Aplicación en la nube Office 365

Con el lenguaje de marcado para confirmaciones de seguridad (SAML), tus usuarios pueden iniciar sesión en aplicaciones de empresa en la nube con sus credenciales de Google Cloud.

Configurar el inicio de sesión único mediante SAML en Microsoft Office 365

A continuación, te explicamos cómo configurar el inicio de sesión único (SSO) mediante SAML para usarlo en la aplicación Microsoft Office 365.

Antes de empezar
Paso 1: Configura ImmutableID

Office 365 utiliza el atributo ImmutableID para identificar a los usuarios con un ID único. Para que el SSO entre Google y Office 365 funcione, cada usuario de Office 365 debe tener un atributo ImmutableID. Además, el atributo de SAML "ID de nombre" enviado a Office 365 durante el SSO debe ser el mismo que el ImmutableID.

El atributo ImmutableID de un usuario de Office 365 varía en función de cómo se crea el usuario. Estos son las situaciones más probables:

  • Todavía no hay usuarios en Office 365. Si configuras Google para aprovisionar usuarios automáticamente, no tienes que configurar el atributo ImmutableID, ya que se mapea de forma predeterminada a la dirección de correo del usuario (el nombre principal de usuario, o UPN). Ve al paso 2.
  • Si los usuarios se crearon en la consola de administración de Office 365, ImmutableID debería estar en blanco. Para definir el atributo ImmutableID de cada uno de estos usuarios en Office 365 de forma que coincida con su UPN, usa el comando Set-MsolUser de PowerShell: 

    Set-MsolUser -UserPrincipalName testuser@your-company.com -ImmutableId testuser@your-company.com

    También puedes usar Set-MsolUser para actualizar en bloque todos los usuarios. Puedes consultar instrucciones específicas en la documentación de PowerShell.

  • Si los usuarios se crearon a través de la sincronización de IDs de Microsoft Entra, ImmutableID es una versión codificada del objetoGUID de Active Directory. En el caso de estos usuarios:
    1. Usa PowerShell para recuperar el ImmutableID del ID de Entra. Por ejemplo, para obtener el ImmutableID de todos los usuarios y exportarlo a un archivo CSV:

      $exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile

    2. Crea un atributo personalizado en Google y, a continuación, rellena el perfil de cada usuario con su atributo ImmutableID de Office 365. Para obtener instrucciones, consulta cómo añadir un nuevo atributo personalizado y cómo actualizar un perfil de usuario. También puedes automatizar el proceso usando GAM (una herramienta de línea de comandos de código abierto) o el SDK de administrador de Workspace.

Para obtener más información sobre ImmutableID, consulta la documentación de Microsoft.

Paso 2: Obtén la información de proveedor de identidades de Google
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAutenticacióny luegoSSO con aplicaciones SAML.

    Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  3. En la sección Configurar el inicio de sesión único (SSO), copia y guarda la URL de inicio de sesión único y el ID de entidad, y descarga el Certificado.

A continuación, tendrás que abrir Office 365 para completar el paso 3 de este artículo. Volverás a la consola de administración en el paso 4 para terminar de configurar el SSO.

Paso 3: Configura Office 365 como proveedor de servicios de SAML 2.0
  1. En una pestaña del navegador nueva, inicia sesión en la aplicación Office 365 como administrador.
  2. Con un editor de texto, crea variables PowerShell a partir de los datos de proveedor de identidades que has copiado de Google. Estos son los valores necesarios para cada variable:
    Variable Valor
    $DomainName tu-empresa.com”
    $FederationBrandName "Google Cloud Identity" (u otro valor que elijas)
    $Authentication "Federado"
    $PassiveLogOnUrl
    $ActiveLogOnUri 
    "URL de inicio de sesión único" (de la información de proveedor de identidades de Google)
    $SigningCertificate "Pega aquí el certificado completo" (de la información de proveedor de identidades de Google)*
    $IssuerURI "ID de entidad" (de la información de proveedor de identidades de Google)
    $LogOffUri "https://accounts.google.com/logout"
    $PreferredAuthenticationProtocol "SAMLP"
    * Comprueba que la variable $SigningCertifcate está en una línea de texto, o PowerShell devolverá un mensaje de error.
  3. Con la consola PowerShell, ejecuta el comando Set-MsolDomainAuthentication. Con este comando podrás configurar tu dominio de Active Directory para federarlo. Puedes consultar instrucciones específicas en la documentación de Microsoft PowerShell.
  4. (Opcional) Para probar la configuración de la federación, usa el siguiente comando de PowerShell: 

    Get-MSolDomainFederationSettings -DomainName tu-dominio.com | Format-List *

Nota: Si tu dominio ya está federado pero necesitas federarlo con Google, ejecuta el comando
Set-MsolDomainFederationSettings, utilizando los mismos parámetros indicados en la tabla anterior.

