El inicio de sesión único para superadministradores solo es compatible si usas el perfil de SSO antiguo y únicamente en algunos casos (consulta más abajo). No es compatible con los perfiles de SSO más recientes.
Permitir que los superadministradores utilicen el SSO tiene ventajas y riesgos. Si todos los usuarios (incluidos los administradores) se autentican mediante el SSO, se reduce la superficie en la que se gestionan las credenciales de los usuarios. Sin embargo, si tu proveedor de identidades se ve comprometido, un tercero podrá acceder a la consola de administración de Google y a todos los aspectos de la cuenta de tu organización.
Para reducir este riesgo, si habilitas el SSO para los superadministradores, te recomendamos que también habilites la verificación en dos pasos para los superadministradores tanto en tu proveedor de identidades como con Google.
Cómo inhabilitar el SSO para superadministradores
Para inhabilitar el SSO de superadministrador, utiliza los perfiles de SSO, que son más recientes. Para migrar del perfil de SSO antiguo a los perfiles de SSO, sigue estas instrucciones.
Cuándo pueden iniciar sesión los superadministradores con el SSO
Si usas el perfil de SSO antiguo, los superadministradores podrán iniciar sesión con el SSO en los siguientes casos:
- El ajuste URLs de servicio específicas del dominio está configurado para redirigir automáticamente a los usuarios al IdP externo.
- Cuando el IdP (SSO iniciado por el IdP) inicie sesión con una cuenta de superadministrador.
- Cuando un superadministrador inicie sesión en Google con una cuenta que no es de superadministrador, y, posteriormente, proporcione sus credenciales de superadministrador cuando se le redirija al IdP. En este caso, Google aceptará la aserción de identidad de superadministrador del IdP.
En qué casos no pueden iniciar sesión los superadministradores con el SSO
Incluso si se utiliza el perfil de SSO antiguo, los superadministradores no pueden iniciar sesión con SSO en los siguientes casos:
Consola de administración
Cuando los superadministradores intentan iniciar sesión en un dominio con inicio de sesión único (SSO) a través de admin.google.com, deben introducir la dirección de correo completa de su cuenta de administrador de Google y la contraseña de Google asociada (no su nombre de usuario y contraseña de SSO), y hacer clic en Iniciar sesión para acceder directamente a la consola de administración. Google no los redirige a la página del SSO.
Cliente de sincronización de Google Drive
Cuando los superadministradores inician sesión en el cliente de sincronización de Google Drive, omiten el SSO; Google no los redirige a la página de SSO. Este procedimiento se aplica en los inicios de sesión desde navegadores, aplicaciones móviles (como las aplicaciones Drive y Gmail para iOS), en el flujo de activación de cuentas de Android, etc.