Configurar el inicio de sesión único (SSO) para las cuentas de Google Apps

En los dominios con SSO habilitado sin máscaras de red, los superadministradores deben iniciar sesión con su nombre de usuario y su contraseña de Google, mientras que a los usuarios que no son superadministradores se les redirige a la página de inicio de sesión único.

El inicio de sesión único está disponible para Google Apps for Work, Education y Government. Mediante este servicio, los usuarios pueden acceder a todas sus aplicaciones de Google Apps (incluida la Consola de administración) con solo iniciar sesión una vez. Si un usuario intenta iniciar sesión en la Consola de administración o en otro servicio de Google cuando se ha configurado el inicio de sesión único, se le redirige a la página de inicio de sesión único.

Ofrecemos una API de inicio de sesión basada en Lenguaje de marcas para aserción de seguridad (Security Assertion Markup Language, SAML) que puedes integrar en el Protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol, LDAP) o en otro sistema de inicio de sesión único. LDAP es un protocolo de redes para consultar y modificar servicios de directorio que se ejecutan en TCP/IP.

Para poder utilizar SSO, deberás generar un conjunto de claves públicas y privadas, y un certificado X.509 que contenga la clave pública. Los certificados y las claves públicas deben generarse con el algoritmo RSA o DSA y registrarse con Google. Para registrarlos, debes subir la clave y el certificado a través de la Consola de administración de Google.e.

Configurar SSO y subir la clave y el certificado de verificación
  1. Inicia sesión en la Google Admin console
  2. Haz clic en Seguridad > Configuración avanzada. ¿Dónde puedo encontrarlo? 
  3. Marca la casilla Configurar SSO con un proveedor de identidad de terceros.
  4. Introduce las URL adecuadas para configurar el proveedor de identidad de terceros (IdP).
  5. Sube el certificado de verificación.

    El archivo de certificado debe contener la clave pública para que Google pueda verificar las solicitudes de inicio de sesión.

  6. De forma opcional, puedes marcar la casilla Utilizar una determinada entidad emisora de dominios para habilitar una entidad emisora específica de dominios. Si habilitas esta función, Google envía una entidad emisora específica a tu dominio, google.com/a/tu_dominio.com, donde debes sustituir tu_dominio.com por el nombre real de tu dominio.

    Si no marcas la casilla para habilitar una entidad emisora específica de dominios cuando estableces el inicio de sesión único, Google envía la entidad emisora estándar, google.com, en la solicitud SAML.

  7. Haz clic en Guardar cambios.

Todas las URL deben usar HTTPS; por ejemplo, https://sso.dominio.com.

Para obtener más información, consulta Servicio de inicio de sesión único de SAML para Google Apps.

¿Cómo genero claves y certificados para el inicio de sesión único de Google Apps?

El método para generar claves y certificados depende a menudo de la plataforma de desarrollo y del lenguaje de programación. Para crear pares de claves públicas y privadas, puedes usar OpenSSL, las herramientas Certificate Creation y Pvk2pfx en .NET, Keytool en Java y Java Cryptography Architecture. Para obtener información detallada, consulta Generar claves y certificados para el inicio de sesión único de Google Apps.

¿Cómo funciona el certificado de verificación?

El archivo de certificado debe estar en formato X.509 y contener una clave pública. Esta debe generarse con los algoritmos DSA o RSA. Esta clave se utiliza para verificar la respuesta de SAML que envías a Google; es decir, para responder a la pregunta: ¿La aserción SSO realmente procede de ti? También se asegura de que la aserción SSO no se haya modificado durante la transmisión.

Es importante que la clave pública incluida en el certificado X.509 coincida con la clave privada que has utilizado para firmar la respuesta SAML.

Si bien no podemos ofrecer actualmente prácticas recomendadas para administradores sin certificado, se pueden generar certificados X509 mediante el comando openssl. Para obtener información detallada, consulta Generar claves y certificados para el inicio de sesión único de Google Apps.

¿Cómo funciona la entidad emisora (es decir, el elemento ID de la entidad de la solicitud SAML)?

El nombre de la entidad emisora se incluye en la solicitud SAML al IdP (Identity Provider o proveedor de identidad). Puedes elegir entre incluir una entidad emisora estándar o específica de dominios. Cuando hay varios dominios que utilizan SSO con el mismo agregador de IdP, este puede analizar una entidad emisora específica para identificar el nombre de dominio correcto para la solicitud SAML. Si no marcas la casilla para habilitar una entidad emisora específica de dominios, Google enviará una entidad emisora estándar, google.es, en la solicitud SAML. Si marcas la casilla para habilitar esta función, Google enviará una entidad emisora específica para tu dominio google.com/a/tu_dominio.es, en el que deberás sustituir tu_dominio.es por el nombre real del dominio.

¿Cómo funcionan las máscaras de red?

Las máscaras de red son direcciones IP representadas mediante el estándar Classless Inter-Domain Routing (CIDR). El estándar CIDR especifica cuántos bits de la dirección IP se incluirán. Google utiliza máscaras de red para determinar a qué direcciones IP o intervalos de IP debe asignar el servicio SSO. En los dominios sin máscara de red, añade a los usuarios que no son superadministradores al Proveedor de identidad (IdP).

Es importante que cada máscara de red tenga el formato correcto. En el ejemplo de IPv6 siguiente, la barra inclinada (/) y el número que aparece a continuación representan el CIDR. Los últimos 96 bits no se toman en cuenta y esto afecta a todas las IP en ese intervalo de red.

