Puedes configurar el inicio de sesión único (SSO) con Google como proveedor de servicios de varias formas, según las necesidades de tu organización. Google Workspace admite el SSO basado en SAML y OIDC.
- Los perfiles de SSO, que contienen la configuración de tu proveedor de identidades, te dan la flexibilidad necesaria para aplicar diferentes ajustes de SSO a distintos usuarios de tu organización. Crea perfiles basados en SAML o perfiles de OIDC personalizados, o usa el perfil de OIDC predeterminado de Microsoft Entra, que no hay que configurar.
- Después de crear perfiles de SSO, asigna perfiles a unidades organizativas o grupos para configurar el proveedor de identidades de esos usuarios. También puedes desactivar el SSO en unidades organizativas o grupos concretos.
Si tus usuarios utilizan URLs de servicio específicas del dominio para acceder a los servicios de Google (por ejemplo, https://mail.google.com/a/example.com), también puedes gestionar el funcionamiento de las URLs con el SSO.
Si tu organización necesita la redirección condicional del SSO basada en la dirección IP o el SSO para superadministradores, también puedes configurar el perfil de SSO antiguo.
Configurar el SSO con SAML
Antes de empezar
Para crear un perfil de SSO basado en SAML, necesitarás algunos ajustes básicos de la documentación o del equipo de asistencia de tu proveedor de identidades:
- URL de la página de inicio de sesión: también se conoce como la URL de inicio de sesión único o el punto final de SAML 2.0 (HTTP). Aquí es donde los usuarios inician sesión en tu proveedor de identidades.
- URL de la página de cierre de sesión: al lugar de destino del usuario después de salir de la aplicación o del servicio de Google.
- URL de cambio de contraseña: página en la que los usuarios de SSO pueden cambiar su contraseña en lugar de cambiar su contraseña de Google.
- Certificado: certificado P.509 PEM de tu proveedor de identidades. El certificado contiene la clave pública que verifica el inicio de sesión a través del proveedor de identidades.
- El certificado debe ser un certificado X.509 en formato PEM o DER con una clave pública insertada.
- Esta debe generarse con los algoritmos DSA o RSA,
- La clave pública del certificado debe coincidir con la clave privada utilizada para firmar la respuesta SAML.
Normalmente, los certificados los proporciona tu proveedor de identidades. Sin embargo, también puedes generarlos tú mismo.
Crear un perfil de SSO basado en SAML
Sigue estos pasos para crear un perfil de SSO de terceros. Puedes crear hasta 1000 perfiles en tu organización.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
Seguridad
Autenticación
- En Perfiles de SSO de terceros, haz clic en Añadir perfil de SAML.
- Introduce un nombre para el perfil.
- (Opcional) Si tienes un archivo de metadatos XML de tu proveedor de identidades, haz clic en Subir archivo XML para proporcionar información del proveedor de identidades y, a continuación, continúa con el paso 8
- Introduce la URL de página de inicio de sesión y el resto de la información que has obtenido de tu proveedor de identidades.
- Introduce una URL de cambio de contraseña para tu proveedor de identidades. Los usuarios accederán a esta URL (en lugar de a la página de cambio de contraseña de Google) para cambiar sus contraseñas.
- Haz clic en Subir certificado para subir el archivo del certificado.
Puedes subir hasta dos certificados, lo que te da la opción de alternarlos cuando sea necesario.
- Haz clic en Guardar.
- En la sección Datos del proveedor de servicios, copia y guarda los valores de los campos ID de entidad y URL ACS. Necesitarás estos valores para configurar el SSO con Google en el panel de control del administrador de tu proveedor de identidades.
- (Opcional) Si tu proveedor de identidades admite el cifrado de aserciones, puedes generar y compartir un certificado con él para habilitar el cifrado. Cada perfil de SSO de SAML puede tener hasta dos certificados de proveedor de servicios.
- Haz clic en la sección Detalles del proveedor de servicios para acceder al modo de edición.
- En Certificado del proveedor de servicios, haz clic en Generar certificado. El certificado aparecerá una vez que lo hayas guardado.
- Haz clic en Guardar. Se mostrarán el nombre del certificado, la fecha de vencimiento y el contenido.
- Usa los botones situados encima de los certificados para copiar su contenido o descargarlo en un archivo y, a continuación, compartirlo con tu proveedor de identidades.
- (Opcional) Si necesitas rotar un certificado, vuelve a la página Detalles del proveedor de servicios, haz clic en Generar otro certificado y comparte el nuevo certificado con tu proveedor de identidades. Cuando te hayas asegurado de que tu proveedor de identidades utiliza el nuevo, podrás eliminar el certificado original.
Configurar el proveedor de identidades
Para configurar tu proveedor de identidades para que use este perfil de SSO, introduce la información de la sección Detalles del proveedor de servicios del perfil en los campos correspondientes de la configuración de SSO del proveedor de identidades. Tanto la URL ACS como el ID de entidad son únicos para este perfil.
