Migrar de perfiles antiguos de SSO a perfiles de SSO

Google Workspace ofrece dos formas de configurar el inicio de sesión único (SSO) con Google como parte de confianza de tu proveedor de identidades:

  • Perfil antiguo de SSO: te permite configurar un único proveedor de identidades para tu organización.
  • Perfiles de SSO: la forma más reciente y recomendada de configurar el SSO. Te permite aplicar ajustes de SSO diferentes a distintos usuarios de tu organización, admite tanto SAML como OIDC, tiene APIs más modernas y será la opción preferida de Google para las nuevas funciones.

Recomendamos a todos los clientes que migren a perfiles de SSO para aprovechar estas ventajas. Los perfiles de SSO pueden coexistir con el perfil de SSO de tu organización, por lo que puedes probar nuevos perfiles de SSO antes de hacer el cambio en toda la organización.

Visión general del proceso de migración

  1. En la consola de administración, crea un perfil de SSO para tu proveedor de identidades y regístralo.
  2. Asigna usuarios de prueba para que utilicen el nuevo perfil y confirmen que funciona.
  3. Asigna tu unidad organizativa superior al perfil nuevo.
  4. Actualiza las URLs específicas del dominio para usar el nuevo perfil.
  5. Borra datos: da de baja tu antiguo proveedor de servicios y comprueba que el aprovisionamiento automático de usuarios sigue funcionando.

Paso 1: Crea un perfil de SSO

  1. Sigue estos pasos para crear un perfil de SSO de SAML. Tu nuevo perfil debe usar el mismo proveedor de identidades que el perfil de SSO actual de tu organización.
  2. Registra el nuevo perfil de SSO con tu proveedor de identidades como nuevo proveedor de servicios.

    Tu proveedor de identidades verá el nuevo perfil como un proveedor de servicios distinto (puede que los denomine "aplicaciones" o "partes de confianza"). La forma de registrar el nuevo proveedor de servicios variará en función de tu proveedor de identidades, pero normalmente requiere configurar el ID de entidad y la URL del servicio de consumidor de aserciones (ACS) del nuevo perfil.

Notas para usuarios de APIs
  • Si usas el perfil de SSO de tu organización, solo puedes utilizar la API Admin Settings de Google Workspace para gestionar la configuración del SSO.
  • La API Cloud Identity puede gestionar perfiles de SSO como inboundSamlSsoProfiles y asignarlos a grupos o unidades organizativas mediante inboundSsoAssignments.
Diferencias entre los perfiles de SSO y el perfil antiguo de SSO

Aserciones de superadministrador

Los perfiles de SSO no aceptan aserciones sobre superadministradores. Cuando se utiliza el perfil de SSO de tu organización, se aceptan las aserciones, pero los superadministradores no se redirigen al proveedor de identidades. Por ejemplo, se aceptarían las siguientes aserciones:

  • El usuario sigue un enlace del menú de aplicaciones de tu proveedor de identidades (SAML iniciado por el proveedor de identidades)
  • El usuario accede a una URL de servicio específica del dominio (por ejemplo, https://drive.google.com/a/your_domain.com)
  • El usuario inicia sesión en un Chromebook configurado para ir directamente a tu proveedor de identidades. Más información 

Configuración de la verificación posterior al SSO

Los ajustes que controlan la verificación posterior al SSO (como la verificación de la identidad o la verificación en dos pasos) son diferentes en los perfiles de SSO en comparación con el perfil de SSO de tu organización. Para evitar confusiones, te recomendamos que configures ambos ajustes con el mismo valor. Más información

Paso 2: Asigna usuarios de prueba al perfil

Te recomendamos que pruebes tu nuevo perfil de SSO con los usuarios de un solo grupo o unidad organizativa antes de aplicarlo a todos los usuarios. Utiliza un grupo o una unidad organizativa ya disponibles, o créalos si es necesario.

Si tienes dispositivos ChromeOS gestionados, te recomendamos que hagas pruebas basadas en unidades organizativas, ya que puedes asignar dispositivos ChromeOS a unidades organizativas, pero no a grupos.

  1. (Opcional) Crea una unidad organizativa o un grupo de configuración y asígnales usuarios de prueba.
  2. Sigue estos pasos para asignar usuarios al nuevo perfil de SSO.
Notas para organizaciones con dispositivos ChromeOS gestionados

Si has configurado el SSO para dispositivos ChromeOS de forma que los usuarios accedan directamente a tu proveedor de identidades, debes probar el comportamiento del SSO por separado con estos usuarios.

Ten en cuenta que, para que el inicio de sesión se realice correctamente, el perfil de SSO asignado a la unidad organizativa del dispositivo debe coincidir con el perfil de SSO asignado a la unidad organizativa del usuario del dispositivo. 

Por ejemplo, si tienes una unidad organizativa de ventas para los empleados que utilizan Chromebooks gestionados e inician sesión directamente en tu proveedor de identidades, crea una unidad organizativa como "sales_sso_testing", asígnale el perfil nuevo y transfiere algunos usuarios y los Chromebooks que utilizan a esa unidad organizativa.

Paso 3: Asigna tu unidad organizativa superior y actualiza las URLs de los servicios

Una vez que hayas probado correctamente el nuevo perfil de SSO con un grupo o una unidad organizativa de prueba, podrás aplicarlo a otros usuarios.

  1. Ve a Seguridad y luego SSO con IDP externos y luego Gestionar asignaciones de perfil de SSO.
  2. Haz clic en Gestionar.
  3. Selecciona tu unidad organizativa de nivel superior y asígnala al nuevo perfil de SSO.
  4. (Opcional) Si hay otras unidades organizativas o grupos asignados al perfil de SSO de tu organización, asígnales el nuevo perfil de SSO.

Paso 4: Actualiza las URLs específicas del dominio

Si tu organización utiliza URLs específicas del dominio (por ejemplo, https://mail.google.com/a/your_domain.com), actualiza el ajuste para usar el nuevo perfil de SSO:

  1. Ve a Seguridad y luego SSO con IDP externos y luego URLs de servicio específicas del dominio.
  2. En Redirigir automáticamente a los usuarios al IdP externo indicado en el siguiente perfil de SSO, selecciona el nuevo perfil de SSO en la lista desplegable.

Paso 5: Borra datos

  1. En Seguridad y luego SSO con IDP externos y luego Perfiles de SSO, haz clic en Perfil de SSO antiguo para abrir la configuración del perfil.
  2. Desmarca la opción Habilitar perfil de SSO antiguo para inhabilitar el perfil antiguo.
  3. Confirma que el aprovisionamiento automático de usuarios configurado junto con tu proveedor de identidades funciona correctamente con tu nuevo perfil de SSO.
  4. Da de baja el antiguo proveedor de servicios en tu proveedor de identidades.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
4621322118744446232
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false
false