Configura tu propia app de SAML personalizada

Usa el SSO basado en SAML

El inicio de sesión único (SSO) permite que los usuarios accedan a todas sus aplicaciones empresariales en la nube con sus credenciales de Cuentas de Google administradas. Google ofrece SSO preintegrado con más de 200 aplicaciones populares en la nube.

Sigue estos pasos para configurar el SSO basado en SAML con una aplicación personalizada que no se encuentre en el catálogo preintegrado.

Configura tu propia aplicación SAML personalizada

Paso 1: Agrega la aplicación SAML personalizada

  1. En la Consola del administrador de Google, ve a Menú y luego Apps y luego Apps web y para dispositivos móviles.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Haz clic en Agregar app y luego Agregar app SAML personalizada.
    Ingresa el nombre de la app y, de manera opcional, sube un ícono para ella. El ícono de la app aparece en la lista de Apps web y para dispositivos móviles, en la página de configuración de la app y en el selector de aplicaciones. Si no subes un ícono, se creará uno con las dos primeras letras del nombre de la app.
  3. Haz clic en Continuar.
  4. En la página Detalles del proveedor de identidad de Google, obtén la información de configuración que necesita el proveedor de servicios con una de estas opciones:
    1. Descarga los metadatos del IdP.
    2. Copia la URL de SSO y el ID de entidad , y descarga el certificado (o la huella digital SHA-256 , si es necesario).
  5. (Opcional) Para ingresar la información en la página de configuración de SSO adecuada, accede a tu proveedor de servicios en una pestaña o ventana del navegador independiente, ingresa la información que copiaste en el paso 5 y, luego, vuelve a la Consola del administrador.
  6. Haz clic en Continuar.
  7. Comunícate con tu proveedor de servicios para obtener los valores de estos campos. En la ventana Detalles del proveedor de servicios, ingresa lo siguiente:
    1. URL de ACS: La URL del servicio de confirmación de aserciones del proveedor de servicios recibe la respuesta de SAML. Debe comenzar con https://.
    2. ID de entidad : Es el nombre único a nivel global.
    3. URL de inicio : (Opcional) Establece el parámetro RelayState en una solicitud de SAML, que puede ser una URL a la que se redireccionará después de la autenticación.
  8. (Opcional) Para indicar que tu proveedor de servicios requiere que se firme toda la respuesta de autenticación de SAML, marca la casilla Respuesta firmada. Si no se marca (opción predeterminada), solo se firma la aserción dentro de la respuesta.
  9. (Opcional) Establece el formato del ID de nombre y el valor del ID de nombre para tu aplicación SAML personalizada. El ID de nombre predeterminado es el correo electrónico principal.
    Nota: Consulta los artículos de configuración en nuestro catálogo de aplicaciones SAML para ver las asignaciones de ID de nombre que se requieren para las aplicaciones del catálogo. También puedes crear atributos personalizados, ya sea en la Consola del administrador o a través de las APIs de Google Admin SDK, y asignarlos a ellos.
  10. Haz clic en Continuar.
  11. Si es necesario, haz clic en Agregar asignación para asignar atributos de usuario según los requisitos del proveedor de servicios.
    **Nota** : Puedes definir un máximo de 10,000 atributos en todas las aplicaciones.     Como cada aplicación tiene un atributo predeterminado, el recuento incluye el atributo predeterminado más los atributos personalizados que agregues.
    1. En Atributos del Directorio de Google, haz clic en el menú Seleccionar campo para elegir un nombre de campo. No todos los atributos del Directorio de Google están disponibles en la lista desplegable. Si un atributo que deseas asignar (por ejemplo, el correo electrónico del administrador) no está disponible, puedes agregarlo como un atributo personalizado, lo que hará que esté disponible aquí para su selección.
    2. En Atributos de la app, ingresa el atributo correspondiente para tu aplicación SAML personalizada.
  12. (Opcional) Para ingresar nombres de grupos que sean relevantes para esta aplicación, sigue estos pasos:
    1. En Membresía del grupo (opcional), haz clic en Buscar un grupo, ingresa una o más letras del nombre del grupo y selecciona el nombre del grupo.
    2. Agrega grupos adicionales según sea necesario (máximo de 75 grupos).
    3. En Atributo de la app, ingresa el nombre del atributo de grupos correspondiente del proveedor de servicios.

    Independientemente de la cantidad de nombres de grupos que ingreses, la respuesta de SAML solo incluye los grupos de los que un usuario es miembro (directa o indirectamente). Para obtener más información, consulta Acerca de la asignación de membresías de grupos.

  13. Haz clic en Finalizar.

Paso 2: Activa tu aplicación SAML

  1. En la Consola del administrador de Google, ve a Menú y luego Apps y luego Apps web y para dispositivos móviles.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Selecciona tu aplicación SAML.
  3. Haz clic en Acceso de usuario.

  4. Si quieres activar o desactivar un servicio para todos en tu organización, haz clic en Activado para todosDesactivado para todos y, luego, selecciona Guardar.

  5. (Opcional) Si deseas activar o desactivar un servicio para una unidad organizativa, sigue estos pasos:
    1. Sobre la izquierda, selecciona la unidad organizativa.
    2. Para cambiar el estado del servicio, selecciona Activar o Desactivar.
    3. Elige una opción:
      • Si el estado del servicio se establece como Heredado y quieres mantener el parámetro de configuración actualizado, incluso si cambia el parámetro superior, haz clic en Anular.
      • Si el estado del servicio se estableció como Anulado, haz clic en Heredar para revertir al mismo parámetro de configuración que el del elemento superior o en Guardar para mantener el parámetro nuevo incluso si cambia el de nivel superior.

        Obtén más información sobre la estructura organizativa.

  6. (Opcional) Si quieres activar un servicio para un conjunto de usuarios de una misma unidad organizativa o de varias, selecciona un grupo de acceso. Para obtener más detalles, consulta Personaliza el acceso a los servicios con grupos de acceso.
  7. Asegúrate de que las direcciones de correo electrónico que usan tus usuarios para acceder a la aplicación SAML coincidan con las direcciones de correo electrónico que usan para acceder a tu dominio de Google.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen ocurrir más rápido. Más información

Paso 3: Verifica que el SSO funcione con tu aplicación personalizada

Puedes probar el SSO iniciado por el proveedor de identidad (IdP) y el SSO iniciado por el proveedor de servicios (SP).

Iniciado por el IdP

  1. En la Consola del administrador de Google, ve a Menú y luego Apps y luego Apps web y para dispositivos móviles.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Selecciona tu aplicación SAML personalizada.
  3. En la parte superior izquierda, haz clic en Probar el acceso de SAML.

    La aplicación debería abrirse en una pestaña independiente. Si no es así, usa la información de los mensajes de error de la aplicación SAML resultantes para actualizar la configuración del IdP y del SP según sea necesario y, luego, vuelve a probar el acceso de SAML.

Iniciado por el SP

  1. Abre la URL de SSO de tu nueva aplicación SAML. Deberías ser redireccionado automáticamente a la página de acceso de Google.
  2. Ingresa tu nombre de usuario y contraseña.

    Una vez que se autentiquen tus credenciales de acceso, se te redireccionará de nuevo a tu nueva aplicación SAML.