Configuración y mantenimiento opcionales del SSO

Cómo rotar certificados

Si subes dos certificados a un perfil de inicio de sesión único (SSO) de SAML, Google puede usar cualquiera de los dos para validar una respuesta de SAML de tu IdP. Esto te permite rotar de forma segura un certificado que vence del lado del IdP. Sigue estos pasos al menos 24 horas antes de que venza un certificado:

  1. Crea un certificado nuevo en el IdP.
  2. Sube el certificado como el segundo certificado a la Consola del administrador. Para obtener instrucciones, consulta Cómo crear un perfil de SAML.
  3. Espera 24 horas para que las cuentas de usuario de Google se actualicen con el nuevo certificado.
  4. Configura el IdP para que use el nuevo certificado en lugar del que está por vencer.
  5. (Opcional) Una vez que los usuarios confirmen que pueden acceder, quita el certificado anterior de la Consola del administrador. Luego, podrás subir un certificado nuevo en el futuro según sea necesario.

Usa la función de Autocompletar correo electrónico para simplificar los inicios de sesión con SSO

Para ayudar a tus usuarios a acceder, activa Autocompletar correo electrónico cuando crees o actualices un perfil de inicio de sesión único (SSO) de SAML entrante.

La función de autocompletar correo electrónico completa automáticamente el campo de dirección de correo electrónico en la página de acceso de tu proveedor de identidad (IdP) externo. Por lo tanto, los usuarios solo tienen que ingresar su contraseña. Puedes activar Autocompletar correo electrónico cuando crees un nuevo perfil de SSO de SAML entrante o actualices uno existente.

El autocompletado de correo electrónico usa un parámetro de sugerencia de acceso para enviar de forma segura las direcciones de correo electrónico de tus usuarios a tu IdP. Este parámetro es una función común que muchos IdP externos admiten para los inicios de sesión iniciados por IdP.

El parámetro de sugerencia de acceso no está estandarizado, por lo que los diferentes IdP usan distintas variaciones, como las siguientes:

  • login_hint: (compatible con IdPs como Microsoft Entra)
  • LoginHint: (compatible con IdPs como Okta)

Debido a estas variaciones, deberás confirmar qué formato admite tu IdP y elegir el parámetro de configuración correspondiente en la Consola del administrador de Google.

Opciones para activar el autocompletado de correo electrónico

Cómo activar Autocompletar correo electrónico en un perfil nuevo

  1. Accede a la Consola del administrador de Google con una cuenta de administrador.

    Si no usas una cuenta de administrador, no podrás acceder a la Consola del administrador.

  2. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con IdP de terceros.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  3. En la sección Perfiles de SSO de terceros, haz clic en Agregar perfil de SAML.
  4. En Perfil de SSO de SAML, ingresa un nombre de perfil.
  5. En Autocompletar correo electrónico, selecciona la opción que coincida con el formato de sugerencia de acceso admitido por tu IdP.
  6. En la sección Detalles del IdP, completa los siguientes pasos:
    1. Ingresa el ID de entidad del IdP, la URL de la página de acceso y la URL de la página de cierre de sesión que obtuviste de tu IdP.
    2. En Cambiar URL de contraseña, ingresa una URL para cambiar la contraseña de tu IdP.
      Los usuarios irán a esta URL para restablecer sus contraseñas.
  7. Haz clic en Guardar y continúa creando el perfil.

Cómo activar la función de Autocompletar correo electrónico en un perfil existente

  1. Accede a la Consola del administrador de Google con una cuenta de administrador.

    Si no usas una cuenta de administrador, no podrás acceder a la Consola del administrador.

  2. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con IdP de terceros.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  3. En la sección Perfiles de SSO de terceros, haz clic en el perfil que deseas actualizar.
  4. Haz clic en Detalles del SP.
  5. En Autocompletar correo electrónico, selecciona la opción que coincida con el formato de sugerencia de acceso admitido por tu IdP.
  6. Haz clic en Guardar.

Administra las URLs del servicio específicas del dominio

El parámetro de configuración URLs del servicio específicas del dominio te permite controlar lo que sucede cuando los usuarios acceden con URLs de servicio, como https://mail.google.com/a/example.com.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con IdP de terceros.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  2. Haz clic en URLs del servicio específicas del dominio para abrir la configuración.

Existen dos opciones:

  • Redirecciona a los usuarios al IdP externo. Elige esta opción para siempre enrutar a estos usuarios al IdP externo que selecciones en la lista desplegable del perfil de SSO. Puede ser el perfil de SSO de tu organización o cualquier otro perfil de terceros (si agregaste uno).

    Importante: Si tienes grupos o unidades organizativas que no usan SSO, no elijas este parámetro de configuración. Tus usuarios que no utilicen el SSO se redireccionarán automáticamente al IdP y no podrán acceder.

  • Exige que los usuarios ingresen sus nombres de usuario en la página de acceso de Google. Con esta opción, los usuarios que ingresan URLs específicas del dominio primero se envían a la página de acceso de Google. Si son usuarios de SSO, se los redirecciona a la página de acceso del IdP.

Resultados de la asignación de redes

Las máscaras de red son direcciones IP que se representan con la notación de enrutamiento entre dominios sin clases (CIDR). El CIDR especifica cuántos bits de la dirección IP se incluyen. El perfil de SSO para tu organización puede usar máscaras de red para determinar qué direcciones IP o rangos de direcciones IP se presentarán con el servicio de SSO.

