Configuración y mantenimiento opcionales del SSO

Cómo rotar certificados

Si subes dos certificados a un perfil de inicio de sesión único (SSO) de SAML, Google puede usar cualquiera de ellos para validar una respuesta de SAML de tu IdP. Esto te permite rotar de forma segura un certificado que vence en el IdP. Sigue estos pasos al menos 24 horas antes de que venza un certificado:

  1. Crea un certificado nuevo en el IdP.
  2. Sube el certificado como el segundo certificado a la Consola del administrador. Para obtener instrucciones, consulta Crea un perfil de SAML profile.
  3. Espera 24 horas para que las cuentas de usuario de Google se actualicen con el certificado nuevo.
  4. Configura el IdP para que use el certificado nuevo en lugar del que vence.
  5. (Opcional) Una vez que los usuarios confirmen que pueden acceder, quita el certificado anterior de la Consola del administrador. Luego, podrás subir un certificado nuevo en el futuro según sea necesario.

Usa el correo electrónico de autocompletar para simplificar los accesos de SSO

Para ayudar a tus usuarios a acceder, activa Correo electrónico de autocompletar cuando crees o actualices un perfil de inicio de sesión único (SSO) de SAML entrante.

El correo electrónico de autocompletar completa automáticamente el campo de dirección de correo electrónico en la página de acceso de tu proveedor de identidad (IdP) externo. Por lo tanto, los usuarios solo deben ingresar su contraseña. Puedes activar Correo electrónico de autocompletar cuando crees un perfil de SSO de SAML entrante nuevo o actualices uno existente.

El correo electrónico de autocompletar usa un parámetro de sugerencia de acceso para enviar de forma segura las direcciones de correo electrónico de tus usuarios a tu IdP. Este parámetro es una función común que muchos IdP externos admiten para los accesos iniciados por IdP.

El parámetro de sugerencia de acceso no está estandarizado, por lo que los diferentes IdP usan distintas variaciones, como las siguientes:

  • login_hint (admite IdP como Microsoft Entra)
  • LoginHint (admite IdP como Okta)

Debido a estas variaciones, deberás confirmar qué formato admite tu IdP y elegir el parámetro de configuración correspondiente en la Consola del administrador de Google.

Opciones para activar el correo electrónico de autocompletar

Activa el correo electrónico de autocompletar en un perfil nuevo

  1. Accede a la Consola del administrador de Google con una cuenta de administrador.

    Si no usas una cuenta de administrador, no podrás acceder a la Consola del administrador.

  2. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Autenticación y luego SSO con IdP externo.

    Es necesario tener el privilegio de administrador de la configuración de seguridad.

  3. En la sección Perfiles de SSO externos, haz clic en Agregar perfil de SAML.
  4. En Perfil de SSO de SAML, ingresa un nombre de perfil.
  5. En Correo electrónico de autocompletar, selecciona la opción que coincida con el formato de sugerencia de acceso admitido por tu IdP.
  6. En la sección Detalles del IdP, completa los siguientes pasos:
    1. Ingresa el ID de entidad del IdP, la URL de la página de acceso y la URL de la página de salida que obtuviste de tu IdP.
    2. En URL del cambio de contraseña, ingresa una URL de cambio de contraseña para tu IdP.
      Los usuarios irán a esta URL para restablecer sus contraseñas.
  7. Haz clic en Guardar y continúa creando el perfil.

Activa el correo electrónico de autocompletar en un perfil existente

  1. Accede a la Consola del administrador de Google con una cuenta de administrador.

    Si no usas una cuenta de administrador, no podrás acceder a la Consola del administrador.

  2. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Autenticación y luego SSO con IdP externo.

    Es necesario tener el privilegio de administrador de la configuración de seguridad.

  3. En la sección Perfiles de SSO externos, haz clic en el perfil que deseas actualizar.
  4. Haz clic en Detalles del SP.
  5. En Correo electrónico de autocompletar, selecciona la opción que coincida con el formato de sugerencia de acceso admitido por tu IdP.
  6. Haz clic en Guardar.

Administra las URLs del servicio específicas del dominio

El parámetro de configuración URLs del servicio específicas del dominio te permite controlar lo que sucede cuando los usuarios acceden con URLs del servicio como https://mail.google.com/a/example.com.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Autenticación y luego SSO con IdP externo.

    Es necesario tener el privilegio de administrador de la configuración de seguridad.

  2. Haz clic en URLs del servicio específicas del dominio para abrir la configuración.

Existen dos opciones:

  • Redireccionar a los usuarios al IdP externo. Elige esta opción para enrutar siempre a estos usuarios al IdP externo que selecciones en la lista desplegable del perfil de SSO. Puede ser el perfil de SSO de tu organización o cualquier otro perfil externo (si agregaste uno).

    Importante: Si tienes unidades organizativas o grupos que no usan SSO, no elijas este parámetro de configuración. Los usuarios que no usan SSO se enrutarán automáticamente al IdP y no podrán acceder.

  • Solicitar a los usuarios que ingresen su nombre de usuario en la página de acceso de Google. Con esta opción, los usuarios que ingresan URLs específicas del dominio se envían primero a la página de acceso de Google. Si son usuarios de SSO, se los redirecciona a la página de acceso del IdP.

