Google Workspace ofrece dos formas de configurar el inicio de sesión único (SSO) con Google como parte de confianza de tu proveedor de identidades:
- Perfil antiguo de SSO: te permite configurar un único proveedor de identidades para tu organización.
- Perfiles de SSO: la forma más reciente y recomendada de configurar el SSO. Te permite aplicar ajustes de SSO diferentes a distintos usuarios de tu organización, admite tanto SAML como OIDC, tiene APIs más modernas y será la opción preferida de Google para las nuevas funciones.
Recomendamos a todos los clientes que migren a perfiles de SSO para aprovechar estas ventajas. Los perfiles de SSO pueden coexistir con el perfil de SSO de tu organización, por lo que puedes probar nuevos perfiles de SSO antes de hacer el cambio en toda la organización.
Visión general del proceso de migración
- En la consola de administración, crea un perfil de SSO para tu proveedor de identidades y regístralo.
- Asigna usuarios de prueba para que utilicen el nuevo perfil y confirmen que funciona.
- Asigna tu unidad organizativa superior al perfil nuevo.
- Actualiza las URLs específicas del dominio para usar el nuevo perfil.
- Borra datos: da de baja tu antiguo proveedor de servicios y comprueba que el aprovisionamiento automático de usuarios sigue funcionando.
Paso 1: Crea un perfil de SSO
- Sigue estos pasos para crear un perfil de SSO de SAML. Tu nuevo perfil debe usar el mismo proveedor de identidades que el perfil de SSO actual de tu organización.
- Registra el nuevo perfil de SSO con tu proveedor de identidades como nuevo proveedor de servicios.
Tu proveedor de identidades verá el nuevo perfil como un proveedor de servicios distinto (puede que los denomine "aplicaciones" o "partes de confianza"). La forma de registrar el nuevo proveedor de servicios variará en función de tu proveedor de identidades, pero normalmente requiere configurar el ID de entidad y la URL del servicio de consumidor de aserciones (ACS) del nuevo perfil.
Paso 2: Asigna usuarios de prueba al perfil
Te recomendamos que pruebes tu nuevo perfil de SSO con los usuarios de un solo grupo o unidad organizativa antes de aplicarlo a todos los usuarios. Utiliza un grupo o una unidad organizativa ya disponibles, o créalos si es necesario.
Si tienes dispositivos ChromeOS gestionados, te recomendamos que hagas pruebas basadas en unidades organizativas, ya que puedes asignar dispositivos ChromeOS a unidades organizativas, pero no a grupos.
- (Opcional) Crea una unidad organizativa o un grupo de configuración y asígnales usuarios de prueba.
- Sigue estos pasos para asignar usuarios al nuevo perfil de SSO.
Paso 3: Asigna tu unidad organizativa superior y actualiza las URLs de los servicios
Una vez que hayas probado correctamente el nuevo perfil de SSO con un grupo o una unidad organizativa de prueba, podrás aplicarlo a otros usuarios.
- Ve a Seguridad
SSO con IDP externos
- Haz clic en Gestionar.
- Selecciona tu unidad organizativa de nivel superior y asígnala al nuevo perfil de SSO.
- (Opcional) Si hay otras unidades organizativas o grupos asignados al perfil de SSO de tu organización, asígnales el nuevo perfil de SSO.
SSO con IDP externos Paso 4: Actualiza las URLs específicas del dominio
Si tu organización utiliza URLs específicas del dominio (por ejemplo, https://mail.google.com/a/your_domain.com), actualiza el ajuste para usar el nuevo perfil de SSO:
- Ve a Seguridad
- En Redirigir automáticamente a los usuarios al IdP externo indicado en el siguiente perfil de SSO, selecciona el nuevo perfil de SSO en la lista desplegable.
Paso 5: Borra datos
- En Seguridad
- Desmarca la opción Habilitar perfil de SSO antiguo para inhabilitar el perfil antiguo.
- Confirma que el aprovisionamiento automático de usuarios configurado junto con tu proveedor de identidades funciona correctamente con tu nuevo perfil de SSO.
- Da de baja el antiguo proveedor de servicios en tu proveedor de identidades.
