Configurar SSO en tu organización

Puedes configurar el inicio de sesión único (SSO) con Google como proveedor de servicios de varias formas, según las necesidades de tu organización. Los perfiles de SSO, que contienen la configuración de tu proveedor de identidades, te dan la flexibilidad necesaria para aplicar diferentes ajustes de SSO a distintos usuarios de tu organización.

Google Workspace admite los protocolos de SSO basados en SAML y OIDC:

Si todos tus usuarios inician sesión a través de un proveedor de identidades usando SAML:

1. Sigue los pasos que se describen más abajo en el artículo Configurar un perfil de SSO para tu organización.
2. Si quieres excluir a algunos usuarios del SSO (y pedirles que inicien sesión directamente en Google), sigue los pasos que se describen en el artículo Decidir qué usuarios deben utilizar el SSO, que te dan la opción de asignar el valor "Ninguno" al perfil de SSO. 

Si utilizas varios proveedores de identidades para tus usuarios u OIDC

Los pasos que debes seguir dependen del protocolo que use tu proveedor de identidades (SAML u OIDC):

• SAML
  1. Sigue los pasos que se indican más abajo, en la sección Crear perfiles de SSO para cada proveedor de identidades. 
  2. Decidir qué usuarios deben utilizar el SSO
• OIDC
  1. Comprueba que has configurado los siguientes requisitos previos de OIDC en el cliente de Azure AD de tu organización:
     • El cliente de Azure Active Directory debe estar verificado por un dominio.
     • Los usuarios finales deben tener licencias de Microsoft 365.
  2. Sigue los pasos que se indican en el artículo Decidir qué usuarios deben utilizar el SSO para asignar el perfil de OIDC preconfigurado a las unidades organizativas o los grupos seleccionados.

     Nota: Actualmente, la interfaz de línea de comandos de Google Cloud no permite volver a autenticarse con OIDC.

• Si hay usuarios en una UO (por ejemplo, en una unidad organizativa secundaria) que no necesitan SSO, también puedes desactivar las asignaciones para usuarios concretos.

Si tus usuarios utilizan URLs de servicio específicas del dominio para acceder a los servicios de Google (por ejemplo, https://mail.google.com/a/example.com), también puedes gestionar el funcionamiento de las URLs con el SSO.

Antes de empezar

Para crear un perfil de SSO basado en SAML, necesitarás algunos ajustes básicos de la documentación o del equipo de asistencia de tu proveedor de identidades:

• URL de la página de inicio de sesión: también se conoce como la URL de inicio de sesión único o el punto final de SAML 2.0 (HTTP). Aquí es donde los usuarios inician sesión en tu proveedor de identidades.
• URL de la página de cierre de sesión: al lugar de destino del usuario después de salir de la aplicación o del servicio de Google.
• Certificado: certificado P.509 PEM de tu proveedor de identidades. Para obtener más información sobre los certificados X.509, consulta la clave de SAML y el certificado de verificación.
• URL de cambio de contraseña: página en la que los usuarios de SSO pueden cambiar su contraseña en lugar de cambiar su contraseña de Google.

Configurar el perfil de SSO en tu organización

Utiliza esta opción si todos tus usuarios utilizan el SSO mediante un único proveedor de identidades. 

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la consola de administración, ve a Menú Seguridad Autenticación SSO con un proveedor de identidades de terceros.
3. En Perfil de SSO de terceros para tu organización, haz clic en Añadir perfil de SSO.
4. Marca la casilla Configurar el SSO con un proveedor de identidades externo.

Introduce la siguiente información sobre tu proveedor de identidades:

• Introduce la URL de página de inicio de sesión y la URL de página de cierre de sesión de tu proveedor de identidades.

  Nota: Se deben introducir todas las URLs con el protocolo HTTPS; por ejemplo, https://sso.example.com.

• Haz clic en Subir certificado y busca y sube el certificado X.509 que te haya proporcionado tu proveedor de identidades. Para obtener información sobre cómo generar un certificado, consulta la clave de SAML y el certificado de verificación.
• Elige si quieres usar una entidad específica de dominio en la solicitud SAML de Google.

  Si tienes varios dominios que utilizan el inicio de sesión único con tu proveedor de identidades, utiliza una entidad emisora específica del dominio para identificar el dominio que emite la solicitud SAML.

