Configuración y mantenimiento opcionales de SSO

Cómo rotar certificados

Si subes dos certificados a un perfil de SSO de SAML, Google puede usar cualquiera de ellos para validar una respuesta de SAML de tu proveedor de identidades. De esta forma, puedes rotar de forma segura un certificado que vaya a caducar en el lado del proveedor de identidades. Sigue estos pasos al menos 24 horas antes de que un certificado caduque:

  1. Crea un certificado nuevo en el proveedor de identidades.
  2. Sube el certificado como segundo certificado a la consola de administración. Consulta las instrucciones en el artículo Crear un perfil SAML.
  3. Espera 24 horas para que las cuentas de usuario de Google se actualicen con el nuevo certificado.
  4. Configura el proveedor de identidades para que use el nuevo certificado en lugar del que vaya a caducar.
  5. (Opcional) Una vez que los usuarios hayan confirmado que pueden iniciar sesión, quita el certificado antiguo de la consola de administración. Podrás subir un nuevo certificado más adelante si es necesario.

Gestionar URLs de servicio específicas de dominios

El ajuste URLs de servicio específicas del dominio te permite controlar lo que sucede cuando los usuarios inician sesión mediante URLs de servicio como https://mail.google.com/a/example.com.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luego Autenticacióny luego SSO con un proveedor de identidades de terceros.
  3. Haz clic en URLs de servicio específicas del dominio para abrir la configuración.

Tienes dos opciones:

  • Redirige a los usuarios al proveedor de identidades externo. Elige esta opción para enrutar siempre estos usuarios al proveedor de identidades externo que selecciones en la lista desplegable de perfiles de SSO. Puede ser el perfil de SSO de tu organización o de otro perfil de terceros (si has añadido uno).

    Importante: Si tienes unidades organizativas o grupos que no utilizan el SSO, no elijas este ajuste. Los usuarios que no sean de SSO se dirigirán automáticamente al proveedor de identidades y no podrán iniciar sesión.

  • Pide a los usuarios que introduzcan primero su nombre de usuario en la página de inicio de sesión de Google. Con esta opción, los usuarios que introducen URLs específicas de dominio se envían primero a la página de inicio de sesión de Google. Si son usuarios de SSO, se les redirige a la página de inicio de sesión del proveedor de identidades.

Resultados de la asignación de red

Las máscaras de red son direcciones IP representadas mediante el estándar de enrutamiento de interdominios sin clases (Classless Inter-Domain Routing, CIDR). El estándar CIDR especifica cuántos bits de la dirección IP se incluirán. El perfil de SSO de tu organización puede usar máscaras de red para determinar a qué direcciones IP o intervalos de direcciones IP debe asignar el servicio de SSO.

Nota: En los ajustes de las máscaras de red, solo las URL de servicio específicas del dominio, como servicio.google.com/a/example.com, redirigen a la página de inicio de sesión único.

Es importante que cada máscara de red tenga el formato correcto. En el ejemplo de IPv6 que se muestra a continuación, la barra inclinada (/) y el número que la sigue representan el CIDR. Los últimos 96 bits no se tienen en cuenta, lo que afecta a todas las direcciones IP de ese intervalo de red.

  • 2001:db8::/32

En este ejemplo de IPv4, los últimos 8 bits (es decir, el cero) no se tienen en cuenta, y esto afectaría a todas las direcciones IP incluidas en el intervalo de 64.233.187.0 a 64.233.187.255.

  • 64.233.187.0/24

En los dominios sin máscara de red, debes añadir a los usuarios que no son superadministradores al proveedor de identidades (IdP).

Experiencia de usuario de SSO al visitar URLs de servicios de Google

En la siguiente tabla se muestra la experiencia de usuario de las visitas directas a las URLs de los servicios de Google, con y sin máscara de red:

Sin máscara de red Superadministradores: Usuarios:
servicio.google.com Se les pide su dirección de correo electrónico de Google y su contraseña. Se les pide su dirección de correo electrónico y, a continuación, se les redirige a la página de inicio de sesión de SSO.
Con máscara de red Superadministradores y usuarios:
servicio.google.com Se les pide su dirección de correo electrónico y su contraseña.
servicio.google.com
/a/tu_dominio.com*
(dentro de máscara de red)		 Se les redirige a la página de inicio de sesión de SSO.
servicio.google.com
/a/tu_dominio.com
(fuera de máscara de red
)		 Se les pide su dirección de correo electrónico y su contraseña.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Los usuarios que acceden al endpoint de OAuth 2.0 de Google mediante el parámetro de URL login_hint son redirigidos a la página de inicio de sesión de SSO.

