Índice
- ¿Qué versión de SAML puede utilizarse con la API de SSO?
- ¿Funciona el SSO basado en SAML con los protocolos POP3 o IMAP?
- ¿Funciona el SSO basado en SAML con el feed Atom de Gmail?
- ¿Funciona el SSO basado en SAML con AuthSub?
- ¿Se puede implementar el SSO con el algoritmo RSA en vez de con el algoritmo DSA?
- ¿Cómo puedo generar el certificado de verificación necesario para implementar el SSO?
- Si he implementado el SSO en mi dominio, ¿puedo seguir iniciando sesión en Google directamente?
- ¿Cómo se elimina la cookie de sesión no permanente que identifica a los usuarios durante una sesión del navegador (por ejemplo, al cerrar sesión)?
- ¿Por qué no funciona la URL de cambio de contraseña?
- ¿Por qué el formulario HTML SAMLResponse funciona en Firefox, pero no en Internet Explorer?
- ¿Qué debo hacer para que los usuarios puedan ver la página de inicio del partner sin tener que autenticarse?
- ¿Cuál es el atributo "Recipient" que debe usarse en la respuesta SAML?
- ¿Cómo puedo asegurarme de que el proveedor de identidades externo que utilizo especifique el atributo "Recipient" correcto?
- Con el SSO, ¿pueden los usuarios autenticarse con la URL de inicio de sesión del panel de control de administración?
- ¿Qué significa el mensaje de error "No se puede acceder a este servicio porque tu solicitud de inicio de sesión incluía datos de destinatario que no eran válidos"?
- ¿Qué significa el mensaje de error "No se puede acceder a este servicio porque tu solicitud de inicio de sesión no incluía los datos de destinatario"?
- ¿Qué significa el mensaje de error "No se puede acceder a esta cuenta porque no se han podido verificar las credenciales de inicio de sesión"?
- ¿Qué versión de SAML puede utilizarse con la API de SSO?
-
Por el momento, puede utilizarse SAML v. 2.0. Visita http://www.oasis-open.org/specs/index.php#samlv2.0 para obtener información detallada sobre el estándar SAML v2.0.
- ¿Funciona el SSO basado en SAML con los protocolos POP3 o IMAP?
-
No, SAML solo funciona con las aplicaciones web de Google Workspace.
- ¿Funciona el SSO basado en SAML con el feed Atom de Gmail?
-
No, el feed Atom de Gmail utiliza la autenticación HTTP básica.
- ¿Funciona el SSO basado en SAML con AuthSub?
-
Sí, SAML es compatible con AuthSub.
- ¿Se puede implementar el SSO con el algoritmo RSA en vez de con el algoritmo DSA?
-
Sí, puedes elegir entre los algoritmos de cifrado RSA o DSA. Se aceptan ambos.
- ¿Cómo puedo generar el certificado de verificación necesario para implementar el SSO?
-
Puedes generar certificados X509 con el comando
openssl. Puedes consultar más información en el artículo Generar claves y certificados para configurar el inicio de sesión único. - Si he implementado el SSO en mi dominio, ¿puedo seguir iniciando sesión en Google directamente?
-
No, si has implementado el SSO en tu dominio, tus usuarios finales no pueden iniciar sesión directamente en Google. No obstante, los superadministradores pueden seguir accediendo al panel de control de Google (por ejemplo, yendo a http://www.google.com/a/example.com).
-
Una vez realizada la autenticación a través de SAML, Google configura una cookie de sesión para identificar la sesión de un usuario. Cuando este usuario finaliza explícitamente la sesión (por ejemplo, haciendo clic en el botón para cerrarla), esta cookie debe destruirse. Si tu implementación implica la gestión de sesiones permanentes (la función "Recordarme en este equipo"), puede que necesites controlar cómo y cuándo se destruye esta cookie. Al finalizar la sesión, Google redirige al usuario a tu servlet de cierre de sesión. En él, puedes presentar al usuario varias opciones que permitan determinar si la cookie de sesión debe eliminarse o no.
- ¿Por qué no funciona la URL de cambio de contraseña?
-
Los cambios realizados en la opción "Cambiar URL de contraseña" de la configuración de SSO tardan aproximadamente una hora en aplicarse.
- ¿Por qué el formulario HTML SAMLResponse funciona en Firefox, pero no en Internet Explorer?
-
Posiblemente esto se deba a que Internet Explorer malinterpreta el parámetro RelayState. Internet Explorer interpreta "<mpl" como "<mpl". Para evitarlo, puedes utilizar caracteres XML especiales de escape en el parámetro RelayState. Cambia { &, <, >, ', " } por { &, <, >, ', " }.
- ¿Qué debo hacer para que los usuarios puedan ver la página de inicio del partner sin tener que autenticarse?
-
Puedes consultar un parámetro SAMLResponse de ejemplo en este tema del grupo de debate.
- ¿Cuál es el atributo "Recipient" que debe usarse en la respuesta SAML?
-
De acuerdo con la sección 4.1.4.2 de la especificación de perfiles de SAML 2.0, el atributo "Recipient" debería ser igual a la URL de servicio de consumidor de aserciones (ACS). Se encuentra aquí:
<samlp:Response ...> <saml:Assertion ...> <saml:Subject> <saml:NameID ...>user@domain.com</saml:NameID> <saml:SubjectConfirmation ...> <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../> </saml:SubjectConfirmation> </saml:Subject> </saml:Assertion> </samlp:Response>
Echa un vistazo a estas preguntas para saber cómo añadir el atributo "Recipient" a la respuesta SAML.
- ¿Cómo puedo asegurarme de que el proveedor de identidades externo que utilizo especifique el atributo "Recipient" correcto?
-
Si tu proveedor de identidades comercial o de código abierto admite SAML 2.0, lo más normal es que especifique el atributo "Recipient" correcto. No obstante, si recibes uno de los mensajes de error anteriores, significa que el atributo "Recipient" es incorrecto. En ese caso, ponte en contacto con el proveedor o con la empresa encargada del mantenimiento del software y envíales el enlace a esta página.
- Con el SSO, ¿pueden los usuarios autenticarse con la URL de inicio de sesión del panel de control de administración?
-
Sí. El inicio de sesión único (SSO) basado en SAML permite transferir la autoridad de inicio de sesión de Google Workspace a tu propio software de proveedor de identidades (por ejemplo, un portal de inicio de sesión). Dicho software controla y gestiona la autenticación de las cuentas de usuario, y Google Workspace redirigirá un intento de inicio de sesión a tu portal de SSO. No obstante, conviene recordar que tus administradores podrán seguir gestionando estos servicios con la URL de inicio de sesión de administrador de la consola de administración de Google (https://www.google.com/a/example.com). De este modo, tienes flexibilidad si tu portal de SSO tiene algún problema o necesita actualizarse.
- ¿Qué significa el mensaje de error "No se puede acceder a este servicio porque tu solicitud de inicio de sesión no incluía los datos de destinatario"?
-
Este mensaje indica que falta un atributo Recipient obligatorio en la respuesta de SAML.
- ¿Qué significa el mensaje de error "No se puede acceder a este servicio porque tu solicitud de inicio de sesión incluía datos de destinatario que no eran válidos"?
-
Este mensaje indica que el atributo Recipient de la respuesta SAML no es la URL de ACS.
- ¿Qué significa el mensaje de error "No se puede acceder a esta cuenta porque no se han podido verificar las credenciales de inicio de sesión"?
-
Normalmente, este mensaje indica que la clave privada utilizada para registrar el parámetro SAMLResponse no coincide con el certificado de clave pública que Google Workspace tiene en sus registros. En ese caso, tendrás que subir el certificado en la sección de configuración de SSO del panel de control y volver a intentarlo.
