Configurar una aplicación SAML personalizada

Usar el inicio de sesión único basado en SAML

Con el inicio de sesión único (SSO), los usuarios pueden iniciar sesión en todas sus aplicaciones empresariales en la nube con las credenciales de su cuenta de Google gestionada. Google ofrece un servicio de SSO preintegrado en más de 200 aplicaciones populares en la nube.

Para configurar el inicio de sesión único de SAML en una aplicación personalizada que no esté en el catálogo preintegrado, sigue los pasos que se muestran a continuación.

Configurar una aplicación SAML personalizada

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones SAML.
  3. En la parte inferior derecha, haz clic en Añadir "".
  4. Haz clic en Configurar aplicación personalizada.
    Se abrirá la ventana Información de proveedor de identidades de Google y se rellenarán automáticamente los campos URL de inicio de sesión único e ID de entidad.
  5. Consigue la información de configuración que necesita el proveedor de servicios mediante uno de estos métodos:
    • Copia los valores de los campos URL de inicio de sesión único e ID de entidad y descarga el certificado.
    • Descarga los metadatos del proveedor de identidades.
  6. (Opcional) Abre otra pestaña o ventana del navegador, inicia sesión en tu proveedor de servicios e introduce la información que has copiado en el paso 5 en la página de configuración de SSO correspondiente. Una vez que hayas terminado, vuelve a la consola de administración.
  7. Haz clic en Siguiente.
  8. En la ventana Información básica, da un nombre a la aplicación y añade una descripción.
  9. (Opcional) Sube un archivo PNG o GIF de un tamaño de 256x256 píxeles para usarlo como icono de la aplicación personalizada.
  10. Haz clic en Siguiente.
  11. En la ventana Datos del proveedor de servicios, rellena los campos URL ACS, ID de entidad y URL de inicio (si fuera necesaria) correspondientes a tu aplicación personalizada. Estos valores los facilita el proveedor de servicios. 
  12. (Opcional) Marca la casilla Respuesta firmada si tu proveedor de servicios requiere que se firme toda la respuesta de autenticación SAML. Si no se llega a marcar manualmente, solo se firmará la aserción de la respuesta. 
  13. El valor predeterminado del campo ID de nombre es el correo electrónico principal. No se permite introducir varios valores.

    Nota: Puedes consultar las asignaciones de ID de nombre que son obligatorias en aplicaciones de nuestro catálogo de aplicaciones SAML en los artículos de configuración correspondientes. Si es necesario, también puedes crear atributos personalizados en la consola de administración o mediante las API del SDK de administrador de Google, y crear asignaciones con ellos. Si vas a usar atributos personalizados, tienes que crearlos antes de configurar tu aplicación SAML. 

  14. Haz clic en Siguiente.
  15. (Opcional) Haz clic en Añadir nueva asignación y da un nuevo nombre al atributo que quieres asignar.

    Nota: Puedes definir un máximo de 1500 atributos entre todas las aplicaciones. Dado que cada aplicación tiene un atributo predeterminado, la cantidad total incluirá ese atributo y todos los que añadas.

  16. En la lista desplegable, selecciona Categoría y Atributos de usuario para asignar el atributo desde el perfil de Google.
    Nota: No se puede utilizar el valor de ID de empleado para asignar atributos.
  17. Haz clic en Finalizar.

Activar una aplicación SAML

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones SAML.
  3. Selecciona tu aplicación SAML.
  4. Haz clic en Acceso de usuario.
  5. Para activar o desactivar un servicio en toda tu organización, haz clic en Activado para todos o en Desactivado para todos y, a continuación, haz clic en Guardar.

  6. Para activar o desactivar un servicio solo en una unidad organizativa, sigue estos pasos:

    1. En la parte izquierda, selecciona la unidad organizativa que quieras.
    2. Selecciona Activado o Desactivado.
    3. Para que el servicio siga activado o desactivado independientemente de si lo está en la unidad organizativa superior, haz clic en Anular.
    4. Si el estado de la organización ya es Anulado, selecciona una de estas opciones:
      • Heredar: el ajuste pasa a ser el de la unidad organizativa superior.
      • Guardar: se guarda el nuevo ajuste, aunque cambie el de la unidad organizativa superior.

    Más información sobre la estructura organizativa

  7. Para activar un servicio en determinadas cuentas de usuario de varias unidades organizativas o de una misma unidad, utiliza un grupo de acceso. Consulta más información en la sección sobre cómo activar servicios en grupos.
  8. Comprueba que las direcciones de correo electrónico que utilizan tus usuarios para iniciar sesión en la aplicación SAML son las mismas que las que utilizan para iniciar sesión en tu dominio de Google.
Aunque los cambios suelen surtir efecto en unos minutos, a veces pueden tardar hasta 24 horas en aplicarse. Para obtener más información, consulta el artículo Cómo se propagan los cambios a los servicios de Google.  

Verificar que el SSO funciona en la aplicación personalizada

Puedes probar tanto el SSO iniciado por el proveedor de identidades como el iniciado por el proveedor de servicios (si tu aplicación lo admite).

SSO iniciado por el proveedor de identidades

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones SAML.
  3. Selecciona tu aplicación SAML personalizada. 
  4. En la parte superior izquierda, haz clic en Probar inicio de sesión con SAML

    La aplicación debería abrirse en una pestaña nueva. Si no es así, con la información incluida en los mensajes de error de SAML que aparezcan, modifica la configuración de tu proveedor de identidades o de servicios según sea necesario y vuelve a probar el inicio de sesión con SAML.

SSO iniciado por el proveedor de servicios

  1. Abre la URL de SSO de tu nueva aplicación SAML. Se te debería redirigir automáticamente a la página de inicio de sesión de Google.
  2. Escribe tu nombre de usuario y tu contraseña.

    Una vez que se hayan autenticado tus credenciales de inicio de sesión, se te redirigirá automáticamente a tu nueva aplicación SAML.

Configurar una aplicación en la nube preintegrada

Google ofrece un servicio de SSO preintegrado en más de 200 aplicaciones en la nube. Para configurar una de estas aplicaciones, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego Aplicaciones SAML.
  3. En la esquina inferior, haz clic en el icono del signo más (+).

    Se abrirá una ventana en la que se mostrará una lista con aplicaciones en la nube preintegradas.

  4. Selecciona una aplicación en la nube preintegrada y sigue los pasos del asistente para configurar el SSO en la aplicación.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?