* No todos los servicios admiten este patrón de URL. Gmail y Drive son ejemplos de servicios que sí lo hacen.

Cuándo vencen las sesiones si hay definida una máscara de red
La información que contiene esta sección solo es aplicable si se cumplen todos estos requisitos:
  • Tu dominio tiene configurado el SSO con un IdP externo.
  • Tu dominio tiene una máscara de red.
  • Un usuario ha iniciado sesión a través del IdP externo. Consulta más información en la sección "Tabla de asignación de usuario/red del SSO".
Es posible que se finalice la sesión de Google activa de un usuario y se le pida que vuelva a autenticarse en estos casos:
  • Su sesión ha alcanzado la duración máxima definida en el ajuste Control de sesión de Google de la consola de administración.
  • Su administrador ha editado su cuenta a través de la consola de administración o con el SDK de administrador. Por ejemplo, ha cambiado su contraseña o requiere que el usuario la cambie la próxima vez que inicie sesión.

Experiencia de usuario

Si los usuarios han iniciado sesión en un IdP externo, se finaliza su sesión y se les redirige a la página de inicio de sesión de Google.

Como estos usuarios han iniciado sesión en Google a través de un IdP externo, es posible que no entiendan por qué tienen que iniciar sesión en Google para volver a acceder a su cuenta. Es posible que se redirija a los usuarios a una página de inicio de sesión de Google aunque estén intentando navegar a otras URL de Google.

Si has programado tareas de mantenimiento que implican finalizar las sesiones de usuario activas y quieres evitar confusiones, pide a tus usuarios que cierren sesión y no vuelvan a iniciarla hasta que acabe el mantenimiento.

Recuperar usuarios

Si los usuarios ven la página de inicio de sesión de Google porque se ha finalizado su sesión activa, pueden volver a acceder a su cuenta de cualquiera de estas formas:

  • Si aparece el mensaje "Si has llegado a esta página por error, cierra sesión y prueba a iniciar sesión de nuevo", pueden hacer clic en el enlace incluido en el mensaje.
  • Si este mensaje no aparece, pueden ir a https://accounts.google.com/logout para cerrar sesión y volver a iniciarla.
  • Pueden borrar las cookies de su navegador.

Una vez que hayan seguido cualquiera de estos pasos, su sesión de Google se considerará completamente cerrada y podrán volver a iniciar sesión.  

Configurar la verificación en dos pasos con SSO

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAutenticacióny luegoProcedimientos de verificación de la identidad.
  3. A la izquierda, selecciona la unidad organizativa en la que quieras definir la política.

    Si quieres aplicar la configuración a todos los usuarios, selecciona el nivel organizativo superior. En principio, las unidades organizativas heredan la configuración del elemento jerárquico superior.

  4. Haz clic en Verificación posterior al SSO.
  5. Elige los ajustes en función de cómo utilices los perfiles de SSO de tu organización. Puedes aplicar un ajuste a los usuarios que utilizan el perfil de SSO antiguo y a los que inician sesión con otros perfiles de SSO.
  6. Abajo a la derecha, haz clic en Guardar.

    Google creará una entrada en el registro de auditoría de la consola de administración para indicar cualquier cambio en la política.

El ajuste predeterminado de la verificación posterior al SSO depende del tipo de usuario del SSO:

  • En el caso de los usuarios que inician sesión con el perfil de SSO antiguo, el ajuste predeterminado es ignorar las verificaciones de la identidad adicionales y la verificación en dos pasos.
  • En el caso de los usuarios que inician sesión con otros perfiles de SSO, el ajuste predeterminado es aplicar métodos de verificación de la identidad adicionales y la verificación en dos pasos.

Consulta también

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
15694857003646703694
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false