos o Desactivado para todos y, luego, en Guardar.

5. (Opcional) Si deseas activar o desactivar un servicio para una unidad organizativa, sigue estos pasos:

   1. Sobre la izquierda, selecciona la unidad organizativa.
   2. Para cambiar el estado del servicio, selecciona Activar o Desactivar.
   3. Elige una opción:
      • Si el estado del servicio se establece como Heredado y quieres mantener el parámetro de configuración actualizado, incluso si cambia el parámetro superior, haz clic en Anular.
      • Si el estado del servicio se estableció como Anulado, haz clic en Heredar para revertir al mismo parámetro de configuración que el del elemento superior o en Guardar para mantener el parámetro nuevo incluso si cambia el de nivel superior.
        Obtén más información sobre la estructura organizacional.
6. (Opcional) Si quieres activar un servicio para un conjunto de usuarios de una misma unidad organizativa o de varias, selecciona un grupo de acceso. Para obtener más detalles, consulta Personaliza el acceso a los servicios con grupos de acceso.
7. Asegúrate de que los dominios de correo electrónico de las cuentas de usuario de Office 365 coincidan con el dominio principal de la cuenta de Google administrada de tu organización.

Office 365 admite el SSO iniciado por el proveedor de identidad y el SSO iniciado por el proveedor de servicios.

Verifica el SSO iniciado por el proveedor de identidad

1. En la Consola del administrador de Google, ve a Menú AppsApps web y para dispositivos móviles.

   Ir a Apps web y para dispositivos móviles

   Debes acceder como administrador avanzado para realizar esta tarea.

2. Haz clic en Office 365.
3. En la sección Office 365, haz clic en Probar acceso con SAML.

   La app debería abrirse en una pestaña separada. Si no lo hace, soluciona el mensaje de error y vuelve a intentarlo. Para obtener detalles sobre la solución de problemas, consulta Mensajes de error de la app de SAML.

Verifica el SSO iniciado por el proveedor de servicios

1. Cierra todas las ventanas del navegador.
2. Ve a la página de acceso de Office 365 y accede con tu cuenta de administrador de Office 365.
   Se te debería redireccionar automáticamente a la página de acceso de Google.
3. Selecciona tu cuenta y, luego, ingresa tu contraseña.

Una vez que se autentiquen tus credenciales, se abrirá la app.

Como administrador avanzado, puedes aprovisionar usuarios automáticamente en la app. Para obtener más detalles, consulta Configura el aprovisionamiento de usuarios de Office 365.