Cómo configurar el SSO

Puedes configurar el SSO con Google como proveedor de servicios de varias maneras, según las necesidades de tu organización. Google Workspace admite el SSO basado en SAML y en OIDC.

Si tus usuarios utilizan URLs de servicio específicas del dominio para acceder a los servicios de Google (por ejemplo, https://mail.google.com/a/example.com), también puedes administrar cómo funcionan estas URLs con el SSO.

Si tu organización necesita un redireccionamiento condicional del SSO según la dirección IP o un SSO para administradores avanzados, también tienes la opción de configurar el perfil de SSO heredado.

Configura el SSO con SAML

Antes de comenzar

Para configurar un perfil de SSO de SAML, necesitarás cierta configuración básica del equipo de asistencia o la documentación de tu IdP:

  • ID de entidad del IdP: Así se identifica tu IdP cuando se comunica con Google.
  • URL de la página de acceso: También se conoce como URL de SSO o extremo de SAML 2.0 (HTTP). Aquí es donde los usuarios acceden a tu IdP.
  • URL de la página de cierre de sesión: Es la página a la que llega el usuario después de salir de la app o el servicio de Google.
  • URL de cambio de contraseña: Es la página a la que irán los usuarios de SSO para cambiar su contraseña (en lugar de cambiarla con Google).
  • Certificado: Es el certificado PEM X.509 de tu IdP. El certificado contiene la clave pública que verifica el acceso desde el IdP.

Requisitos del certificado

  • El certificado debe ser un certificado X.509 con el formato PEM o DER y debe contener una clave pública incorporada.
  • La clave pública se debe generar con los algoritmos DSA o RSA.
  • La clave pública del certificado debe coincidir con la clave privada que se usó para firmar la respuesta de SAML.

Por lo general, obtendrás estos certificados de tu IdP. Sin embargo, también puedes generarlos tú mismo.

Crea un perfil de SSO de SAML

Sigue estos pasos para crear un perfil de SSO externo. Puedes crear hasta 1,000 perfiles en tu organización.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con IdP de terceros.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  2. En la sección Perfiles de SSO de terceros, haz clic en Agregar perfil de SAML.
  3. En Perfil de SSO de SAML, ingresa un nombre de perfil.
  4. En Autocompletar correo electrónico (Autofill email), selecciona la opción que coincida con el formato de sugerencia de acceso admitido por tu IdP (opcional). Para obtener más información, consulta Cómo usar el Autocompletar correo electrónico para simplificar los accesos con SSO.
  5. En la sección Detalles del IdP, completa los siguientes pasos:
    1. Ingresa el ID de entidad del IdP, la URL de la página de acceso y la URL de la página de cierre de sesión que obtuviste de tu IdP.
    2. En Cambiar URL de contraseña, ingresa una URL para cambiar la contraseña de tu IdP. Los usuarios irán a esta URL para restablecer sus contraseñas.

  6. Haz clic en Subir certificado.

    Puedes subir hasta dos certificados, lo que te brinda la opción de rotar los certificados cuando sea necesario.

  7. Haz clic en Guardar.

  8. En la sección Detalles del SP, copia y guarda el ID de entidad y la URL de ACS. Necesitarás estos valores para configurar el SSO con Google en el panel de control de administrador de tu IDP.

  9. (Opcional) Si tu IdP admite la encriptación de aserciones, puedes generar y compartir un certificado con tu IdP para activar la encriptación. Cada perfil de SSO de SAML puede tener hasta 2 certificados de SP.

    1. Haz clic en la sección Detalles del SP para ingresar al modo de edición.
    2. En Certificado de SP, haz clic en Generar certificado.
    3. Haz clic en Guardar. Copia el contenido del certificado o descárgalo como un archivo.
    4. Comparte el certificado con tu IdP.
    5. (Opcional) Para rotar un certificado, vuelve a Detalles del SP, haz clic en Generar otro certificado y, luego, comparte el nuevo certificado con tu IdP. Una vez que te asegures de que tu IdP usa el certificado nuevo, borra el certificado original.

Configura tu IdP

Para configurar tu IdP para que use este perfil de SSO, ingresa la información de la sección Detalles del proveedor de servicios (SP) del perfil en los campos correspondientes de la configuración de SSO de tu IdP. Tanto la URL de ACS como el ID de entidad son únicos para este perfil.

Configura el perfil de SSO heredado

El perfil de SSO heredado es compatible con los usuarios que no migraron a los perfiles de SSO. Solo admite el uso con un solo IdP.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con IdP de terceros.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  2. En Perfiles de SSO de terceros, haz clic en Agregar perfil de SAML.
  3. En la parte inferior de la página Detalles del IdP, haz clic en Ir a la configuración del perfil de SSO heredado.
  4. En la página Legacy SSO profile, marca la casilla Enable SSO with third-party identity provider.
  5. Completa la siguiente información para tu IdP:
    • Ingresa la URL de la página de acceso y la URL de la página de cierre de sesión para tu IdP.