Nota: En la configuración de las máscaras de red, solo las URLs de servicio específicas del dominio, por ejemplo, service.google.com/a/example.com, redireccionan actualmente a la página de inicio de sesión del SSO.

Es importante que cada máscara de red use el formato correcto. En el siguiente ejemplo de IPv6, la barra (/) y el número que la sigue representan la CIDR. Los últimos 96 bits no se tienen en cuenta, y todas las direcciones IP de ese rango de red se ven afectadas.

  • 2001:db8::/32

En este ejemplo de IPv4, no se tienen en cuenta los últimos 8 bits (el cero), y se verían afectadas todas las direcciones IP que se encontraban en el rango de 64.233.187.0 a 64.233.187.255.

  • 64.233.187.0/24

En los dominios sin una máscara de red, debes agregar al proveedor de identidad (IdP) a los usuarios que no sean administradores avanzados.

Experiencia del usuario de SSO cuando se visitan URLs de servicios de Google

En la siguiente tabla, se muestra la experiencia del usuario para las visitas directas a las URLs de los servicios de Google, con y sin una máscara de red:

Sin máscara de red Los administradores avanzados son los siguientes: Los usuarios son los siguientes:
service.google.com Se le pedirá su dirección de correo electrónico y contraseña de Google. Se les solicita su dirección de correo electrónico y, luego, se los redirecciona a la página de acceso de SSO.
Con máscara de red Los administradores avanzados y los usuarios son los siguientes:
service.google.com Se le solicitó su dirección de correo electrónico y contraseña.
service.google.com
/a/your_domain.com*
(dentro de la máscara de red)		 Se te redireccionará a la página de acceso de SSO.
service.google.com
/a/your_domain.com
(máscara de red externa)
 Se le solicitó su dirección de correo electrónico y contraseña.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Los usuarios que acceden al extremo de OAuth 2.0 de Google con el parámetro de URL login_hint se redireccionan a la página de acceso de SSO.

* No todos los servicios admiten este patrón de URL. Gmail y Drive son ejemplos de servicios que sí lo hacen.

Vencimiento de la sesión cuando se configura una máscara de red

Es posible que se cierre la sesión activa de Google de un usuario y se le solicite que se vuelva a autenticar en los siguientes casos:

  • La sesión del usuario alcanza la duración máxima permitida, como se especifica en el parámetro de configuración Control de sesiones de Google de la Consola del administrador.
  • El administrador modificó la cuenta del usuario cambiando la contraseña o solicitándole al usuario que la cambie en su próximo acceso (ya sea a través de la Consola del administrador o con el SDK de Admin).

Experiencia del usuario

Si el usuario inició la sesión en un IdP externo, se borrará la sesión y se lo redireccionará a la página de acceso de Google.

Como el usuario inició su sesión de Google en un IdP externo, es posible que no comprenda por qué debe acceder a Google para recuperar el acceso a su cuenta. Es posible que se redireccione a los usuarios a una página de acceso de Google incluso cuando intenten navegar a otras URLs de Google.

Si planeas realizar tareas de mantenimiento que incluyen la finalización de sesiones de usuario activas y quieres evitar la confusión de los usuarios, pídeles que cierren sus sesiones y que no vuelvan a acceder hasta que se complete el mantenimiento.

Recuperación de usuarios

Cuando un usuario ve la página de Acceso con Google porque se cerró su sesión activa, puede recuperar el acceso a su cuenta de una de las siguientes maneras:

  • Si el usuario ve el mensaje "Si llegaste a esta página por error, haz clic aquí para salir y, luego, accede de nuevo", puede hacer clic en el vínculo del mensaje.
  • Si el usuario no ve ese mensaje o vínculo, debe salir de su cuenta y volver a acceder a ella en https://accounts.google.com/logout.
  • El usuario puede borrar las cookies del navegador.

Una vez que usen uno de los métodos de recuperación, se cerrará por completo su sesión de Google y podrán acceder.

Configura la verificación en 2 pasos con el SSO

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoDesafíos de acceso.

    Es necesario tener el privilegio de administrador de Administración de seguridad del usuario.

  2. A la izquierda, selecciona la unidad organizativa en la que deseas establecer la política.

    Para todos los usuarios, selecciona la unidad organizativa de nivel superior. Al principio, las unidades organizativas heredan la configuración de su unidad superior.

  3. Haz clic en Verificación posterior al SSO.

  4. Elige la configuración según cómo uses los perfiles de SSO en tu organización. Puedes aplicar un parámetro de configuración para los usuarios que usan el perfil de SSO heredado y para los usuarios que acceden con otros perfiles de SSO.

  5. En la esquina inferior derecha, haz clic en Guardar.

    Google crea una entrada en el registro de auditoría del administrador para indicar cualquier cambio en la política.

El parámetro de configuración predeterminado de verificación posterior al SSO depende del tipo de usuario de SSO:

  • Para los usuarios que acceden con el perfil de SSO heredado, el parámetro de configuración predeterminado es omitir los desafíos de acceso adicionales y la 2SV.
  • En el caso de los usuarios que acceden con perfiles de SSO, el parámetro de configuración predeterminado es aplicar desafíos de acceso y 2SV adicionales.

Consulta también


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.