Configurar el perfil de SSO antiguoEl perfil de SSO antiguo es compatible con los usuarios que no han migrado a perfiles de SSO. Solo se puede usar con un único IdP.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
- En Perfiles de SSO de terceros, haz clic en Añadir perfil de SAML.
- En la parte inferior de la página Detalles del proveedor de identidades, haz clic en Ir a la configuración del perfil de SSO antiguo.
- En la página Perfil de SSO antiguo, marca la casilla Habilitar SSO con un proveedor de identidades de terceros.
- Introduce la siguiente información sobre tu proveedor de identidades:
- Introduce la URL de página de inicio de sesión y la URL de página de cierre de sesión de tu proveedor de identidades.
Nota: Se deben introducir todas las URLs con el protocolo HTTPS; por ejemplo, https://sso.example.com.
- Haz clic en Subir certificado y busca y sube el certificado X.509 que te haya proporcionado tu proveedor de identidades. Para obtener más información, consulta los requisitos de los certificados.
- Elige si quieres usar una entidad específica de dominio en la solicitud SAML de Google.
Si tienes varios dominios que utilizan el inicio de sesión único con tu proveedor de identidades, utiliza una entidad emisora específica del dominio para identificar el dominio que emite la solicitud SAML.
- Verificado: Google envía una entidad emisora específica a tu dominio: google.com/a/example.com (donde example.com es tu nombre de dominio principal de Google Workspace).
- No verificado Google envía la entidad emisora estándar en la solicitud SAML: google.com
- (Opcional) Para aplicar el iSSO a un conjunto de usuarios en intervalos de direcciones IP concretos, introduce una máscara de red. Para obtener más información, consulta el artículo Resultados de la asignación de red.
Nota: También puedes configurar el SSO parcial asignando el perfil de SSO a unidades organizativas o grupos específicos.
- Introduce una URL de cambio de contraseña para tu proveedor de identidades. Los usuarios accederán a esta URL (en lugar de a la página de cambio de contraseña de Google) para cambiar sus contraseñas.
Nota: Si introduces una URL aquí, se redirigirá a los usuarios a esta página aunque no habilites el SSO en tu organización.
- Introduce la URL de página de inicio de sesión y la URL de página de cierre de sesión de tu proveedor de identidades.
- Haz clic en Guardar.
Una vez guardado, el perfil de SSO antiguo aparecerá en la tabla Perfiles de SSO.
Configurar el proveedor de identidades
Para configurar tu proveedor de identidades para que use este perfil de SSO, introduce la información de la sección Detalles del proveedor de servicios del perfil en los campos correspondientes de la configuración de SSO del proveedor de identidades. Tanto la URL ACS como el ID de entidad son únicos para este perfil.
| Formato | |
| URL ACS | https://accounts.google.com/a/{domain.com}/acs Donde {domain.com} es el nombre de dominio de Workspace de tu organización |
| ID de entidad | Cualquiera de las siguientes:
|
Inhabilitar el perfil de SSO antiguo
- En la lista Perfiles de SSO de terceros, haz clic en Perfil de SSO antiguo.
- En la configuración del perfil de SSO antiguo, desmarca la opción Habilitar el SSO con un proveedor de identidades de terceros.
- Confirma que quieres continuar y haz clic en Guardar.
En la lista Perfiles de SSO, el perfil de SSO antiguo ahora aparece como Inhabilitado.
- Las unidades organizativas que tengan asignado el perfil de SSO antiguo mostrarán una alerta en la columna Perfil asignado.
- En la columna Perfil asignado, la unidad organizativa de nivel superior mostrará el valor Ninguno.
- En Gestionar asignaciones de perfil de SSO, el perfil de SSO antiguo se muestra como inactivo.
Migrar de perfiles antiguos de SAML a perfiles de SSO
Si tu organización usa el perfil de SSO antiguo, te recomendamos que migres a los perfiles de SSO, que ofrecen varias ventajas, como la compatibilidad con OIDC, APIs más modernas y una mayor flexibilidad a la hora de aplicar la configuración de SSO a tus grupos de usuarios. Más información
Configurar el SSO con OIDC
Siga estos pasos para usar el SSO basado en OIDC:
- Elige una opción de OIDC: crea un perfil de OIDC personalizado, en el que proporciones información para tu partner de OIDC, o usa el perfil de OIDC de Microsoft Entra preconfigurado.
- Sigue los pasos que se indican en el artículo Decidir qué usuarios deben utilizar el SSO para asignar el perfil de OIDC preconfigurado a las unidades organizativas o los grupos seleccionados.
Si hay usuarios en una unidad organizativa (por ejemplo, en una unidad organizativa secundaria) que no necesitan el SSO, también puedes desactivar las asignaciones para usuarios concretos.
Nota: Actualmente, la interfaz de línea de comandos de Google Cloud no permite volver a autenticarse con OIDC.
Antes de empezar
Para configurar un perfil de OIDC personalizado, necesitarás algunos ajustes básicos de la documentación o del equipo de asistencia de tu proveedor de identidades:
- URL del emisor: la URL completa del servidor de autorización de IdP.
- Un cliente de OAuth identificado por su ID de cliente y autenticado mediante un secreto de cliente.