      Nota: Todas las URLs deben ingresarse y usar HTTPS, por ejemplo, https://sso.example.com.

    • Haz clic en Subir certificado y, luego, busca y sube el certificado X.509 que proporcionó tu IdP. Para obtener más información, consulta los requisitos de los certificados.
    • Elige si deseas usar una entidad emisora específica del dominio en la solicitud de SAML de Google.

      Si tienes varios dominios que usan SSO con tu IdP, usa un emisor específico del dominio para identificar el dominio correcto que emite la solicitud de SAML.

      • Marcado: Google envía una entidad emisora específica para tu dominio: google.com/a/example.com (donde example.com es el nombre de tu dominio principal de Google Workspace).
      • Sin marcar: Google envía el emisor estándar en la solicitud de SAML: google.com
    • (Opcional) Para aplicar el SSO a un conjunto de usuarios dentro de rangos de direcciones IP específicos, ingresa una máscara de red. Para obtener más información, consulta Resultados de asignación de redes.

      Nota: También puedes configurar el SSO parcial asignando el perfil de SSO a unidades organizativas o grupos específicos.

    • Ingresa una URL para cambiar la contraseña de tu IdP. Los usuarios irán a esta URL (en lugar de ir a la página de cambio de contraseña de Google) para restablecer sus contraseñas. Todos los usuarios, excepto los administradores avanzados, que intenten cambiar su contraseña en https://myaccount.google.com/ se dirigirán a la URL que especifiques. Esta configuración se aplica incluso si no habilitas el SSO. Tampoco se aplican las máscaras de red.

      Nota: Si ingresas una URL aquí, se dirigirá a los usuarios a esta página incluso si no habilitas el SSO para tu organización.

  6. Haz clic en Guardar.

Después de guardar, el perfil de SSO heredado aparecerá en la tabla Perfiles de SSO.

Configura tu IdP

Para configurar tu IdP para que use este perfil de SSO, ingresa la información de la sección Detalles del proveedor de servicios (SP) del perfil en los campos correspondientes de la configuración de SSO de tu IdP. Tanto la URL de ACS como el ID de entidad son únicos para este perfil.

Formato
URL de ACS https://accounts.google.com/a/{domain.com}/acs
Donde {domain.com} es el nombre de dominio de Workspace de tu organización
ID de la entidad Una de las siguientes opciones:
  • google.com
  • google.com/a/customerprimarydomain (si eliges usar una entidad emisora específica del dominio cuando configures el perfil heredado).

Inhabilita el perfil de SSO heredado

  1. En la lista Perfiles de SSO de terceros, haz clic en Perfil de SSO heredado.
  2. En la configuración de Legacy SSO profile, desmarca Enable SSO with third-party identity provider.
  3. Confirma que deseas continuar y, luego, haz clic en Guardar.

En la lista Perfiles de SSO, el Perfil de SSO heredado ahora aparece como Inhabilitado.

  • Las unidades organizativas que tengan asignado el perfil de SSO heredado mostrarán una alerta en la columna Perfil asignado.
  • La unidad organizativa de nivel superior mostrará Ninguno en la columna Perfil asignado.
  • En Administrar asignaciones de perfiles de SSO, el perfil de SSO heredado se muestra como inactivo.

Migra de SAML heredado a perfiles de SSO

Si tu organización usa el perfil de SSO heredado, te recomendamos que migres a los perfiles de SSO, que ofrecen varias ventajas, como compatibilidad con OIDC, APIs más modernas y mayor flexibilidad para aplicar la configuración del SSO a tus grupos de usuarios. Obtén más información.

Configura el SSO con OIDC

Sigue estos pasos para usar el SSO basado en OIDC:

  1. Elige una opción de OIDC: crea un perfil de OIDC personalizado, en el que proporcionas información para tu socio de OIDC, o usa el perfil de OIDC de Microsoft Entra preconfigurado.
  2. Sigue los pasos que se indican en Decide qué usuarios deben usar el SSO para asignar el perfil de OIDC preconfigurado a las unidades organizativas o los grupos seleccionados.

Si tienes usuarios dentro de una unidad organizativa (por ejemplo, en una subunidad organizativa) que no necesitan SSO, también puedes usar las asignaciones para desactivar el SSO para esos usuarios.

Nota: Actualmente, la interfaz de línea de comandos de Google Cloud no admite la reautenticación con OIDC.

Antes de comenzar

Para configurar un perfil de OIDC personalizado, necesitarás algunos parámetros de configuración básicos del equipo de asistencia o la documentación de tu IdP:

  • URL del emisor: Es la URL completa del servidor de autorización del IdP.
  • Es un cliente de OAuth, identificado por su ID de cliente y autenticado por un secreto de cliente.
  • URL de cambio de contraseña: Es la página a la que irán los usuarios del SSO para cambiar su contraseña (en lugar de cambiarla con Google).