Paso 4: Configura Google como proveedor de identidades SAML
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Aplicacionesy luegoAplicaciones web y móviles.
  3. Haz clic en Añadir aplicación y luegoBuscar aplicaciones.
  4. Introduce Office 365 en el campo de búsqueda.
  5. En los resultados de búsqueda, coloca el cursor sobre la aplicación SAML Office 365 y haz clic en Seleccionar.
  6. En la página Detalles de proveedor de identidades de Google, haz clic en Continuar.
  7. En la página Datos del proveedor de servicios, sigue estos pasos:
    1. Marca Respuesta firmada.
    2. Asigna el valor "PERSISTENTE" a Formato de ID de nombre.
    3. Si has creado un atributo personalizado para añadir el ImmutableID de Office 365 a los perfiles de tus usuarios de Google (consulta el paso 1), selecciona el atributo personalizado como ID de nombre. De lo contrario, elige como ID de nombre la opción Basic Information > Primary email (Información básica > Correo electrónico principal).
  8. Haz clic en Continuar.
  9. En la página Mapeo de atributos, haz clic en el menú Seleccionar campo y mapea los siguientes atributos del directorio de Google a los atributos correspondientes de Office 365:
     
    Atributo de Directorio de Google Atributo de Office 365
    Basic Information > Primary Email (Información básica > Correo electrónico principal) IDPEmail
  10. (Opcional) Para introducir nombres de grupos que sean relevantes para esta aplicación, sigue estos pasos:
    1. En Pertenencia a un grupo (opcional), haz clic en Buscar un grupo, escribe una o varias letras del nombre del grupo y selecciona el nombre del grupo. ¡
    2. Añade más grupos según sea necesario (75 como máximo).
    3. En Atributo de aplicación, introduce el nombre del atributo de grupo correspondiente del proveedor de servicios.

    Independientemente del número de nombres que introduzcas, la respuesta de SAML solo incluirá los grupos a los que pertenezca el usuario (directamente o indirectamente). Consulta más información en el artículo Información sobre la asignación de pertenencia a grupos.

  11. Haz clic en Finalizar.
Paso 5: Habilita la aplicación Office 365
  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Aplicacionesy luegoAplicaciones web y móviles.
  3. Selecciona Office 365.
  4. Haz clic en Acceso de usuario.
  5. Para activar o desactivar un servicio en toda tu organización, haz clic en Activado para todos o en Desactivado para todos y luego en Guardar.

  6. (Opcional) Para activar o desactivar un servicio en una unidad organizativa, sigue estos pasos:
    1. En la parte izquierda, selecciona la unidad organizativa.
    2. Para cambiar el estado del servicio, selecciona Activado o Desactivado.
    3. Elige una opción:
      • Si el estado del servicio es Heredado y quieres mantener el ajuste actualizado aunque cambie el ajuste principal, haz clic en Anular.
      • Si el estado del servicio es Anulado, haz clic en Heredar para volver al mismo ajuste que la unidad organizativa superior o en Guardar para conservar el nuevo, incluso si cambia el ajuste de la organización principal.
        Nota: Consulta más información sobre la estructura organizativa.
  7. Para activar un servicio en determinadas cuentas de usuario de varias unidades organizativas o de una misma unidad, utiliza un grupo de acceso. Consulta más información en la sección sobre cómo activar servicios en grupos.
  8. Asegúrate de que los ID de correo de tus cuentas de usuario de Office 365 coincidan con los de tu dominio de Google.
Paso 6: Verifica que el inicio de sesión único funciona correctamente en Google y Office 365

Office 365 admite los inicios de sesión únicos iniciados por el proveedor de identidades y los iniciados por el proveedor de servicios. Sigue estos pasos para verificar cualquiera de estos tipos de SSO:

Iniciado por un proveedor de identidades

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Aplicacionesy luegoAplicaciones web y móviles.
  3. Selecciona Office 365.
  4. En la parte superior izquierda, haz clic en Probar inicio de sesión con SAML

    Office 365 se abrirá en otra pestaña. Si no es así, con la información incluida en los mensajes de error de SAML que aparezcan, modifica la configuración de tu proveedor de identidades o de servicios según sea necesario y vuelve a probar el inicio de sesión con SAML.

Iniciado por el proveedor de servicios

  1. Visita https://login.microsoftonline.com/.
    Se te debería redirigir automáticamente a la página de inicio de sesión de Google.
  2. Introduce tus credenciales de inicio de sesión.
  3. Una vez que se hayan autenticado, se te redirigirá automáticamente a Office 365.
Paso 7: Configura el aprovisionamiento automático

Como superadministrador, puedes aprovisionar usuarios automáticamente en Office 365.

 


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal