Puedes configurar el SSO con Google como tu proveedor de servicios de varias maneras, según las necesidades de tu organización. Google Workspace admite el SSO basado en SAML y en OIDC.
- Los perfiles de SSO, que contienen la configuración de tu IdP, te brindan la flexibilidad de aplicar diferentes parámetros de configuración de SSO a distintos usuarios de tu organización. Crea perfiles basados en SAML, perfiles de OIDC personalizados o usa el perfil de OIDC predeterminado de Microsoft Entra, que no necesita configuración.
- Después de crear perfiles de SSO, asigna perfiles a unidades organizativas o grupos para establecer el IdP para esos usuarios. También puedes desactivar el SSO para unidades organizativas o grupos específicos.
Si tus usuarios usan URLs de servicio específicas del dominio para acceder a los servicios de Google (por ejemplo, https://mail.google.com/a/example.com), también puedes administrar cómo funcionan estas URLs con el SSO.
Si tu organización necesita redireccionamiento condicional de SSO basado en la dirección IP o SSO para administradores avanzados, también tienes la opción de configurar el perfil de SSO heredado.
Configura el SSO con SAML
Antes de comenzar
Para configurar un perfil de SSO de SAML, necesitarás algunos parámetros de configuración básicos del equipo de asistencia o la documentación de tu IdP:
- ID de entidad del IdP: Es la forma en que tu IdP se identifica cuando se comunica con Google.
- URL de la página de acceso: También se conoce como la URL de SSO o el extremo de SAML 2.0 (HTTP). Es donde los usuarios acceden a tu IdP.
- URL de la página de cierre de sesión: Es la página a la que llega el usuario después de salir de la app o el servicio de Google.
- URL de cambio de contraseña: Es la página a la que irán los usuarios de SSO para cambiar su contraseña (en lugar de cambiarla con Google).
- Certificado: Es el certificado X.509 PEM de tu IdP. El certificado contiene la clave pública que verifica el acceso desde el IdP.
Requisitos del certificado
- El certificado debe ser un certificado X.509 con el formato PEM o DER y debe contener una clave pública incorporada.
- La clave pública se debe generar con los algoritmos DSA o RSA.
- La clave pública del certificado debe coincidir con la clave privada que se usa para firmar la respuesta de SAML.
Por lo general, obtendrás estos certificados de tu IdP. Sin embargo, también puedes generarlos tú mismo.
Crea un perfil de SSO de SAML
Sigue estos pasos para crear un perfil de SSO de terceros. Puedes crear hasta 1,000 perfiles en tu organización.
-
En la Consola del administrador de Google, ve a Menú
Seguridad Autenticación SSO con IdP de terceros.Es necesario tener el privilegio de administrador de la configuración de seguridad.
- En la sección Perfiles de SSO de terceros, haz clic en Agregar perfil de SAML.
- En Perfil de SSO de SAML, ingresa un nombre de perfil.
- En Autocompletar correo electrónico, selecciona la opción que coincida con el formato de sugerencia de acceso admitido por tu IdP (opcional). Para obtener más información, consulta Usa el autocompletado de correo electrónico para simplificar los accesos con SSO.
- En la sección Detalles del IdP, completa los siguientes pasos:
- Ingresa el ID de entidad del IdP, la URL de la página de acceso y la URL de la página de cierre de sesión que obtuviste de tu IdP.
- En URL de cambio de contraseña, ingresa una URL de cambio de contraseña para tu IdP. Los usuarios irán a esta URL para restablecer sus contraseñas.
Haz clic en Subir certificado.
Puedes subir hasta dos certificados, lo que te permite rotar certificados cuando sea necesario.
Haz clic en Guardar.
En la sección Detalles del SP, copia y guarda el ID de entidad y la URL de ACS. Necesitarás estos valores para configurar el SSO con Google en el panel de control de administrador de tu IdP.