- URL de cambio de contraseña: página en la que los usuarios de SSO pueden cambiar su contraseña en lugar de cambiar su contraseña de Google.
Además, Google necesita que tu proveedor de identidades haga lo siguiente:
- La propiedad
emailde tu proveedor de identidades debe coincidir con la dirección de correo electrónico principal del usuario en Google. - Debe usar el flujo de código de autorización.
Crear un perfil de OIDC personalizado
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
- En Perfiles de SSO de terceros, haz clic en Añadir perfil de OIDC.
- Da un nombre al perfil de OIDC.
- Introduce los detalles de OIDC: ID de cliente, URL del emisor y secreto de cliente.
- Haz clic en Guardar.
- En la página de configuración de SSO de OIDC del nuevo perfil, copia el URI de redirección. Tendrás que actualizar tu cliente OAuth en tu proveedor de identidades para responder a las solicitudes mediante esta URI.
Para editar la configuración, coloque el cursor sobre Detalles de OIDC y haga clic en Editar .
Usar el perfil de OIDC de Microsoft Entra
Comprueba que has configurado los siguientes requisitos previos de OIDC en el cliente de Microsoft Entra ID de tu organización:
- El cliente de Microsoft Entra ID debe estar verificado por el dominio.
- Los usuarios finales deben tener licencias de Microsoft 365.
- El nombre de usuario (correo principal) del administrador de Google Workspace que asigna el perfil de SSO debe coincidir con la dirección de correo principal de tu cuenta de administrador de cliente de Azure AD.
Decidir qué usuarios deben utilizar el SSO
Para activar el SSO en una unidad organizativa o un grupo, asigna un perfil de SSO y su proveedor de identidades asociado. También puedes desactivar el SSO asignando el valor "Ninguno" al perfil de SSO. También puedes aplicar una política de SSO mixto a una unidad organizativa o a un grupo; por ejemplo, puedes activar el SSO de toda la unidad organizativa y, a continuación, desactivarlo en una unidad organizativa secundaria.
Si aún no lo has hecho, crea un perfil antes de continuar. También puedes asignar el perfil de OIDC preconfigurado.
- Haz clic en Gestionar asignaciones de perfil de SSO.
- Si es la primera vez que asignas el perfil de SSO, haz clic en Empezar. De lo contrario, haz clic en Gestionar asignaciones.
- A la izquierda, selecciona la unidad organizativa o el grupo al que quieres asignar el perfil de SSO.
- Si la asignación del perfil de SSO de una unidad organizativa o un grupo es diferente a la asignación de perfil de todo tu dominio, aparecerá una advertencia de anulación cuando selecciones esa unidad organizativa o grupo.
- No puedes asignar el perfil de SSO en cada cuenta de usuario. En la vista Usuarios, puedes comprobar la configuración de una cuenta de usuario concreta.
- Elige una asignación de perfil de SSO para la unidad organizativa o el grupo seleccionados:
- Para excluir la unidad organizativa o el grupo del SSO, elige Ninguno. Los usuarios de la unidad organizativa o del grupo iniciarán sesión directamente con Google.
- Para asignar otro proveedor de identidades a la unidad organizativa o al grupo, elige Otro perfil de SSO y, a continuación, selecciona el perfil de SSO en la lista desplegable.
- (Solo para perfiles de SSO de SAML) Después de seleccionar un perfil de SAML, elige una opción de inicio de sesión para los usuarios que vayan directamente a un servicio de Google sin iniciar sesión primero en el proveedor de identidades externo del perfil de SSO. Puedes solicitar a los usuarios su nombre de usuario de Google y, a continuación, redirigirlos al proveedor de identidades, o pedirles que introduzcan su nombre de usuario y contraseña de Google.
Nota: Si eliges que los usuarios introduzcan su nombre de usuario y contraseña de Google, se ignora el ajuste URL de cambio de contraseña de este perfil de SSO basado en SAML (disponible en Perfil de SSO > Detalles del proveedor de identidades). De este modo, se asegura que los usuarios puedan cambiar sus contraseñas de Google según sea necesario.
- Haz clic en Guardar.
- (Opcional) Asigna perfiles de SSO a otras unidades organizativas o grupos según sea necesario.
Una vez que hayas cerrado la tarjeta Gestionar asignaciones de perfil de SSO, verás las asignaciones actualizadas de unidades organizativas y grupos en la sección Gestionar asignaciones de perfil de SSO.
Quitar una asignación de perfil de SSO
- Haz clic en el nombre de un grupo o una unidad organizativa para abrir su configuración de asignación de perfiles.
- Sustituye el ajuste de asignación por el de la unidad organizativa superior:
- Para las asignaciones de unidades organizativas, haz clic en Heredar.
- Para las asignaciones de grupos, haz clic en Sin establecer.
Nota: Tu unidad organizativa superior siempre está presente en la lista de asignación de perfiles, aunque el valor de "Perfil" sea "Ninguno".
Consulta también
- Configuración y mantenimiento opcionales de SSO
- Solucionar problemas relacionados con el SSO
- Aprobación multiparte de acciones sensibles
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.