El inicio de sesión único para administradores avanzados solo se admite si usas el perfil de SSO heredado y solo en algunos casos (consulta a continuación). No es compatible con los perfiles de SSO más recientes.
Permitir el SSO por parte de los administradores avanzados tiene beneficios y riesgos. Hacer que todos los usuarios (incluidos los administradores) se autentiquen a través del SSO minimiza la superficie en la que se administran las credenciales de los usuarios. Sin embargo, si se vulnera tu IdP, un tercero puede acceder a la Consola del administrador de Google y a todos los aspectos de la cuenta de tu organización.
Para reducir este riesgo, si habilitas el SSO para los administradores avanzados, te recomendamos que también habilite la verificación en 2 pasos para los administradores avanzados en tu IdP y con Google.
Cómo inhabilitar el SSO de administrador avanzado
Para inhabilitar el SSO del administrador avanzado, usa los perfiles de SSO más recientes. Para migrar del perfil de SSO heredado a los perfiles de SSO, sigue estas instrucciones.
Cuándo los administradores avanzados pueden acceder con SSO
Si usas el perfil de SSO heredado, los administradores avanzados pueden acceder con SSO en los siguientes casos:
- El parámetro de configuración URLs del servicio específicas del dominio está configurado para redireccionar automáticamente a los usuarios al IdP externo.
- Cuando el IdP inicia el acceso del administrador avanzado (SSO iniciado por el IdP)
- Si un administrador avanzado accede inicialmente a Google con una cuenta que no es de administrador avanzado y, luego, proporciona sus credenciales de administrador avanzado cuando se lo redirecciona al IdP En este caso, Google aceptará la aserción de identidad del administrador avanzado del IdP.
Cuando los administradores avanzados no pueden acceder con SSO
Incluso cuando se usa el perfil de SSO heredado, los administradores avanzados no pueden acceder con SSO en los siguientes casos:
de Google
Cuando los administradores avanzados intentan acceder a un dominio habilitado para SSO a través de admin.google.com, deben ingresar su dirección de correo electrónico completa de la cuenta de administrador de Google y la contraseña de Google asociada (no su nombre de usuario y contraseña de SSO), y hacer clic en Acceder para acceder directamente a la Consola del administrador. Google no los redirecciona a la página de acceso del SSO.
Cliente de sincronización de Google Drive
Cuando los administradores avanzados acceden al cliente de sincronización de Google Drive, omiten el SSO. Google no los redirecciona a la página de acceso del SSO. Esto se aplica a los intentos de acceso desde navegadores, apps para dispositivos móviles (como las apps de Drive y Gmail para iOS), el flujo de activación de la cuenta de Android, etcétera.