Migración del SSO heredado a los perfiles de SSO

Google Workspace ofrece dos formas de configurar el inicio de sesión único (SSO) con Google como entidad emisora de certificados para tu proveedor de identidad:

  • Perfil de SSO heredado : Te permite configurar solo un IdP para tu organización.
  • Perfiles de SSO : Es la forma más reciente y recomendada de configurar el SSO. Te permite aplicar diferentes parámetros de configuración de SSO a distintos usuarios de tu organización, admite SAML y OIDC, tiene APIs más modernas y será el enfoque de Google para las funciones nuevas.

Recomendamos a todos los clientes que migren a los perfiles de SSO para aprovechar estos beneficios. Los perfiles de SSO pueden coexistir con el perfil de SSO de tu organización, por lo que puedes probar perfiles de SSO nuevos antes de realizar la transición de toda tu organización.

Descripción general del proceso de migración

  1. En la Consola del administrador, crea un perfil de SSO para tu IdP y registra el perfil nuevo con tu IdP.
  2. Asigna usuarios de prueba para que usen el perfil nuevo y confirmar que funciona.
  3. Asigna tu unidad organizativa superior al perfil nuevo.
  4. Actualiza las URLs específicas del dominio para usar el perfil nuevo.
  5. Limpia: Anula el registro de tu proveedor de servicios anterior y verifica que el aprovisionamiento automático de usuarios siga funcionando.

Paso 1: Crea un perfil de SSO

  1. Sigue estos pasos para crear un nuevo perfil de SSO de SAML. Tu perfil nuevo debe usar el mismo IdP que tu perfil de SSO existente para tu organización.

  2. Registra el nuevo perfil de SSO con tu IdP como un nuevo proveedor de servicios.

    Tu IdP verá el perfil nuevo como un proveedor de servicios distinto (puede llamarlos "Apps" o "Entidades emisoras de certificados"). La forma en que registres el nuevo proveedor de servicios variará según tu IdP, pero, por lo general, requiere configurar el ID de entidad y la URL del servicio de confirmación de consumidores (ACS) para el perfil nuevo.

Notas para los usuarios de la API

Diferencias entre los perfiles de SSO y el perfil de SSO heredado

Aserciones de administrador avanzado

Los perfiles de SSO no aceptan aserciones sobre administradores avanzados. Cuando se usa el perfil de SSO para tu organización, se aceptan las aserciones, pero los administradores avanzados no se redireccionan al IdP. Por ejemplo, se aceptarían las siguientes aserciones:

  • El usuario sigue un vínculo del selector de aplicaciones desde tu IdP (SAML iniciado por el IdP).
  • El usuario navega a una URL de servicio específica del dominio (por ejemplo, https://drive.google.com/a/tu_dominio.com)
  • El usuario accede a una Chromebook configurada para navegar directamente a tu IdP. Obtén más información.

Configuración de verificación posterior al SSO

La configuración que controla la verificación posterior al SSO (como los desafíos de acceso o la Verificación en 2 pasos) es diferente para los perfiles de SSO que para el perfil de SSO de tu organización. Para evitar confusiones, te recomendamos que establezcas la misma configuración para ambos. Obtén más información.

Paso 2: Asigna usuarios de prueba al perfil

Es una buena idea probar inicialmente tu nuevo perfil de SSO en usuarios de un solo grupo o unidad organizativa antes de cambiar a todos los usuarios. Usa un grupo o una unidad organizativa existentes, o crea uno nuevo según sea necesario.

Si tienes dispositivos ChromeOS administrados, te recomendamos que realices pruebas basadas en unidades organizativas, ya que puedes asignar dispositivos ChromeOS a unidades organizativas, pero no a grupos.

  1. (Opcional) Crea una nueva unidad organizativa o un grupo de configuración y asígnale usuarios de prueba.
  2. Sigue estos pasos para asignar usuarios al nuevo perfil de SSO.

Notas para organizaciones con dispositivos ChromeOS administrados

Si configuraste el SSO para dispositivos ChromeOS de modo que los usuarios naveguen directamente a tu IdP, te recomendamos que pruebes el comportamiento del SSO por separado para estos usuarios.

Ten en cuenta que, para que el acceso se realice correctamente, el perfil de SSO asignado a la unidad organizativa del dispositivo debe coincidir con el perfil de SSO asignado a la unidad organizativa del usuario del dispositivo.

Por ejemplo, si actualmente tienes una unidad organizativa de Ventas para los empleados que usan Chromebooks administradas y acceden directamente a tu IdP, crea una unidad organizativa como "pruebas_sso_ventas", asígnale el uso del perfil nuevo y mueve algunos usuarios y las Chromebooks que usan a esa unidad organizativa.

Paso 3: Asigna tu unidad organizativa superior y actualiza las URLs de servicio

Después de probar correctamente el nuevo perfil de SSO en un grupo o unidad organizativa de prueba, puedes cambiar a otros usuarios.

  1. Ve a Seguridad y luego SSO con IdP de terceros y luego Administrar la asignación de perfiles de SSO.
  2. Haz clic en Administrar.
  3. Selecciona tu unidad organizativa de nivel superior y asígnala al nuevo perfil de SSO.
  4. (Opcional) Si otras unidades organizativas o grupos están asignados al perfil de SSO de tu organización, asígnalos al nuevo perfil de SSO.

Paso 4: Actualiza las URLs específicas del dominio

Si tu organización usa URLs específicas del dominio (por ejemplo, https://mail.google.com/a/tu_dominio.com), actualiza ese parámetro de configuración para usar el nuevo perfil de SSO:

  1. Ve a Seguridad y luego SSO con IdP de terceros y luego URLs de servicio específicas del dominio.
  2. En Redirecciona automáticamente a los usuarios a un IdP externo en el siguiente perfil de SSO, selecciona el nuevo perfil de SSO en la lista desplegable.

Paso 5: Limpia

  1. En Seguridad y luego SSO con IdP de terceros y luego Perfiles de SSO, haz clic en el perfil de SSO heredado para abrir la configuración del perfil.
  2. Desmarca Habilitar los perfiles del SSO heredados para inhabilitar el perfil heredado.
  3. Confirma que el aprovisionamiento automático de usuarios configurado con tu IdP funcione correctamente con tu nuevo perfil de SSO.
  4. Anula el registro del proveedor de servicios anterior de tu IdP.