Conectarse al proveedor de identidades para el cifrado por parte del cliente

Ediciones compatibles con esta función: Enterprise Plus y Education Standard y Education Plus. Comparar ediciones

Una vez que hayas elegido tu servicio de claves externo para el cifrado del lado del cliente (CLC) de Google Workspace, debes conectar Google Workspace a un proveedor de identidades (IdP) de terceros o la identidad de Google. El servicio de claves de cifrado que hayas elegido para cifrar el contenido usará tu proveedor de identidades para autenticar a los usuarios antes de que puedan cifrar contenido o acceder a contenido cifrado.

Nota: Una vez que hayas configurado tu proveedor de identidades, puedes configurar uno para invitados que permita el acceso externo al contenido cifrado del lado del cliente de tu organización. Consulta más información en el artículo Configurar un proveedor de identidades para invitados.

Antes de empezar

Asegúrate de que has elegido los servicios de claves de cifrado que quieres usar con el CLC. Consulta más información en el artículo Elegir un servicio de claves externo.

Paso 1: Planifica la conexión con el proveedor de identidades

Abrir sección  |  Ocultar todo

Consulta qué aplicaciones web, ordenadores y móviles son compatibles

Al conectarte con tu proveedor de identidades, puedes configurar el CLC para todas las aplicaciones web de Google Workspace compatibles:

  • Google Drive 
  • Documentos de Google
  • Hojas de cálculo de Google
  • Presentaciones de Google
  • Gmail 
  • Google Calendar
  • Google Meet (audio, vídeo y mensajes de chat)

La conexión de tu proveedor de identidades también te permite configurar el CLC en las siguientes aplicaciones móviles y para ordenadores:

Elegir un proveedor de identidades para el CPC

Para usar un servicio de claves de cifrado con el CLC, necesitas un proveedor de identidades que admita el estándar OpenID Connect (OIDC). Si aún no utilizas un proveedor de identidades OIDC con Google Workspace, tienes dos opciones para configurar tu proveedor de identidades de manera que puedas usarlo con tu servicio de claves:

Opción 1: Usar un proveedor de identidades de terceros (recomendado)

Utiliza un proveedor de identidades de terceros OIDC si tu modelo de seguridad requiere un mayor aislamiento entre tus datos cifrados y Google.

Si ya utilizas un proveedor de identidades de terceros para el inicio de sesión único (SSO) basado en SAML: te recomendamos que utilices el mismo proveedor de identidades para el CLC que el que usas para acceder a los servicios de Google Workspace, si ese proveedor admite OIDC. Consulta más información sobre el uso del SSO basado en SAML con Google Workspace.

Opción 2: Usar la identidad de Google

Si tu modelo de seguridad no requiere aislamiento adicional entre los datos cifrados y Google, puedes utilizar la identidad de Google predeterminada como proveedor de identidades. 

Solo proveedor de identidades de terceros: configurar los navegadores de los usuarios 

Si usas un proveedor de identidades de terceros para el CLC, te recomendamos que permitas las cookies de terceros de tu proveedor de identidades en los navegadores de tus usuarios. De lo contrario, es posible que los usuarios tengan que iniciar sesión en tu proveedor de identidades más a menudo cuando utilicen el CLC.

  • Si tu organización usa Chrome Enterprise: puedes utilizar la política CookiesAllowedForUrls.
  • Otros navegadores: consulta el contenido de asistencia del navegador para obtener instrucciones sobre cómo permitir las cookies de terceros.
Elegir cómo conectarse al proveedor de identidades para el CPC

Puedes configurar tu proveedor de identidades, ya sea un proveedor de identidades de terceros o una identidad de Google, mediante un archivo .well-known que alojes en el sitio web de tu organización o bien en la consola de administración (que es el respaldo de tu proveedor de identidades). Se deben tener en cuenta varias cuestiones en cada método, tal como se describe en la tabla que aparece a continuación.

Nota: Si estás configurando un IdP para invitados, debes usar la consola de administración.

Cuestiones importantes Configuración de .well-known Configuración de la consola de administración (respaldo de IdP)
Aislamiento de Google La configuración del proveedor de identidades se almacena en tu propio servidor. La configuración del proveedor de identidades se almacena en los servidores de Google.
Responsabilidades del administrador Tu configuración la puede gestionar un webmaster en lugar de un superadministrador de Google Workspace. Solo un superadministrador de Google Workspace puede gestionar la configuración de tu proveedor de identidades.
Disponibilidad del CPC La disponibilidad del CPC (tiempo de funcionamiento) depende de la disponibilidad del servidor en el que se aloja tu archivo .well-known. La disponibilidad del CPC se corresponde con la disponibilidad general de los servicios de Google Workspace.
Facilidad de configuración Requiere cambiar la configuración de DNS del servidor, fuera de la consola de administración. Los ajustes se configuran en la consola de administración.
Compartir contenido fuera de la organización El servicio de claves externo de tu colaborador puede acceder fácilmente a la configuración de tu proveedor de identidades. Este acceso se puede automatizar y permite que el servicio de tu colaborador tenga acceso inmediato a cualquier cambio en la configuración de tu proveedor de identidades.