Resultados de la asignación de redes

Las máscaras de red son direcciones IP que se representan con la notación de enrutamiento entre dominios sin clases (CIDR). El CIDR especifica cuántos bits de la dirección IP se incluyen. El perfil de SSO de tu organización puede usar máscaras de red para determinar qué direcciones IP o rangos de direcciones IP se deben presentar con el servicio de SSO.

Nota: En el caso de la configuración de máscaras de red, solo las URLs del servicio específicas del dominio, por ejemplo, service.google.com/a/example.com, se redireccionan actualmente a la página de acceso de SSO.

Es importante que cada máscara de red use el formato correcto. En el siguiente ejemplo de IPv6, la barra (/) y el número que le sigue representan el CIDR. Los últimos 96 bits no se tienen en cuenta, y todas las direcciones IP de ese rango de red se ven afectadas.

  • 2001:db8::/32

En este ejemplo de IPv4, los últimos 8 bits (el cero) no se tienen en cuenta, y todas las direcciones IP que estaban en el rango de 64.233.187.0 a 64.233.187.255 se verían afectadas.

  • 64.233.187.0/24

En los dominios sin máscara de red, debes agregar al proveedor de identidad (IdP) a los usuarios que no sean administradores avanzados.

Experiencia del usuario de SSO cuando visita URLs del servicio de Google

En la siguiente tabla, se muestra la experiencia del usuario para las visitas directas a las URLs del servicio de Google, con y sin máscara de red:

Sin máscara de red Los administradores avanzados: Los usuarios:
service.google.com Se les solicita su dirección de correo electrónico y contraseña de Google. Se les solicita su dirección de correo electrónico y, luego, se los redirecciona a la página de acceso de SSO.
Con máscara de red Los administradores avanzados y los usuarios:
service.google.com Se les solicita su dirección de correo electrónico y contraseña.
service.google.com
/a/your_domain.com*
(dentro de la máscara de red)		 Se los redirecciona a la página de acceso de SSO.
service.google.com
/a/your_domain.com
(fuera de la máscara de red
)		 Se les solicita su dirección de correo electrónico y contraseña.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Los usuarios que acceden al extremo de OAuth 2.0 de Google con el parámetro de URL login_hint se redireccionan a la página de acceso de SSO.

* No todos los servicios admiten este patrón de URL. Algunos ejemplos de servicios que sí lo hacen son Gmail y Drive.

Vencimiento de la sesión cuando se configura una máscara de red

Es posible que se finalice la sesión activa de Google de un usuario y que se le solicite que vuelva a autenticarse en los siguientes casos:

  • La sesión del usuario alcanza la duración máxima permitida, como se especifica en el parámetro de configuración de la Consola del administrador de control de sesiones de Google.
  • El administrador modificó la cuenta de usuario cambiando la contraseña o solicitando al usuario que la cambie en su próximo acceso (ya sea a través de la Consola del administrador o con el SDK de Admin).

Experiencia del usuario

Si el usuario inició la sesión en un IdP externo, se borrará la sesión y se lo redireccionará a la página de acceso de Google.

Como el usuario inició su sesión de Google en un IdP externo, es posible que no comprenda por qué debe acceder a Google para recuperar el acceso a su cuenta. Es posible que se redireccione a los usuarios a una página de acceso de Google incluso cuando intenten navegar a otras URLs de Google.

Si planeas realizar tareas de mantenimiento que incluyan la finalización de las sesiones de usuario activas y quieres evitar la confusión de los usuarios, pídeles que salgan de sus sesiones y que no vuelvan a acceder hasta que se complete el mantenimiento.

Recuperación de usuarios

Cuando un usuario ve la página de acceso de Google porque se finalizó su sesión activa, puede recuperar el acceso a su cuenta de una de las siguientes maneras:

  • Si el usuario ve el mensaje "Si llegaste a esta página por error, haz clic aquí para salir y volver a acceder", puede hacer clic en el vínculo del mensaje.
  • Si el usuario no ve ese mensaje o vínculo, sale y vuelve a acceder a https://accounts.google.com/logout.
  • El usuario puede borrar las cookies del navegador.

Una vez que use cualquiera de los métodos de recuperación, se finalizará por completo su sesión de Google y podrá acceder.

Configura la verificación en 2 pasos con SSO

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Autenticación y luego Verificación de identidad.

    Es necesario tener el privilegio de administrador de la administración de seguridad del usuario.

  2. A la izquierda, selecciona la unidad organizativa en la que deseas establecer la política.

    Para todos los usuarios, selecciona la unidad organizativa principal. Al principio, las unidades organizativas heredan la configuración de su organización superior.

  3. Haz clic en Verificación posterior al SSO.

  4. Elige la configuración según cómo uses los perfiles de SSO en tu organización. Puedes aplicar un parámetro de configuración para los usuarios que usan el perfil de SSO heredado y para los usuarios que acceden con otros perfiles de SSO.

  5. En la esquina inferior derecha, haz clic en Guardar.

    Google crea una entrada en el registro de auditoría de Admin para indicar cualquier cambio de política.

El parámetro de configuración predeterminado de verificación posterior al SSO depende del tipo de usuario de SSO:

  • Para los usuarios que acceden con el perfil de SSO heredado, el parámetro de configuración predeterminado es omitir los desafíos de acceso adicionales y la 2SV.
  • Para los usuarios que acceden con perfiles de SSO, el parámetro de configuración predeterminado es aplicar los desafíos de acceso adicionales y la 2SV.

Consulta también


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.