Google Apps ofrece el servicio de inicio de sesión único (Single Sign-On, SSO) a clientes que usan Google Apps for Business, Google Apps for Education o Google Apps for ISPs. Hay disponible un API SSO basada en SAML que puedes integrar en el protocolo LDAP o en otro sistema de SSO. LDAP (siglas en inglés de Lightweight Directory Access Protocol o protocolo ligero de acceso a directorios) es un protocolo de red que sirve para realizar consultas y modificar los servicios de directorio que se ejecutan en TCP/IP.
SSO admite claves y certificados públicos generados a través del algoritmo RSA o DSA. Para poder utilizar el servicio, deberás generar el conjunto de claves públicas y privadas, y un certificado X.509 que contenga la clave pública. Cuando tengas la clave o el certificado público, deberás registrarlo en Google. Basta con subir la clave o el certificado a través del panel de control de Google Apps.
Cómo generar claves y certificados para el servicio SSO de Google Apps
El método para generar claves y certificados depende, a menudo, de la plataforma de desarrollo y del lenguaje de programación. Para crear pares de claves públicas y privadas, puedes emplear OpenSSL, las herramientas Certificate Creation y Pvk2pfx en .NET, Keytool en Java y Java Cryptography Architecture. Más información
Cómo funciona el certificado de verificación
El archivo del certificado está en formato X.509 y contiene una clave pública que puede utilizar tanto algoritmos DSA como RSA. Google emplea esta clave para verificar el origen (es decir, ¿la declaración SSO procede de ti?) y la integridad (es decir, ¿se modificó la declaración durante la transmisión?) de la respuesta SAML que nos enviaste.
Es importante que la clave pública incluida en el certificado X.509 coincida con la clave privada que has utilizado para firmar la respuesta SAML.
Si bien no podemos ofrecer actualmente prácticas recomendadas para administradores sin certificado, la generación de certificados X.509 puede realizarse mediante el comando "openssl". Más información
Cómo funciona el elemento "Emisor" (es decir, el ID de la entidad) en la solicitud SAML
El nombre del emisor se incluye en la solicitud SAML al IdP (Identity Provider o proveedor de identidad). Puedes elegir entre incluir una entidad emisora de dominios estándar o específica. Cuando hay varios dominios que utilizan SSO con el mismo agregador de IdP, este puede analizar un emisor específico para identificar el nombre de dominio correcto para la solicitud SAML. Si no marcas la casilla para habilitar un emisor de dominio específico, Google enviará un emisor estándar (google.es) en la solicitud SAML. Si la marcas para activar esta función, Google enviará un emisor específico para tu dominio (google.es/a/tu_dominio.es), en el que deberás sustituir "tu_dominio.es" por el nombre real del dominio.
Cómo funcionan las máscaras de red
Las máscaras de red son direcciones IP representadas mediante el estándar Classless Inter-Domain Routing (CIDR). El CIDR especifica cuántos bits de una dirección IP se deben incluir. Google utiliza máscaras de red para determinar a qué direcciones IP o intervalos de IP debe asignar la función de SSO.
Es importante que cada máscara de red tenga el formato correcto. A continuación se muestra un ejemplo de IPv6:
2001:db8::/32 (donde la barra invertida y el número después de esta representan el CIDR)
En este ejemplo, los últimos 96 bits no se toman en cuenta y esto afectaría a todas las direcciones IP en ese intervalo de red.
A continuación se muestra un ejemplo de IPv4:
En este ejemplo, los últimos 8 bits (es decir, el cero) no se toman en cuenta y esto afectaría a todas las direcciones IP incluidas en el intervalo de 64.233.187.0 a 64.233.187.255.
Todavía tengo dudas
Puedes visitar la sección Preguntas frecuentes sobre el SSO para encontrar respuestas a preguntas comunes o bien leer los artículos relacionados con este servicio. Asimismo, en el mercado existen numerosos equipos de integración de sistemas o soluciones que ofrecen servicios profesionales y productos de SSO. Busca en los servicios profesionales de nuestro Google Apps Marketplace partners de Google Enterprise y otros colaboradores que proporcionan asistencia para SSO.
Lee el artículo sobre Solución de incidencias con el inicio de sesión único (SSO) para resolver conflictos habituales al integrar Google Apps con SSO.
