Migración del SSO heredado a los perfiles de SSO

Google Workspace ofrece dos formas de configurar el inicio de sesión único (SSO) con Google como parte de confianza de tu proveedor de identidad:

  • Perfil de SSO heredado: Te permite configurar solo un IdP para tu organización.
  • Perfiles de SSO: Es la forma más reciente y recomendada de configurar el SSO. Te permite aplicar diferentes parámetros de configuración del SSO a diferentes usuarios de tu organización, admite SAML y OIDC, tiene APIs más modernas y será el enfoque de Google para las nuevas funciones.

Recomendamos a todos los clientes que migren a los perfiles de SSO para aprovechar estos beneficios. Los perfiles de SSO pueden coexistir con el perfil de SSO de tu organización, por lo que puedes probar perfiles de SSO nuevos antes de realizar la transición de toda tu organización.

Descripción general del proceso de migración

  1. En la Consola del administrador, crea un perfil de SSO para tu IdP y regístralo en él.
  2. Asigna usuarios de prueba para que usen el nuevo perfil y confirma que funciona.
  3. Asigna tu unidad organizativa superior al perfil nuevo.
  4. Actualiza las URLs específicas del dominio para usar el nuevo perfil.
  5. Limpieza: Anula el registro de tu proveedor de servicios anterior y verifica que el aprovisionamiento automático de usuarios siga funcionando.

Paso 1: Crea un perfil de SSO

  1. Sigue estos pasos para crear un nuevo perfil de SSO de SAML. Tu perfil nuevo debe usar el mismo IdP que tu perfil de SSO existente para tu organización.

  2. Registra el nuevo perfil de SSO con tu IdP como un nuevo proveedor de servicios.

    Tu IdP verá el perfil nuevo como un proveedor de servicios distinto (es posible que los llame "Apps" o "Partes que confían"). La forma en que registres el nuevo proveedor de servicios variará según tu IdP, pero, por lo general, requiere que configures el ID de entidad y la URL del servicio de consumidor de aserciones (ACS) para el nuevo perfil.

Notas para los usuarios de la API

  • Si usas el perfil de SSO para tu organización, solo puedes usar la API de Google Workspace Admin Settings para administrar la configuración del SSO.
  • La API de Cloud Identity puede administrar perfiles de SSO como inboundSamlSsoProfiles y asignarlos a grupos o unidades organizativas con inboundSsoAssignments.

Diferencias entre los perfiles de SSO y el perfil de SSO heredado

Aserciones de administrador avanzado

Los perfiles de SSO no aceptan aserciones sobre los administradores avanzados. Cuando se usa el perfil de SSO para tu organización, se aceptan las aserciones, pero los administradores avanzados no se redireccionan al IdP. Por ejemplo, se aceptarían las siguientes aserciones:

  • El usuario sigue un vínculo del selector de aplicaciones desde tu IdP (SAML iniciado por el IdP).
  • El usuario navega a una URL del servicio específica del dominio (por ejemplo, https://drive.google.com/a/your_domain.com).
  • El usuario accede a un Chromebook configurado para navegar directamente a tu IdP. Obtén más información.

Configuración de la verificación posterior al SSO

La configuración que controla la verificación posterior al SSO (como los desafíos de acceso o la verificación en 2 pasos) es diferente para los perfiles de SSO que para el perfil de SSO de tu organización. Para evitar confusiones, te recomendamos que establezcas ambos parámetros de configuración en el mismo valor. Obtén más información.

Paso 2: Asigna usuarios de prueba al perfil

Es una buena idea probar inicialmente tu nuevo perfil de SSO en los usuarios de un solo grupo o unidad organizativa antes de cambiar a todos los usuarios. Usa un grupo o una unidad organizativa existentes, o crea uno nuevo según sea necesario.

Si tienes dispositivos ChromeOS administrados, te recomendamos que realices pruebas basadas en unidades organizativas, ya que puedes asignar dispositivos ChromeOS a unidades organizativas, pero no a grupos.

  1. (Opcional) Crea una nueva unidad organizativa o un nuevo grupo de configuración, y asígnale usuarios de prueba.
  2. Sigue estos pasos para asignar usuarios al nuevo perfil de SSO.

Notas para organizaciones con dispositivos ChromeOS administrados

Si configuraste el SSO para dispositivos ChromeOS de modo que los usuarios naveguen directamente a tu IdP, te recomendamos que pruebes el comportamiento del SSO por separado para estos usuarios.

Ten en cuenta que, para que el acceso sea exitoso, el perfil de SSO asignado a la unidad organizativa del dispositivo debe coincidir con el perfil de SSO asignado a la unidad organizativa del usuario del dispositivo.

Por ejemplo, si actualmente tienes una unidad organizativa de Ventas para los empleados que usan Chromebooks administradas y acceden directamente a tu IdP, crea una unidad organizativa como "sales_sso_testing", asígnale el uso del nuevo perfil y mueve a algunos usuarios y las Chromebooks que usan a esa unidad organizativa.

Paso 3: Asigna tu unidad organizativa superior y actualiza las URLs de servicio

Después de probar con éxito el nuevo perfil de SSO en un grupo de prueba o una unidad organizativa, puedes cambiar a otros usuarios.

  1. Ve a Seguridady luegoSSO con IdP de tercerosy luegoAdministrar la asignación de perfiles de SSO.
  2. Haz clic en Administrar.
  3. Selecciona tu unidad organizativa de nivel superior y asígnala al nuevo perfil de SSO.
  4. (Opcional) Si otras unidades organizativas o grupos están asignados al perfil de SSO de tu organización, asígnalos al nuevo perfil de SSO.

Paso 4: Actualiza las URLs específicas del dominio

Si tu organización usa URLs específicas del dominio (por ejemplo, https://mail.google.com/a/your_domain.com), actualiza ese parámetro de configuración para usar el nuevo perfil de SSO:

  1. Ve a Seguridady luegoSSO con IdP de tercerosy luegoURLs del servicio específicas del dominio.
  2. En Redirecciona automáticamente a los usuarios al IdP externo en el siguiente perfil de SSO, selecciona el nuevo perfil de SSO en la lista desplegable.

Paso 5: Limpieza

  1. En Seguridady luegoSSO con IdP de tercerosy luegoPerfiles de SSO, haz clic en Perfil de SSO heredado para abrir la configuración del perfil.
  2. Desmarca Habilitar los perfiles del SSO heredados para inhabilitar el perfil heredado.
  3. Confirma que el aprovisionamiento automático de usuarios configurado con tu IdP funcione correctamente con tu nuevo perfil de SSO.
  4. Cancela el registro del proveedor de servicios anterior en tu IdP.