Además, Google necesita que tu IdP haga lo siguiente:

  • El reclamo email de tu IdP debe coincidir con la dirección de correo electrónico principal del usuario en Google.
  • Debe usar el flujo de código de autorización.

Crea un perfil de OIDC personalizado

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con IdP de terceros.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  2. En Perfiles de SSO de terceros, haz clic en Agregar perfil de OIDC.
  3. Asigna un nombre al perfil de OIDC.
  4. Ingresa los detalles de OIDC: ID de cliente, URL de la entidad emisora y secreto de cliente.
  5. Haz clic en Guardar.
  6. En la página de configuración del SSO de OIDC para el perfil nuevo, copia el URI de redireccionamiento. Deberás actualizar tu cliente de OAuth en tu IdP para responder a las solicitudes con este URI.

Para editar la configuración, coloca el cursor sobre Detalles de OIDC y, luego, haz clic en Editar .

Usa el perfil de OIDC de Microsoft Entra

Asegúrate de haber configurado los siguientes requisitos previos para OIDC en el arrendatario de Microsoft Entra ID de tu organización:

  • El inquilino de Microsoft Entra ID debe estar verificado por el dominio.
  • Los usuarios finales deben tener licencias de Microsoft 365.
  • El nombre de usuario (correo electrónico principal) del administrador de Google Workspace que asigna el perfil de SSO debe coincidir con la dirección de correo electrónico principal de tu cuenta de administrador de inquilino de Azure AD.

Decide qué usuarios deben usar el SSO

Activa el SSO para un grupo o una unidad organizativa asignando un perfil de SSO y su IdP asociado. También puedes desactivar el SSO asignando "Ninguno" al perfil de SSO. También puedes aplicar una política de SSO mixta dentro de una unidad organizativa o un grupo, por ejemplo, activar el SSO para la unidad organizativa en su totalidad y, luego, desactivarlo para una subunidad organizativa.

Si no creaste un perfil de SAML o OIDC, hazlo antes de continuar. También puedes asignar el perfil de OIDC preconfigurado.

  1. Haz clic en Administrar asignaciones de perfiles de SSO.
  2. Si es la primera vez que asignas el perfil de SSO, haz clic en Comenzar. De lo contrario, haz clic en Administrar tareas.
  3. A la izquierda, selecciona la unidad organizativa o el grupo al que le asignarás el perfil de SSO.
    • Si la asignación del perfil de SSO para un grupo o una unidad organizativa difiere de la asignación del perfil para todo el dominio, aparecerá una advertencia de anulación cuando selecciones ese grupo o unidad organizativa.
    • No puedes asignar el perfil de SSO por usuario. En la vista Usuarios, puedes verificar la configuración de un usuario específico.
  4. Elige una asignación de perfil de SSO para el grupo o la unidad organizativa seleccionados:
    • Para excluir la unidad organizativa o el grupo del SSO, elige Ninguno. Los usuarios de la unidad organizativa o el grupo accederán directamente con Google.
    • Para asignar otro IdP a la unidad organizativa o al grupo, elige Otro perfil de SSO y, luego, selecciona el perfil de SSO en la lista desplegable.

  5. (Solo para perfiles de SSO de SAML) Después de seleccionar un perfil de SAML, elige una opción de acceso para los usuarios que vayan directamente a un servicio de Google sin acceder primero al IdP externo del perfil de SSO. Puedes solicitarles a los usuarios su nombre de usuario de Google y, luego, redireccionarlos al IdP, o bien exigirles que ingresen su nombre de usuario y contraseña de Google.

    Nota: Si eliges solicitar a los usuarios que ingresen su nombre de usuario y contraseña de Google, se ignorará el parámetro de configuración URL de cambio de contraseña de este perfil de SSO de SAML (disponible en Perfil de SSO > Detalles del IdP). Esto garantiza que los usuarios puedan cambiar sus contraseñas de Google según sea necesario.

  6. Haz clic en Guardar.

  7. (Opcional) Asigna perfiles de SSO a otras unidades organizativas o grupos según sea necesario.

Después de cerrar la tarjeta Administrar asignaciones de perfiles de SSO, verás las asignaciones actualizadas para las unidades organizativas y los grupos en la sección Administrar asignaciones de perfiles de SSO.

Cómo quitar la asignación de un perfil de SSO

  1. Haz clic en el nombre de un grupo o una unidad organizativa para abrir la configuración de asignación de perfiles.
  2. Reemplaza el parámetro de configuración de asignación existente por el de la unidad organizativa principal:
    • En el caso de las asignaciones de unidades organizativas, haz clic en Heredar.
    • En el caso de las tareas grupales, haz clic en Anular.

Nota: Tu unidad organizativa superior siempre está presente en la lista de asignación de perfiles, incluso si el perfil está configurado como Ninguno.

Consulta también


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.