Si tu IdP admite la encriptación de aserciones, puedes generar y compartir un certificado con tu IdP para activar la encriptación (opcional). Cada perfil de SSO de SAML puede tener hasta 2 certificados de SP.
- Haz clic en la sección Detalles del SP para ingresar al modo de edición.
- En Certificado de SP, haz clic en Generar certificado.
- Haz clic en Guardar. Copia el contenido del certificado o descárgalo como un archivo.
- Comparte el certificado con tu IdP.
- Para rotar un certificado, regresa a Detalles del SP y haz clic en Generar otro certificado y, luego, comparte el certificado nuevo con tu IdP (opcional). Una vez que te asegures de que tu IdP esté usando el certificado nuevo, borra el certificado original.
Configura tu IdP
Para configurar tu IdP para que use este perfil de SSO, ingresa la información de la sección Detalles del proveedor de servicios (SP) del perfil en los campos correspondientes de la configuración de SSO de tu IdP. Tanto la URL de ACS como el ID de entidad son únicos para este perfil.
Configura el perfil de SSO heredado
El perfil de SSO heredado es compatible con los usuarios que no migraron a los perfiles de SSO. Solo admite el uso con un solo IdP.
-
En la Consola del administrador de Google, ve a Menú
Seguridad Autenticación SSO con IdP de terceros.Es necesario tener el privilegio de administrador de la configuración de seguridad.
- En Perfiles de SSO de terceros, haz clic en Agregar perfil de SAML.
- En la parte inferior de la página Detalles del IdP, haz clic en Ir a la configuración del perfil de SSO heredado.
- En la página Perfil de SSO heredado, marca la casilla Habilitar el SSO con un proveedor de identidad de terceros.
- Completa la siguiente información para tu IdP:
- Ingresa la URL de la página de acceso y la URL de la página de cierre de sesión para tu IdP.
Nota: Se deben ingresar todas las URLs y deben usar HTTPS, por ejemplo, https://sso.example.com.
- Haz clic en Subir certificado , busca y sube el certificado X.509 que proporcionó tu IdP. Para obtener más información, consulta Requisitos del certificado.
- Elige si quieres usar una entidad emisora específica del dominio en la solicitud de SAML de Google.
Si tienes varios dominios que usan SSO con tu IdP, usa una entidad emisora específica del dominio para identificar el dominio correcto que emite la solicitud de SAML.
- Marcado : Google envía una entidad emisora específica de tu dominio: google.com/a/example.com (donde example.com es el nombre de dominio principal de Google Workspace).
- Sin marcar : Google envía la entidad emisora estándar en la solicitud de SAML: google.com.
- Para aplicar el SSO a un conjunto de usuarios dentro de rangos de direcciones IP específicos, ingresa una máscara de red (opcional). Para obtener más información, consulta Resultados de asignación de redes.
Nota: También puedes configurar el SSO parcial si asignas el perfil de SSO a unidades organizativas o grupos específicos.
- Ingresa una URL de cambio de contraseña para tu IdP. Los usuarios irán a esta URL (en lugar de ir a la página de cambio de contraseña de Google) para restablecer sus contraseñas. Todos los usuarios, excepto los administradores avanzados, que intenten cambiar su contraseña en https://myaccount.google.com/, se dirigirán a la URL que especifiques. Esta configuración se aplica incluso si no habilitas el SSO. Tampoco se aplican las máscaras de red.
Nota: Si ingresas una URL aquí, los usuarios se dirigirán a esta página incluso si no habilitas el SSO para tu organización.
- Ingresa la URL de la página de acceso y la URL de la página de cierre de sesión para tu IdP.
- Haz clic en Guardar.
Después de guardar, el perfil de SSO heredado aparece en la tabla Perfiles de SSO.
Configura tu IdP
Para configurar tu IdP para que use este perfil de SSO, ingresa la información de la sección Detalles del proveedor de servicios (SP) del perfil en los campos correspondientes de la configuración de SSO de tu IdP. Tanto la URL de ACS como el ID de entidad son únicos para este perfil.
| Formato | |
| URL de ACS | https://accounts.google.com/a/{domain.com}/acs Donde {domain.com} es el nombre de dominio de Workspace de tu organización. |
| ID de entidad | Cualquiera de las siguientes opciones:
|
Inhabilita el perfil de SSO heredado
- En la lista Perfiles de SSO de terceros, haz clic en Perfil de SSO heredado.
- En la configuración del Perfil de SSO heredado, desmarca Habilitar el SSO con un proveedor de identidad de terceros.
- Confirma que deseas continuar y, luego, haz clic en Guardar.
En la lista Perfiles de SSO, el Perfil de SSO heredado ahora aparece como Inhabilitado.
- Las unidades organizativas que tienen asignado el perfil de SSO heredado mostrarán una alerta en la columna Perfil asignado.
- La unidad organizativa de nivel superior mostrará Ninguno en la columna Perfil asignado.
- En Administrar asignaciones de perfiles de SSO, el perfil de SSO heredado aparece como inactivo.
Migra de SAML heredado a perfiles de SSO
Si tu organización usa el perfil de SSO heredado, te recomendamos que migres a los perfiles de SSO, que ofrecen varias ventajas, como la compatibilidad con OIDC, APIs más modernas y mayor flexibilidad para aplicar la configuración de SSO a tus grupos de usuarios. Obtén más información.
Configura el SSO con OIDC
Sigue estos pasos para usar el SSO basado en OIDC:
- Elige una opción de OIDC: crea un perfil de OIDC personalizado, en el que proporcionas información para tu socio de OIDC, o usa el perfil de OIDC preconfigurado de Microsoft Entra.
- Sigue los pasos que se indican en Decide qué usuarios deben usar el SSO para asignar el perfil de OIDC preconfigurado a las unidades organizativas o los grupos seleccionados.
Si tienes usuarios dentro de una unidad organizativa (por ejemplo, en una unidad organizativa secundaria) que no necesitan el SSO, también puedes usar las asignaciones para desactivar el SSO para esos usuarios.
Nota: Actualmente, la Interfaz de línea de comandos de Google Cloud no admite la reautenticación con OIDC.
Antes de comenzar
Para configurar un perfil de OIDC personalizado, necesitarás algunos parámetros de configuración básicos del equipo de asistencia o la documentación de tu IdP:
- URL de la entidad emisora : Es la URL completa del servidor de autorización del IdP.
- Un cliente de OAuth, identificado por su ID de cliente y autenticado por un secreto de cliente.
- URL de cambio de contraseña : Es la página a la que irán los usuarios de SSO para cambiar su contraseña (en lugar de cambiarla con Google).
Además, Google necesita que tu IdP haga lo siguiente:
- La reclamación
emailde tu IdP debe coincidir con la dirección de correo electrónico principal del usuario en Google. - Debe usar el flujo de código de autorización.
Crea un perfil de OIDC personalizado
-
En la Consola del administrador de Google, ve a Menú
Seguridad Autenticación SSO con IdP de terceros.Es necesario tener el privilegio de administrador de la configuración de seguridad.
- En Perfiles de SSO de terceros, haz clic en Agregar perfil de OIDC.
- Asigna un nombre al perfil de OIDC.
- Ingresa los detalles de OIDC: ID de cliente, URL de la entidad emisora y secreto de cliente.
- Haz clic en Guardar.
- En la página de configuración de SSO de OIDC para el perfil nuevo, copia el URI de redireccionamiento. Deberás actualizar tu cliente de OAuth en tu IdP para que responda a las solicitudes con este URI.
Para editar la configuración, coloca el cursor sobre Detalles de OIDC y, luego, haz clic en Editar
.
Usa el perfil de OIDC de Microsoft Entra
Asegúrate de haber configurado los siguientes requisitos previos para OIDC en el usuario de Microsoft Entra ID de tu organización:
- El usuario de Microsoft Entra ID debe tener el dominio verificado.
- Los usuarios finales deben tener licencias de Microsoft 365.
- El nombre de usuario (correo electrónico principal) del administrador de Google Workspace que asigna el perfil de SSO debe coincidir con la dirección de correo electrónico principal de tu cuenta de administrador del usuario de Azure AD.
Decide qué usuarios deben usar el SSO
Activa el SSO para una unidad organizativa o un grupo asignando un perfil de SSO y su IdP asociado. También puedes desactivar el SSO si asignas "Ninguno" para el perfil de SSO. También puedes aplicar una política de SSO mixta dentro de una unidad organizativa o un grupo, por ejemplo, activar el SSO para la unidad organizativa en su totalidad y, luego, desactivarlo para una unidad organizativa secundaria.
Si no creaste un perfil de SAML o OIDC, hazlo antes de continuar. También puedes asignar el perfil de OIDC preconfigurado.
- Haz clic en Administrar asignaciones de perfiles de SSO.
- Si es la primera vez que asignas el perfil de SSO, haz clic en Comenzar. De lo contrario, haz clic en Administrar asignaciones.
- A la izquierda, selecciona la unidad organizativa o el grupo al que le asignarás el perfil de SSO.
- Si la asignación del perfil de SSO para una unidad organizativa o un grupo difiere de la asignación de perfil en todo el dominio, aparecerá una advertencia de anulación cuando selecciones esa unidad organizativa o ese grupo.
- No puedes asignar el perfil de SSO por usuario. La vista Usuarios te permite verificar la configuración de un usuario específico.
- Elige una asignación de perfil de SSO para la unidad organizativa o el grupo seleccionado:
- Para excluir la unidad organizativa o el grupo del SSO, elige Ninguno. Los usuarios de la unidad organizativa o el grupo accederán directamente con Google.
- Para asignar otro IdP a la unidad organizativa o al grupo, elige Otro perfil de SSO y, luego, selecciona el perfil de SSO de la lista desplegable.
(Solo perfiles de SSO de SAML) Después de seleccionar un perfil de SAML, elige una opción de acceso para los usuarios que van directamente a un servicio de Google sin acceder primero al IdP de terceros del perfil de SSO. Puedes solicitar a los usuarios su nombre de usuario de Google y, luego, redireccionarlos al IdP, o bien solicitarles que ingresen su nombre de usuario y contraseña de Google.
Nota: Si eliges solicitar a los usuarios que ingresen su nombre de usuario y contraseña de Google, se ignorará el parámetro de configuración URL de cambio de contraseña para este perfil de SSO de SAML (disponible en Perfil de SSO > Detalles del IdP). Esto garantiza que los usuarios puedan cambiar sus contraseñas de Google según sea necesario.
Haz clic en Guardar.
Asigna perfiles de SSO a otras unidades organizativas o grupos según sea necesario (opcional).
Después de cerrar la tarjeta Administrar asignaciones de perfiles de SSO, verás las asignaciones actualizadas para las unidades organizativas y los grupos en la sección Administrar asignaciones de perfiles de SSO.
Quita una asignación de perfil de SSO
- Haz clic en el nombre de un grupo o una unidad organizativa para abrir la configuración de asignación de perfiles.
- Reemplaza el parámetro de configuración de asignación existente por el parámetro de configuración de la unidad organizativa superior:
- Para las asignaciones de unidades organizativas, haz clic en Heredar.
- Para las asignaciones de grupos, haz clic en Anular.
Nota: Tu unidad organizativa superior siempre está presente en la lista de asignación de perfiles, incluso si el perfil está configurado como Ninguno.
Consulta también
- Configuración y mantenimiento opcionales del SSO
- Soluciona problemas del SSO
- Aprobación de varias partes para acciones sensibles
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.