  • 2001:db8::/32

En este ejemplo de IPv4, los últimos 8 bits (es decir, el cero) no se toman en cuenta y esto afectaría a todas las direcciones IP incluidas en el intervalo de 64.233.187.0 a 64.233.187.255.

  • 64.233.187.0/24

Nota:

Cuando están habilitadas las máscaras de red, no se redirige a todos los usuarios y a los superadministradores a su inicio de sesión único desde la página de inicio de sesión de Google (accounts.google.com).

¿Cómo afecta la habilitación del SSO a la forma en que los usuarios inician sesión?

La página de inicio de sesión en la Consola de administración es admin.google.com, que redirige a accounts.google.com, mientras que la página de inicio de sesión de un servicio de Google concreto es servicio.google.com/a/tu_dominio.com. Cuando configuras el SSO en tu dominio, el comportamiento de estas páginas dependerá de si el usuario que inicia sesión cuenta con privilegios de superadministrador y de si el dominio tiene una máscara de red.

En dominios con el SSO habilitado sin máscara de red:

  • Cuando los superadministradores intentan iniciar sesión en accounts.google.com, se les pide su dirección de correo electrónico completa de Google Apps (incluidos el nombre de usuario y el dominio) y la contraseña. Una vez que inician sesión, se les redirige a la Consola de administración. Google no los redirige al servidor de SSO.
  • Cuando los usuarios sin privilegios de superadministrador intentan iniciar sesión en accounts.google.com, se les redirige a la página de inicio de sesión único.
  • Cuando los usuarios que no disponen de privilegios de superadministrador (por ejemplo, los administradores delegados) intentan iniciar sesión en admin.google.com, Google los redirige al servidor de SSO una vez que inician sesión con los datos de su cuenta de Google Apps.
  • Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar sesión en servicio.google.com/a/tu_dominio.com, Google los redirige a la página de inicio de sesión único.

En dominios con el SSO habilitado con máscara de red:

  • Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar sesión en accounts.google.com, se les pide su dirección de correo electrónico completa de Google (incluidos el nombre de usuario y el dominio) y la contraseña. Una vez que inician sesión, se les dirige directamente a la Consola de administración. Google no los redirige al servidor SSO, aunque haya máscara de red.
  • Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar sesión en servicio.google.com/a/tu_dominio.com, se les redirige a la página de inicio de sesión único.
  • Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar sesión en servicio.google.com/a/tu_dominio.com, Google no los redirige a la página de inicio de sesión único.
¿Cómo afecta la URL de cambio de contraseña a los cambios de contraseñas?

Si especificas una URL en la opción Cambiar URL de contraseña, a todos los usuarios que intenten cambiar su contraseña en https://myaccount.google.com/ se les redirigirá a la URL que especifiques. Esta configuración se aplica incluso si no habilitas el SSO. Además, las máscaras de red no se aplican.

¿Cómo afecta el inicio de sesión único a los superadministradores?
  • El SSO no tiene ningún efecto para los superadministradores que intentan iniciar sesión en un dominio con el SSO habilitado a través de admin.google.com.
    Una vez habilitado el SSO en un dominio, cuando se introduzca la dirección de correo electrónico de un superadministrador, en lugar de solicitar el nombre de usuario y la contraseña, se redirigirá a la página de inicio de sesión especificada en la Consola de administración.
  • Cuando los superadministradores inician sesión en el cliente de sincronización de Google Drive, omiten el inicio de sesión único.
  • Cuando los superadministradores intentan iniciar sesión en un dominio con SSO habilitado (con o sin máscara de red) a través de admin.google.com, deben introducir la dirección de correo electrónico de su cuenta de administrador de Google completa y la contraseña de Google asociada (no su nombre y contraseña de SSO) y hacer clic en Iniciar sesión para acceder directamente a la Consola de administración. Google no los redirige a la página de inicio de sesión único. Esto se aplica a los intentos de inicio de sesión desde navegadores, aplicaciones para móviles (como las aplicaciones Drive para iOS y Gmail), el flujo de activación de la cuenta de Android, etc.
  • Cuando los superadministradores inician sesión en otro servicio de Google en servicio.google.com/a/tu_dominio.com, Google los redirige a la página de inicio de sesión único si inician sesión desde la máscara de red de su dominio. Si están fuera de la máscara de red de su dominio o si su dominio no tiene una máscara de red, Google les pide su nombre de usuario y contraseña de Google.
  • Los clientes como Gmail para iOS, Drive para iOS, sincronización del navegador Chrome, configuración de Android, etc. utilizan la autenticación de Google. Si intentas iniciar sesión con cualquiera de estos clientes, se te pedirá la dirección de correo electrónico completa de tu cuenta de Google Apps (incluidos el nombre de usuario y el dominio) y accederás directamente a la aplicación una vez que inicias sesión. Google no te redirigirá a la página de inicio de sesión único, aunque haya máscara de red.
¿Cómo configuro el inicio de sesión único en dispositivos Chrome? Todavía tengo dudas.

Para solucionar los problemas más habituales, consulta Solucionar problemas relacionados con el inicio de sesión único (SSO). Asimismo, en el mercado existen numerosos equipos de integración de sistemas o soluciones que ofrecen servicios profesionales y productos de SSO. En Google Apps Marketplace puedes encontrar partners de Google for Work y terceros que brindan asistencia para el inicio de sesión único.