  • Verificado: Google envía una entidad emisora específica a tu dominio: google.com/a/example.com (donde example.com es tu nombre de dominio principal de Google Workspace).
  • No verificado Google envía la entidad emisora estándar en la solicitud SAML: google.com
• (Opcional) Para aplicar el iSSO a un conjunto de usuarios en intervalos de direcciones IP concretos, introduce una máscara de red. Para obtener más información, consulta el artículo Resultados de la asignación de red.

  Nota: También puedes configurar el SSO parcial asignando el perfil de SSO a unidades organizativas o grupos específicos.

• Introduce una URL de cambio de contraseña para tu proveedor de identidades. Los usuarios accederán a esta URL (en lugar de a la página de cambio de contraseña de Google) para cambiar sus contraseñas.

  Nota: Si introduces una URL aquí, se redirigirá a los usuarios a esta página aunque no habilites el SSO en tu organización.

Desactivar el SSO en todas las cuentas de usuario

Si tienes que desactivar la autenticación externa de todas tus cuentas de usuario sin cambiar la asignación del perfil de SSO en unidades organizativas o grupos, puedes inhabilitar el perfil de SSO externo:

1. Desmarca Configurar el SSO con un proveedor de identidades de terceros.
2. Haz clic en Guardar.

Crear un perfil de SSO basado en SAML

Sigue estos pasos para crear un perfil de SSO de terceros. Puedes crear hasta 1000 perfiles en tu organización.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la consola de administración, ve a Menú Seguridad Autenticación SSO con un proveedor de identidades de terceros.
3. En Perfiles de SSO de terceros, haz clic en Añadir perfil de SAML.
4. Introduce un nombre para el perfil.
5. Introduce la URL de página de inicio de sesión y el resto de la información que has obtenido de tu proveedor de identidades.
6. Introduce una URL de cambio de contraseña para tu proveedor de identidades. Los usuarios accederán a esta URL (en lugar de a la página de cambio de contraseña de Google) para cambiar sus contraseñas.
7. Haz clic en Subir certificado y, a continuación, busca y sube el archivo del certificado. Para obtener información sobre cómo generar un certificado, consulta la clave de SAML y el certificado de verificación.
8. Haz clic en Guardar.
9. En la sección Datos del proveedor de servicios, copia y guarda los valores de los campos ID de entidad y URL ACS. Necesitarás estos valores para configurar el SSO con Google en el panel de control del administrador de tu proveedor de identidades.
10. (Opcional) Si tu proveedor de identidades admite el cifrado de aserciones, puedes generar y compartir un certificado con él para habilitar el cifrado. Cada perfil de SSO de SAML puede tener hasta dos certificados de proveedor de servicios.
    1. Haz clic en la sección Detalles del proveedor de servicios para acceder al modo de edición.
    2. En Certificado del proveedor de servicios, haz clic en Generar certificado. El certificado aparecerá una vez que lo hayas guardado.
    3. Haz clic en Guardar. Se mostrarán el nombre del certificado, la fecha de vencimiento y el contenido.
    4. Usa los botones situados encima de los certificados para copiar su contenido o descargarlo en un archivo y, a continuación, compartirlo con tu proveedor de identidades. 
    5. (Opcional) Si necesitas rotar un certificado, vuelve a la página Detalles del proveedor de servicios, haz clic en Generar otro certificado y comparte el nuevo certificado con tu proveedor de identidades. Cuando te hayas asegurado de que tu proveedor de identidades utiliza el nuevo, podrás eliminar el certificado original.

Decidir qué usuarios deben utilizar el SSO

Para activar el SSO en una unidad organizativa o un grupo, asigna un perfil de SSO y su proveedor de identidades asociado. También puedes desactivar el SSO asignando el valor "Ninguno" al perfil de SSO. También puedes aplicar una política de SSO mixto a una unidad organizativa o a un grupo; por ejemplo, puedes activar el SSO de toda la unidad organizativa y, a continuación, desactivarlo en una unidad organizativa secundaria. 

