Configurar el SSO

Puedes configurar el inicio de sesión único (SSO) con Google como proveedor de servicios de varias formas, según las necesidades de tu organización. Google Workspace admite el SSO basado en SAML y OIDC. 

Si tus usuarios utilizan URLs de servicio específicas del dominio para acceder a los servicios de Google (por ejemplo, https://mail.google.com/a/example.com), también puedes gestionar el funcionamiento de las URLs con el SSO.

Si tu organización necesita la redirección condicional del SSO basada en la dirección IP o el SSO para superadministradores, también puedes configurar el perfil de SSO antiguo.

Configurar el SSO con SAML

Antes de empezar

Para crear un perfil de SSO basado en SAML, necesitarás algunos ajustes básicos de la documentación o del equipo de asistencia de tu proveedor de identidades:

  • URL de la página de inicio de sesión: también se conoce como la URL de inicio de sesión único o el punto final de SAML 2.0 (HTTP). Aquí es donde los usuarios inician sesión en tu proveedor de identidades.
  • URL de la página de cierre de sesión: al lugar de destino del usuario después de salir de la aplicación o del servicio de Google.
  • URL de cambio de contraseña: página en la que los usuarios de SSO pueden cambiar su contraseña en lugar de cambiar su contraseña de Google.
  • Certificado: certificado P.509 PEM de tu proveedor de identidades. El certificado contiene la clave pública que verifica el inicio de sesión a través del proveedor de identidades.

Crear un perfil de SSO basado en SAML

Sigue estos pasos para crear un perfil de SSO de terceros. Puedes crear hasta 1000 perfiles en tu organización.

  1. Inicia sesión con una cuenta de administrador en consola de administración de Google.

    Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.

  2. Ve a Menú y luego Seguridad > Autenticación > Inicio de sesión único con un proveedor de identidades de terceros.

    Se necesita el privilegio de administrador Configuración de seguridad.

  3. En Perfiles de SSO de terceros, haz clic en Añadir perfil de SAML.
  4. Introduce un nombre para el perfil.
  5. (Opcional) Si tienes un archivo de metadatos XML de tu proveedor de identidades, haz clic en Subir archivo XML para proporcionar información del proveedor de identidades y, a continuación, continúa con el paso 8
  6. Introduce la URL de página de inicio de sesión y el resto de la información que has obtenido de tu proveedor de identidades.
  7. Introduce una URL de cambio de contraseña para tu proveedor de identidades. Los usuarios accederán a esta URL (en lugar de a la página de cambio de contraseña de Google) para cambiar sus contraseñas.
  8. Haz clic en Subir certificado para subir el archivo del certificado.

    Puedes subir hasta dos certificados, lo que te da la opción de alternarlos cuando sea necesario.

  9. Haz clic en Guardar.
  10. En la sección Datos del proveedor de servicios, copia y guarda los valores de los campos ID de entidad y URL ACS. Necesitarás estos valores para configurar el SSO con Google en el panel de control del administrador de tu proveedor de identidades.
  11. (Opcional) Si tu proveedor de identidades admite el cifrado de aserciones, puedes generar y compartir un certificado con él para habilitar el cifrado. Cada perfil de SSO de SAML puede tener hasta dos certificados de proveedor de servicios.
    1. Haz clic en la sección Detalles del proveedor de servicios para acceder al modo de edición.
    2. En Certificado del proveedor de servicios, haz clic en Generar certificado. El certificado aparecerá una vez que lo hayas guardado.
    3. Haz clic en Guardar. Se mostrarán el nombre del certificado, la fecha de vencimiento y el contenido.
    4. Usa los botones situados encima de los certificados para copiar su contenido o descargarlo en un archivo y, a continuación, compartirlo con tu proveedor de identidades. 
    5. (Opcional) Si necesitas rotar un certificado, vuelve a la página Detalles del proveedor de servicios, haz clic en Generar otro certificado y comparte el nuevo certificado con tu proveedor de identidades. Cuando te hayas asegurado de que tu proveedor de identidades utiliza el nuevo, podrás eliminar el certificado original.

Configurar el proveedor de identidades

Para configurar tu proveedor de identidades para que use este perfil de SSO, introduce la información de la sección Detalles del proveedor de servicios del perfil en los campos correspondientes de la configuración de SSO del proveedor de identidades. Tanto la URL ACS como el ID de entidad son únicos para este perfil.

Migrar de perfiles antiguos de SAML a perfiles de SSO

Si tu organización usa el perfil de SSO antiguo, te recomendamos que migres a los perfiles de SSO, que ofrecen varias ventajas, como la compatibilidad con OIDC, APIs más modernas y una mayor flexibilidad a la hora de aplicar la configuración de SSO a tus grupos de usuarios. Más información

Configurar el SSO con OIDC

Siga estos pasos para usar el SSO basado en OIDC:

  1. Elige una opción de OIDC: crea un perfil de OIDC personalizado, en el que proporciones información para tu partner de OIDC, o usa el perfil de OIDC de Microsoft Entra preconfigurado.
  2. Sigue los pasos que se indican en el artículo Decidir qué usuarios deben utilizar el SSO para asignar el perfil de OIDC preconfigurado a las unidades organizativas o los grupos seleccionados.

Si hay usuarios en una unidad organizativa (por ejemplo, en una unidad organizativa secundaria) que no necesitan el SSO, también puedes desactivar las asignaciones para usuarios concretos.

Nota: Actualmente, la interfaz de línea de comandos de Google Cloud no permite volver a autenticarse con OIDC.

Antes de empezar

Para configurar un perfil de OIDC personalizado, necesitarás algunos ajustes básicos de la documentación o del equipo de asistencia de tu proveedor de identidades:

  • URL del emisor: la URL completa del servidor de autorización de IdP.
  • Un cliente de OAuth identificado por su ID de cliente y autenticado mediante un secreto de cliente.
  • URL de cambio de contraseña: página en la que los usuarios de SSO pueden cambiar su contraseña en lugar de cambiar su contraseña de Google. 

Además, Google necesita que tu proveedor de identidades haga lo siguiente:

  • La propiedad email de tu proveedor de identidades debe coincidir con la dirección de correo electrónico principal del usuario en Google. 
  • Debe usar el flujo de código de autorización.

Crear un perfil de OIDC personalizado

  1. Inicia sesión con una cuenta de administrador en consola de administración de Google.

    Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.

  2. Ve a Menú y luego Seguridad > Autenticación > Inicio de sesión único con un proveedor de identidades de terceros.

    Se necesita el privilegio de administrador Configuración de seguridad.

  3. En Perfiles de SSO de terceros, haz clic en Añadir perfil de OIDC.
  4. Da un nombre al perfil de OIDC.
  5. Introduce los detalles de OIDC: ID de cliente, URL del emisor y secreto de cliente.
  6. Haz clic en Guardar.
  7. En la página de configuración de SSO de OIDC del nuevo perfil, copia el URI de redirección. Tendrás que actualizar tu cliente OAuth en tu proveedor de identidades para responder a las solicitudes mediante esta URI.

Para editar la configuración, coloque el cursor sobre Detalles de OIDC y haga clic en Editar .

Usar el perfil de OIDC de Microsoft Entra

Comprueba que has configurado los siguientes requisitos previos de OIDC en el cliente de Microsoft Entra ID de tu organización:

  • El cliente de Microsoft Entra ID debe estar verificado por el dominio.
  • Los usuarios finales deben tener licencias de Microsoft 365.
  • El nombre de usuario (correo principal) del administrador de Google Workspace que asigna el perfil de SSO debe coincidir con la dirección de correo principal de tu cuenta de administrador de cliente de Azure AD.

Decidir qué usuarios deben utilizar el SSO

Para activar el SSO en una unidad organizativa o un grupo, asigna un perfil de SSO y su proveedor de identidades asociado. También puedes desactivar el SSO asignando el valor "Ninguno" al perfil de SSO. También puedes aplicar una política de SSO mixto a una unidad organizativa o a un grupo; por ejemplo, puedes activar el SSO de toda la unidad organizativa y, a continuación, desactivarlo en una unidad organizativa secundaria. 

Si aún no lo has hecho, crea un perfil antes de continuar. También puedes asignar el perfil de OIDC preconfigurado. 

  1. Haz clic en Gestionar asignaciones de perfil de SSO.
  2. Si es la primera vez que asignas el perfil de SSO, haz clic en Empezar. De lo contrario, haz clic en Gestionar asignaciones.
  3. A la izquierda, selecciona la unidad organizativa o el grupo al que quieres asignar el perfil de SSO.
    • Si la asignación del perfil de SSO de una unidad organizativa o un grupo es diferente a la asignación de perfil de todo tu dominio, aparecerá una advertencia de anulación cuando selecciones esa unidad organizativa o grupo.
    • No puedes asignar el perfil de SSO en cada cuenta de usuario. En la vista Usuarios, puedes comprobar la configuración de una cuenta de usuario concreta.
  4. Elige una asignación de perfil de SSO para la unidad organizativa o el grupo seleccionados:
    • Para excluir la unidad organizativa o el grupo del SSO, elige Ninguno. Los usuarios de la unidad organizativa o del grupo iniciarán sesión directamente con Google.
    • Para asignar otro proveedor de identidades a la unidad organizativa o al grupo, elige Otro perfil de SSO y, a continuación, selecciona el perfil de SSO en la lista desplegable.
  5. (Solo para perfiles de SSO de SAML) Después de seleccionar un perfil de SAML, elige una opción de inicio de sesión para los usuarios que vayan directamente a un servicio de Google sin iniciar sesión primero en el proveedor de identidades externo del perfil de SSO. Puedes solicitar a los usuarios su nombre de usuario de Google y, a continuación, redirigirlos al proveedor de identidades, o pedirles que introduzcan su nombre de usuario y contraseña de Google. 

    Nota: Si eliges que los usuarios introduzcan su nombre de usuario y contraseña de Google, se ignora el ajuste URL de cambio de contraseña de este perfil de SSO basado en SAML (disponible en Perfil de SSO > Detalles del proveedor de identidades). De este modo, se asegura que los usuarios puedan cambiar sus contraseñas de Google según sea necesario.

  6. Haz clic en Guardar.
  7. (Opcional) Asigna perfiles de SSO a otras unidades organizativas o grupos según sea necesario.

Una vez que hayas cerrado la tarjeta Gestionar asignaciones de perfil de SSO, verás las asignaciones actualizadas de unidades organizativas y grupos en la sección Gestionar asignaciones de perfil de SSO

Quitar una asignación de perfil de SSO

  1. Haz clic en el nombre de un grupo o una unidad organizativa para abrir su configuración de asignación de perfiles.
  2. Sustituye el ajuste de asignación por el de la unidad organizativa superior:
    • Para las asignaciones de unidades organizativas, haz clic en Heredar.
    • Para las asignaciones de grupos, haz clic en Sin establecer.  

Nota: Tu unidad organizativa superior siempre está presente en la lista de asignación de perfiles, aunque el valor de "Perfil" sea "Ninguno".

Consulta también


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

 

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

5522658352263603934
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false
false
false
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal