Acerca del SSO

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión en muchas aplicaciones empresariales en la nube con un único conjunto de credenciales. Workspace (y Google Cloud Platform) admiten el SSO de proveedores de identidades (IdPs) de terceros. 

Workspace admite los protocolos de SSO SAML y OIDC. El SSO basado en SAML es compatible con cualquier IdP. Actualmente, OIDC solo admite Microsoft Entra ID.

Para usar el SSO, debes configurar perfiles de SSO y, a continuación, asignarlos a grupos de usuarios o a unidades organizativas. Esto permite admitir varios IdPs y probar configuraciones de SSO. Este es el sistema recomendado para el SSO. También está disponible nuestro perfil antiguo de SSO para organizaciones (solo para SAML).

El SSO también está disponible en los dispositivos Chrome. Para obtener más información, consulta el artículo Configurar el inicio de sesión único basado en SAML en dispositivos equipados con Chrome OS.

Verificación adicional después del SSO

Cuando el SSO está configurado, los usuarios que inician sesión en su IdP externo pueden acceder a las aplicaciones de Google sin necesidad de realizar verificaciones adicionales, con las siguientes excepciones:

  • Aunque los usuarios hayan iniciado sesión en su IdP, en algunas ocasiones Google les pedirá que verifiquen su identidad como medida de seguridad adicional. Para obtener más información (e instrucciones detalladas sobre cómo inhabilitar este tipo de verificación, si fuera necesario), consulta el artículo Funcionamiento del inicio de sesión seguro basado en SAML.
  • Además del SSO, puedes aplicar la verificación en dos pasos de forma que solo se requiera cuando los usuarios accedan a servicios de Google. Normalmente, este tipo de verificación se omite cuando el SSO está activado. Consulta más información en el apartado Habilitar la verificación de la identidad con SSO.
Descripción del inicio de sesión único (SSO) basado en SAML proporcionado por partners

En la Figura 1 se muestra el proceso por el que un usuario inicia sesión en una aplicación de Google, como Gmail, a través de un servicio de SSO basado en SAML gestionado por un partner. En la lista numerada que sigue a la imagen se detalla cada paso.

Importante: Para que se pueda realizar este proceso, el partner debe facilitar a Google la URL para su servicio de SSO, así como la clave pública que Google debería usar para verificar las respuestas SAML.

Figura 1: El proceso de inicio de sesión en Google mediante un servicio de SSO basado en SAML. 

En esta imagen se describen los pasos siguientes.

  1. El usuario intenta acceder a una aplicación alojada en Google, como Gmail, Google Calendar u otro servicio de Google.
  2. Google genera una solicitud de autenticación SAML, que se codifica y se inserta en la URL del servicio de SSO del partner. El parámetro RelayState, que contiene la URL codificada de la aplicación de Google a la que el usuario intenta acceder, también está insertado en la URL de SSO. Este parámetro es un identificador opaco que se devuelve sin modificaciones ni inspecciones.
  3. Google envía un redireccionamiento al navegador del usuario. La URL de redireccionamiento incluye la solicitud de autenticación SAML codificada que debería enviarse al servicio de inicio de sesión único del partner.
  4. El navegador redirige a la URL de SSO.
  5. El partner descodifica la solicitud SAML y extrae la URL del servicio de consumidor de aserciones (Assertion Consumer Service, ACS) de Google y la URL de destino del usuario (parámetro RelayState). 
  6. A continuación, el partner autentica al usuario. Los partners pueden autenticar a los usuarios solicitando credenciales de acceso válidas o comprobando que existen cookies de sesión correctas.
  7. El partner genera una respuesta SAML que contiene el nombre de usuario del usuario autenticado. Según las especificaciones de la versión 2.0 de SAML, esta respuesta se firma digitalmente con las claves DSA/RSA públicas y privadas del partner.
  8. El partner codifica la respuesta SAML y el parámetro RelayState y, a continuación, devuelve esa información al navegador del usuario. El partner ofrece un mecanismo para que el navegador pueda reenviar esa información al servicio de ACS de Google. Por ejemplo, el partner podría insertar la respuesta SAML y la URL de destino en un formulario y facilitar un botón para que el usuario pueda hacer clic en él y enviar el formulario a Google. El partner también podría incluir JavaScript en la página para que se envíe el formulario a Google.
  9. El navegador envía una respuesta a la URL ACS. El servicio ACS de Google verifica la respuesta SAML usando la clave pública del partner. Si la respuesta se verifica correctamente, el servicio ACS redirige al usuario a la URL de destino. 
  10. El usuario ha iniciado sesión en la aplicación de Google.

Sincronizar cuentas de usuario entre tu IdP y Google

Para simplificar la gestión del ciclo de vida de los usuarios, la mayoría de las organizaciones que utilizan el SSO también sincronizan su directorio de usuarios desde el IdP con Google. Cuando se activa la sincronización, los usuarios nuevos (o eliminados) del IdP se añaden o se eliminan automáticamente como usuarios de Workspace. Directory Sync de Google es compatible con Active Directory y Entra ID. La mayoría de los IdPs admiten la sincronización con Google. Consulta la documentación de tu IdP para obtener instrucciones de configuración. 

SSO y LDAP seguro

LDAP seguro requiere una contraseña de Google y no es compatible con el SSO.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal