Configura tu propia app de SAML personalizada

Usa el SSO basado en SAML

El inicio de sesión único (SSO) permite que los usuarios accedan a todas sus apps empresariales en la nube con sus credenciales de Cuentas de Google administradas. Google ofrece SSO preintegrado con más de 200 apps populares en la nube.

Sigue estos pasos para configurar el SSO basado en SAML con una app personalizada que no se encuentre en el catálogo preintegrado.

Configura tu propia app de SAML personalizada

Paso 1: Agrega la app de SAML personalizada

  1. En la Consola del administrador de Google, ve a Menú y luego Appsy luegoApps web y para dispositivos móviles.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Haz clic en Agregar appy luegoAgregar app de SAML personalizada.
    Ingresa el nombre de la app y, de manera opcional, sube un ícono para ella. El ícono de la app aparece en la lista de Apps web y para dispositivos móviles, en la página de configuración de la app y en el selector de aplicaciones. Si no subes un ícono, se creará uno con las dos primeras letras del nombre de la app.
  3. Haz clic en Continuar.
  4. En la página Detalles del proveedor de identidad de Google, obtén la información de configuración que necesita el proveedor de servicios con una de estas opciones:
    1. Descarga los metadatos del IdP.
    2. Copia la URL de SSO y el ID de entidad , y descarga el certificado (o la huella digital SHA-256 , si es necesario).
  5. (Opcional) Para ingresar la información en la página de configuración de SSO adecuada, accede a tu proveedor de servicios en una pestaña o ventana del navegador independiente, ingresa la información que copiaste en el paso 5 y, luego, vuelve a la Consola del administrador.
  6. Haz clic en Continuar.
  7. Comunícate con tu proveedor de servicios para obtener los valores de estos campos. En la ventana Detalles del proveedor de servicios, ingresa lo siguiente:
    1. URL de ACS: La URL del servicio de confirmación de aserciones del proveedor de servicios recibe la respuesta de SAML. Debe comenzar con https://.
    2. ID de entidad : Es el nombre único a nivel global.
    3. URL de inicio : (Opcional) Establece el parámetro RelayState en una solicitud de SAML, que puede ser una URL a la que se redirecciona después de la autenticación.
  8. (Opcional) Para indicar que tu proveedor de servicios requiere que se firme toda la respuesta de autenticación de SAML, marca la casilla Respuesta firmada. Si no se marca (opción predeterminada), solo se firma la aserción dentro de la respuesta.
  9. (Opcional) Establece el formato del ID de nombre y el valor del ID de nombre para tu app de SAML personalizada. El ID de nombre predeterminado es el correo electrónico principal.
    Nota: Consulta los artículos de configuración en nuestro catálogo de apps de SAML para ver las asignaciones de ID de nombre que se requieren para las apps del catálogo. También puedes crear atributos personalizados, ya sea en la Consola del administrador o a través de las APIs de Google Admin SDK, y asignarlos a ellos.
  10. Haz clic en Continuar.
  11. Si es necesario, haz clic en Agregar asignación para asignar atributos de usuario según los requisitos del proveedor de servicios.
    Nota: Puedes definir un máximo de 10,000 atributos en todas las apps. Como cada app tiene un atributo predeterminado, el recuento incluye el atributo predeterminado más los atributos personalizados que agregues.
    1. En Atributos del Directorio de Google, haz clic en el menú Seleccionar campo para elegir un nombre de campo. No todos los atributos del Directorio de Google están disponibles en la lista desplegable. Si un atributo que deseas asignar (por ejemplo, el correo electrónico del administrador) no está disponible, puedes agregarlo como un atributo personalizado, lo que hará que esté disponible aquí para su selección.
    2. En Atributos de la app, ingresa el atributo correspondiente para tu app de SAML personalizada.
  12. (Opcional) Para ingresar los nombres de los grupos que son relevantes para esta app:
    1. En Membresía del grupo (opcional), haz clic en Buscar un grupo, ingresa una o más letras del nombre del grupo y selecciona el nombre del grupo.
    2. Agrega grupos adicionales según sea necesario (máximo de 75 grupos).
    3. En Atributo de la app, ingresa el nombre del atributo de grupos correspondiente del proveedor de servicios.

    Independientemente de la cantidad de nombres de grupos que ingreses, la respuesta de SAML solo incluye los grupos de los que un usuario es miembro (directa o indirectamente). Para obtener más información, consulta Acerca de la asignación de membresía de grupos.

  13. Haz clic en Finalizar.

Paso 2: Activa tu app de SAML

  1. En la Consola del administrador de Google, ve a Menú y luego Appsy luegoApps web y para dispositivos móviles.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Selecciona tu app de SAML.
  3. Haz clic en Acceso de usuario.

  4. Para activar o desactivar un servicio para todos los usuarios de tu organización, haz clic en Activar para todosDesactivar para todos y, luego, en Guardar.

  5. (Opcional) Si deseas activar o desactivar un servicio para una unidad organizativa, sigue estos pasos:
    1. Sobre la izquierda, selecciona la unidad organizativa.
    2. Para cambiar el estado del servicio, selecciona ActivarDesactivar.
    3. Elige una de las siguientes opciones:
      • Si el estado del servicio se establece como Heredado y quieres mantener el parámetro de configuración actualizado, incluso si cambia el parámetro superior, haz clic en Anular.
      • Si el estado del servicio se estableció como Anulado, haz clic en Heredar para revertir al mismo parámetro de configuración que el del elemento superior o en Guardar para mantener el parámetro nuevo incluso si cambia el de nivel superior.
        Obtén más información sobre la estructura organizacional.
  6. Si quieres activar un servicio para un conjunto de usuarios de una misma unidad organizativa o de varias, selecciona un grupo de acceso. Para obtener más detalles, consulta Personaliza el acceso a los servicios con grupos de acceso.
  7. Asegúrate de que las direcciones de correo electrónico que usan tus usuarios para acceder a la app de SAML coincidan con las direcciones de correo electrónico que usan para acceder a tu dominio de Google.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero, por lo general, se realizan más rápido. Más información

Paso 3: Verifica que el SSO funcione con tu app personalizada

Puedes probar el SSO iniciado por el proveedor de identidad (IdP) y el SSO iniciado por el proveedor de servicios (SP).

Iniciado por el IdP

  1. En la Consola del administrador de Google, ve a Menú y luego Appsy luegoApps web y para dispositivos móviles.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Selecciona tu app de SAML personalizada.
  3. En la parte superior izquierda, haz clic en Probar acceso con SAML.

    La app debería abrirse en una pestaña independiente. Si no es así, usa la información de los mensajes de error de la app de SAML resultantes para actualizar la configuración del IdP y del SP según sea necesario y, luego, vuelve a probar el acceso con SAML.

Iniciado por el SP

  1. Abre la URL de SSO de tu nueva app de SAML. Deberías ser redireccionado automáticamente a la página de acceso de Google.
  2. Ingresa tu nombre de usuario y contraseña.

    Después de que se autentiquen tus credenciales de acceso, se te redireccionará a tu nueva app de SAML.