El servicio de claves externo de tu colaborador no puede acceder a los ajustes de tu proveedor de identidades en la consola de administración. Debes proporcionar los ajustes de tu proveedor de identidades directamente a tu colaborador antes de compartir archivos cifrados por primera vez, así como cada vez que cambies los ajustes.

Paso 2: Crea IDs de cliente para el CLC

Abrir sección  |  Ocultar todo

Crear un ID de cliente para aplicaciones web

Debes crear un ID de cliente y añadir URIs de redirección para las aplicaciones web de Google Workspace compatibles. Puedes consultar una lista de las aplicaciones compatibles en la sección Aplicaciones web, para ordenadores y para móviles compatibles de esta página.

La forma de crear un ID de cliente para aplicaciones web depende de si utilizas un proveedor de identidades de terceros o la identidad de Google.

Nota: Si estás configurando un IdP para invitados, debes crear un ID de cliente adicional para el acceso a Google Meet, que se utiliza para verificar que se ha invitado a la reunión al usuario. Consulta más información en el artículo Configurar un proveedor de identidades para invitados.

Si utilizas un proveedor de identidades de terceros para el CLC

Crea un ID de cliente con la consola de administración de tu proveedor de identidades. También deberás añadir los siguientes URIs de redirección a la consola de administración de tu proveedor de identidades:

Servicios web:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive para ordenadores:

http://localhost

Aplicaciones móviles Android y iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

Si utilizas la identidad de Google para el CLC

Debes crear un ID de cliente en la consola de Google Cloud. Además, deberás configurar orígenes de JavaScript (también llamado "uso compartido de recursos entre dominios" o CORS) y añadir URIs de redirección.

  1. Ve a console.cloud.google.com.
  2. Crear un proyecto de Google Cloud. Consulta las instrucciones.

    Configura el proyecto como quieras: solo es para guardar las credenciales.

  3. En la consola, ve a Menú y luegoAPIs y serviciosy luegoCredenciales.
  4. Crea un ID de cliente de OAuth para una aplicación web nueva que usarás con el CLC. Consulta las instrucciones completas.
  5. Actualiza el campo Orígenes de JavaScript con estos valores:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Actualiza el campo URIs de redirección autorizados con estos valores:

    Servicios web:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive para ordenadores:

    http://localhost

    Aplicaciones móviles Android y iOS:

    No es necesario realizar ninguna configuración adicional para las aplicaciones móviles Android y iOS.

Se creará un ID de cliente de OAuth. Guarda este ID para poder usarlo en el archivo .well-known/cse-configuration o en la consola de administración.

Crear IDs de cliente para aplicaciones móviles y para ordenadores

Si quieres que los usuarios utilicen el CLC con aplicaciones móviles y para ordenadores, necesitas IDs de cliente para esas aplicaciones. Por cada aplicación móvil, necesitarás un ID de cliente para cada plataforma (Android y iOS). Puedes consultar una lista de las aplicaciones compatibles en la sección Aplicaciones web, para ordenadores y para móviles compatibles de esta página.

La forma de obtener los IDs de cliente de las aplicaciones para ordenadores y móviles depende de si utilizas un proveedor de identidades de terceros o una identidad de Google.

Nota: Estos IDs de cliente deben admitir el tipo de autorización authorization_code para PKCE (RFC 7636).

Si vas a utilizar un proveedor de identidades de terceros para el CLC

Usa la consola de administración del proveedor de identidades para generar un ID de cliente independiente para cada aplicación.

Si vas a utilizar la identidad de Google para el CLC

Usa los siguientes IDs de cliente:

  • Drive para ordenadores: utiliza el ID de cliente 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive para Android: utiliza el ID de cliente 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive para iOS: utiliza el ID de cliente 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Calendar para Android: utiliza el ID de cliente 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Calendar para iOS: utiliza el ID de cliente 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail para Android: utiliza el ID de cliente 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail para iOS: utiliza el ID de cliente 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet para Android: utiliza el ID de cliente 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet para iOS: usa el ID de cliente 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Paso 3: Conéctate al proveedor de identidades para el CLC

Para conectar Google Workspace a tu proveedor de identidades (IdP), puedes utilizar un archivo .well-known o la consola de administración. Una vez que hayas establecido la conexión, deberás incluir tu proveedor de identidades en la lista de permitidos de la consola de administración.