1. Haz clic en Gestionar asignaciones de perfil de SSO.
2. Si es la primera vez que asignas el perfil de SSO, haz clic en Empezar. De lo contrario, haz clic en Gestionar.
3. A la izquierda, selecciona la unidad organizativa o el grupo al que quieres asignar el perfil de SSO.
   • Si la asignación del perfil de SSO de una unidad organizativa o un grupo es diferente a la asignación de perfil de todo tu dominio, aparecerá una advertencia de anulación cuando selecciones esa unidad organizativa o grupo.
   • No puedes asignar el perfil de SSO en cada cuenta de usuario. En la vista Usuarios, puedes comprobar la configuración de una cuenta de usuario concreta.
4. Elige una asignación de perfil de SSO para la unidad organizativa o el grupo seleccionados:
   • Para excluir la unidad organizativa o el grupo del SSO, elige Ninguno. Los usuarios de la unidad organizativa o del grupo iniciarán sesión directamente con Google.
   • Para asignar otro proveedor de identidades a la unidad organizativa o al grupo, elige Otro perfil de SSO y, a continuación, selecciona el perfil de SSO en la lista desplegable.
5. (Solo para perfiles de SSO de SAML) Después de seleccionar un perfil de SAML, elige una opción de inicio de sesión para los usuarios que vayan directamente a un servicio de Google sin iniciar sesión primero en el proveedor de identidades externo del perfil de SSO. Puedes solicitar a los usuarios su nombre de usuario de Google y, a continuación, redirigirlos al proveedor de identidades, o pedirles que introduzcan su nombre de usuario y contraseña de Google. 

   Nota: Si eliges que los usuarios introduzcan su nombre de usuario y contraseña de Google, se ignora el ajuste URL de cambio de contraseña de este perfil de SSO basado en SAML (disponible en Perfil de SSO > Detalles del proveedor de identidades). De este modo, se asegura que los usuarios puedan cambiar sus contraseñas de Google según sea necesario.

6. (Solo para perfiles de SSO de OIDC de Microsoft) Introduce la contraseña de tu cuenta de Microsoft y haz clic en Iniciar sesión para verificar la configuración de SSO de Microsoft.

   Si eres administrador de una organización de Azure AD, puedes aceptar el consentimiento en nombre de la organización. Esto significa que no se pedirá a los usuarios finales que den su consentimiento para utilizar OAuth.

7. Haz clic en Guardar.
8. Asigna perfiles de SSO a otras unidades organizativas o grupos según sea necesario.

Una vez que hayas cerrado la tarjeta Gestionar asignaciones de perfil de SSO, verás las asignaciones actualizadas de unidades organizativas y grupos en la sección Gestionar asignaciones de perfil de SSO. 

Quitar una asignación de la lista de asignación de perfiles de SSO

1. Haz clic en el nombre de un grupo o una unidad organizativa para abrir su configuración de asignación de perfiles.
2. Sustituye el ajuste de asignación por el de la unidad organizativa superior:
   • Para las asignaciones de unidades organizativas, haz clic en Heredar.
   • Para las asignaciones de grupos, haz clic en Sin establecer.  
   • En el caso de las asignaciones de unidades organizativas raíz, asigna a la asignación el valor Ninguna (o Perfil de SSO de terceros de la organización) si quieres utilizar el perfil de SSO de terceros en tu organización.

Gestionar URLs de servicio específicas de dominios

El ajuste URLs de servicio específicas del dominio te permite controlar lo que sucede cuando los usuarios inician sesión mediante URLs de servicio como https://mail.google.com/a/example.com. Tienes dos opciones:

• Redirige a los usuarios al proveedor de identidades externo. Elige esta opción para enrutar siempre estos usuarios al proveedor de identidades externo que selecciones en la lista desplegable de perfiles de SSO. Puede ser el perfil de SSO de tu organización o de otro perfil de terceros (si has añadido uno).

  Importante: Si tienes unidades organizativas o grupos que no utilizan el SSO, no elijas este ajuste. Los usuarios que no sean de SSO se dirigirán automáticamente al proveedor de identidades y no podrán iniciar sesión.

• Pide a los usuarios que introduzcan primero su nombre de usuario en la página de inicio de sesión de Google. Con esta opción, los usuarios que introducen URLs específicas de dominio se envían primero a la página de inicio de sesión de Google. Si son usuarios de SSO, se les redirige a la página de inicio de sesión del proveedor de identidades.

Consulta también

Iniciar sesión mediante SSO

Solucionar problemas relacionados con el SSO