Nota: Si estás configurando un IdP para invitados, debes usar la consola de administración.

Opción 1: Conectarte a tu proveedor de identidades con un archivo .well-known

Para configurar el proveedor de identidades de terceros o de Google con este método, debes colocar un archivo .well-known en el sitio web público de tu organización. Este archivo determina qué proveedor de identidades utilizas y permite que tus colaboradores externos conozcan la configuración del proveedor de identidades.

Abrir sección  |  Ocultar todo

Paso 1: Coloca el archivo .well-known en tu servidor

La configuración del proveedor de identidades debe colocarse en este URI de tu dominio:

https://cse.subdominio.dominio.tld/.well-known/cse-configuration

En este caso, subdominio.dominio.tld debe ser el dominio de tu dirección de correo electrónico. Por ejemplo, si el dominio de tu dirección de correo es solarmora.com, tendrás que colocar el archivo .well-known en:

https://cse.solarmora.com/.well-known/cse-configuration

Nota: El prefijo https://cse. es obligatorio porque el URI .well-known no está registrado en IETF (RFC 8615).

Paso 2: Configura el archivo .well-known

El contenido de tu archivo .well-known, en well-known/cse-configuration, debe estar codificado en formato JSON (RFC 8259) y contener estos campos:

Campo Descripción

name

El nombre del proveedor de identidades. Puedes utilizar el nombre que quieras. Este nombre aparece en los mensajes de error del proveedor de identidades que se envíen a los usuarios en los servicios de Google, como Drive y los editores de Documentos.

client_id

El ID de cliente de OpenID Connect (OIDC) que utiliza la aplicación web cliente con CLC para adquirir un JSON Web Token (JWT).

Cuando crees un ID de cliente, también deberás añadir URIs de redirección en la consola de Google Cloud.

Para obtener información detallada sobre cómo crear un ID de cliente, consulta la sección Crear un ID de cliente para aplicaciones web de esta página.

discovery_uri

La URL de Discovery de OIDC, tal como se define en esta especificación de OpenID.

Si utilizas un proveedor de identidades de terceros

Tu proveedor de identidades te proporciona esta URL, que suele terminar en /.well-known/openid-configuration

Si utilizas la identidad de Google

Usa https://accounts.google.com/.well-known/openid-configuration

grant_type

El flujo de OAuth utilizado para OIDC con aplicaciones web cliente con CLC.

Si utilizas un proveedor de identidades de terceros

Puedes usar el tipo de autorización implicit o authorization_code para las aplicaciones web con CLC. 

Si utilizas la identidad de Google

Solo puedes utilizar el tipo de autorización implicit para aplicaciones web.

applications

Las aplicaciones cliente adicionales con las que quieres usar el CLC. Debes añadir un ID de cliente para cada aplicación a tu archivo .well-known. 

Nota: Estos IDs de cliente deben admitir el tipo de autorización authorization_code para PKCE (RFC 7636).

Para obtener más información sobre cómo crear IDs de cliente, consulta la sección anterior Crear un ID de cliente para aplicaciones móviles y de escritorio.

Si utilizas un IdP de terceros, el archivo .well-known debería tener un aspecto similar a este:

{

  "name" : "nombre de tu proveedor de identidades",

  "client_id" : "ID de tu IdP",

  "discovery_uri" : "https://tu_IdP.com/.well-known/openid-configuration"

  "applications":{

    "drivefs":{

      "client_id": "ID de tu IdP"

    },

    "drive-android": {

      "client_id": "ID de tu IdP"
    },

    "drive-ios": {

      "client_id": "ID de tu IdP"

    },

    "calendar-android": {

      "client_id": "ID de tu IdP"

    },

    "calendar-ios": {

      "client_id": "ID de tu IdP"

    },

    "gmail-android": {

      "client_id": "ID de tu IdP"

    },

    "gmail-ios": {

      "client_id": "ID de tu IdP"

    },

    "meet-android": {

      "client_id": "ID de tu IdP"

    },

    "meet-ios": {

      "client_id": "ID de tu IdP"

    }

  }

}

Si utilizas la identidad de Google, el archivo .well-known debería tener este aspecto:

{

  "name" : "Google Identity",

  "client_id" : "ID de Google Cloud (creado anteriormente)",

  "discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",

  "applications":{

    "drivefs":{

      "client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"

    },

    "drive-android":{
      "client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
    },
    "drive-ios":{
      "client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"

    },
    "calendar-android":{
      "client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"

    },
    "calendar-ios":{
      "client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"

    },
    "gmail-android":{
      "client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"

    },
    "gmail-ios":{
      "client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"

    },
    "meet-android":{
      "client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"

    },
    "meet-ios":{
      "client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"

    }

  }

}

Paso 3: Configura el uso compartido de recursos entre dominios

Si utilizas la identidad de Google como proveedor de identidades: cuando creas el ID de cliente, debes configurar el CORS en la consola de Google Cloud. Para obtener más información, consulta la sección Crear un ID de cliente para aplicaciones web de esta página.

Si utilizas un proveedor de identidades de terceros: tus archivos .well-known/openid-configuration y .well-known/cse-configuration deben permitir las URLs de origen en las llamadas de uso compartido de recursos entre dominios (CORS). En la consola de administración de tu proveedor de identidades, configura los siguientes ajustes:

.well-known/openid-configuration (URI de descubrimiento)

  • Métodos: GET
  • Orígenes permitidos:
    • https://admin.google.com
    • https://client-side-encryption.google.com

.well-known/cse-configuration

  • Métodos: GET
  • Orígenes permitidos:
    • https://admin.google.com
    • https://client-side-encryption.google.com

Opción 2: Conectarte a tu proveedor de identidades mediante la consola de administración

En vez de utilizar un archivo .well-known, puedes conectar Google Workspace a tu IdP mediante la consola de administración.
Nota: Si estás configurando un IdP para invitados, debes usar la consola de administración.

Abrir sección  |  Ocultar todo

Paso 1: Recoge información sobre tu proveedor de identidades

 Para conectarte a tu proveedor de identidades mediante la consola de administración, necesitarás la siguiente información:

Nombre de tu proveedor de identidades Puedes consultar más información en la sección Configura el archivo .well-known incluida en esta página.
ID de cliente para aplicaciones web Para obtener más información, consulta la sección Crear un ID de cliente para aplicaciones web de esta página.
URI de descubrimiento Puedes consultar más información en la sección Configura el archivo .well-known incluida en esta página.
IDs de cliente para ordenadores y aplicaciones móviles (opcional) Para obtener más información, consulta la sección anterior Crear IDs de cliente para aplicaciones móviles y de escritorio.

 

Paso 2: Configura el uso compartido de recursos entre dominios

Si utilizas la identidad de Google: debes configurar el uso compartido de recursos entre dominios (CORS) en la consola de Google Cloud al crear tu ID de cliente. Para obtener más información, consulta la sección Crear un ID de cliente para aplicaciones web de esta página.

Si utilizas un proveedor de identidades de terceros: en la consola de administración de tu proveedor de identidades, configura tu URI de descubrimiento para que permita las URLs de origen en las llamadas de uso compartido de recursos entre dominios (CORS), tal y como se indica a continuación:

  • Método: GET
  • Orígenes permitidos:
    • https://admin.google.com
    • https://client-side-encryption.google.com
Paso 3: Añade información a la consola de administración

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.

    Nota: En Configuración de proveedor de identidades, aparece un mensaje en el que se indica que Google Workspace no puede acceder al archivo .well-known. Como te estás conectando a tu proveedor de identidades mediante la consola de administración, puedes ignorar este mensaje.

  3. En Configuración de proveedor de identidades, haz clic en Configurar respaldo de proveedor de identidades.

    O bien, si estás configurando un IdP para invitados, haz clic en Configurar IdP para invitados.

  4. Introduce la siguiente información sobre tu proveedor de identidades:
    • Nombre
    • ID de cliente (para aplicaciones web)
    • URI de descubrimiento 
  5. Haz clic en Test connection (Probar conexión).

    Si Google Workspace puede conectarse a tu proveedor de identidades, aparecerá el mensaje "Conexión correcta".

  6. Si vas a configurar un IdP para invitados: haz clic en Continuar y, a continuación, elige las aplicaciones web a las que quieras dar acceso de invitado. A continuación, haga clic en Guardar para cerrar la tarjeta.

    Nota: Actualmente, solo está disponible Google Meet.

  7. (Opcional) Para utilizar el CLC con aplicaciones específicas:
    1. En Autenticación de aplicaciones móviles y para ordenadores de Google (opcional), selecciona las aplicaciones con las que quieras usar el CPC.
    2. En ID de cliente, proporciona el ID de cliente de la aplicación.
  8. Haz clic en Añadir proveedor para cerrar la tarjeta.

Paso 4 (solo proveedores de identidades de terceros): Añade tu IdP a la lista de permitidos en la consola de administración

Tienes que añadir tu proveedor de identidades de terceros a tu lista de aplicaciones de terceros para que los usuarios no tengan que iniciar sesión en él cada vez. Sigue las instrucciones que se indican en la sección "Gestionar el acceso de las aplicaciones: De confianza, Con acceso restringido o Bloqueadas" del artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.

Paso siguiente

Una vez que hayas configurado tu proveedor de identidades, podrás configurar el servicio de cifrado de claves.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
9209396995594460915
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false