Notificación

¿Estás planificando tu estrategia de regreso a la oficina? Descubre cómo puede ayudarte Chrome OS.

Configurar el SSO y el aprovisionamiento de usuarios entre Microsoft Entra ID y ChromeOS

Como administrador, puedes configurar el aprovisionamiento de usuarios y el inicio de sesión único (SSO) entre un cliente de Microsoft Entra ID y tu cuenta de Google Workspace o Cloud Identity. De esta forma, tus usuarios podrán iniciar sesión en una página de autenticación de Microsoft Entra ID en lugar de en la pantalla de inicio de sesión de Google desde sus dispositivos ChromeOS.

El inicio de sesión único (SSO) basado en lenguaje de marcado para confirmaciones de seguridad (SAML) en dispositivos ChromeOS permite a los usuarios iniciar sesión en un dispositivo con los mismos mecanismos de autenticación que se utilizan en el resto de tu organización. Además, sus contraseñas pueden mantenerse en el proveedor de identidades (IdP) de tu organización. El inicio de sesión es muy similar a iniciar sesión en una cuenta de Google Workspace desde un navegador mediante el inicio de sesión único basado en SAML. No obstante, como el usuario inicia sesión en un dispositivo, se deben tener en cuenta varias cuestiones adicionales.

Antes de empezar

  • Tu dominio se configura en Microsoft Entra ID y Google (Workspace o Cloud Identity).
  • Los nombres de las cuentas de usuario de Microsoft Entra ID y de Google son los mismos. El directorio de Microsoft Entra ID contiene tu dominio como subdominio registrado.
  • Para realizar estos pasos no se requiere una federación local, como Servicios de federación de Active Directory (ADFS). Sin embargo, se requiere el servicio equivalente basado en la nube incluido con el nivel gratuito de Microsoft Entra ID.

Procedimiento

Paso 1: Crea una aplicación de empresa
  1. Inicia sesión en el portal de Microsoft Azure.
  2. En el cuadro de búsqueda de la parte superior, escribe aplicación empresarial y selecciónala en la lista de resultados de búsqueda.
  3. En la parte superior del panel Aplicaciones empresariales, haz clic en Nueva aplicación.
  4. En la opción de plataformas de nube, haz clic en Google Cloud Platform.
  5. Haz clic en Google Cloud/G Suite Connector by Microsoft.
  6. En Nombre, introduce Google Cloud/G Suite Connector by Microsoft.
  7. Haz clic en Crear.
Paso 2: Asigna un usuario específico a tu aplicación empresarial

En el portal de Microsoft Azure:

  1. En la parte izquierda, en Administrar, haz clic en Usuarios y grupos. O bien, en la página Información general, en Introducción, haz clic en Asignar usuarios y grupos.
  2. En la parte superior del panel Usuarios y grupos, haz clic en Agregar usuario/grupo.
  3. En la parte izquierda del panel Agregar asignación, en Usuarios, haz clic en Ninguna seleccionada.
  4. En el panel Usuarios, selecciona el usuario que quieras.
  5. Haz clic en Seleccionar.
  6. En el panel Agregar asignación, haz clic en Asignar.
Paso 3: Configura el SSO con SAML

En el portal de Microsoft Azure:

  1. En la parte izquierda, en Administrar, haz clic en Inicio de sesión único.
  2. Selecciona un método de inicio de sesión único. Haz clic en SAML.
  3. En la página de inicio de sesión basado en SAML, ve a Configuración básica de SAML.
  4. Haz clic en Editar.
  5. Configura el identificador (ID de entidad). Añade URLs:
    • google.com/a/tudominio.com
    • https://google.com/a/tudominio.com
  6. Configura la URL de respuesta (URL del servicio de consumidor de aserciones):
    1. Añade URLs:
      • https://www.google.com/acs
      • https://www.google.com/a/tudominio.com/acs
    2. Elige la opción predeterminada:
      • Junto a https://www.google.com/a/tudominio.com/acs, marca la casilla Predeterminado.
  7. Configura la URL de inicio de sesión. Añade la URL:
    • https://www.google.com/a/tudominio.com/ServiceLogin?continue=https://mail.google.com
  8. Haz clic en Guardar.
  9. Descarga la versión Base64 del certificado:
    1. En la página de inicio de sesión basado en SAML, ve a Certificado de firma de SAML.
    2. Junto a Certificado (Base64), haz clic en Descargar.
  10. Reúne la información que necesitarás para configurar la aplicación Google Cloud/G Suite Connector by Microsoft de forma que se vincule con Microsoft Entra ID:
    1. En la página de inicio de sesión basado en SAML, ve a Configurar Google Cloud/G Suite Connector by Microsoft.
    2. Copia las URLs:
      • URL de inicio de sesión: la página en la que los usuarios inician sesión en tu sistema y en Google Workspace.
      • URL de cierre de sesión: la página a la que se redirige a los usuarios después de cerrar sesión.
Paso 4: Configura el SSO en Microsoft Entra ID

Configurar los ajustes de un proveedor de identidades externo

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2.  En la consola de administración, ve a Menú y luego Seguridady luegoInformación general.
  3. Haz clic en Configurar el inicio de sesión único (SSO) con un proveedor de identidades (IdP) externo.
  4. Haz clic en Añadir perfil de SSO.
  5. Marca la casilla Configurar el SSO con un proveedor de identidades externo.
  6. Introduce las URLs de tus proveedores de identidades externos:
    1. URL de la página de inicio de sesión: pega la URL de inicio de sesión que copiaste en el paso 3 de este artículo.
    2. URL de la página de cierre de sesión: pega la URL de cierre de sesión que copiaste en el paso 3 de este artículo.
      Nota: Las URLs deben usar HTTPS.
  7. Haz clic en Reemplazar certificado.
  8. Selecciona el archivo que quieras usar y haz clic en Abrir.
  9. Haz clic en la casilla Utilizar una entidad emisora específica del dominio.
  10. En URL de cambio de contraseña, introduce la URL:
    • https://account.activedirectory.windowsazure.com/changepassword.aspx
  11. Haz clic en Guardar.

Configurar los ajustes de usuario

En la consola de administración:

  1. En la consola de administración, ve a Menú y luego Dispositivosy luegoChromey luegoConfiguración. La página Configuración de usuarios y navegadores se abre de forma predeterminada.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chromey luegoConfiguración.

  2. Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
  3. Ve a Seguridad.
  4. En Inicio de sesión único, selecciona Habilitar inicio de sesión único basado en SAML en dispositivos Chrome.
  5. (Opcional) En Frecuencia de acceso mediante inicio de sesión único basado en SAML, introduce un valor que sea inferior al periodo de caducidad de la contraseña. Para obtener más información sobre este ajuste, consulta el artículo Definir políticas de Chrome para usuarios o navegadores.
  6. Haz clic en Guardar.

Configurar los ajustes de dispositivo

En la consola de administración:

  1. En la parte superior de la página, haz clic en Configuración del dispositivo. O bien, en la página principal de la consola de administración, ve a Dispositivosy luegoChromey luegoConfiguracióny luegoDispositivo.
  2. Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
  3. Ve a Configuración de inicio de sesión.
  4. En Redireccionamiento al proveedor de identidades de inicio de sesión único, selecciona Permitir que los usuarios vayan directamente a la página del proveedor de identidades para el inicio de sesión único de SAML. Para obtener más información sobre este ajuste, consulta el artículo Configurar políticas de dispositivos Chrome.
  5. En Comportamiento de cookies de inicio de sesión único, selecciona Habilitar la transferencia de cookies de inicio de sesión único basado en SAML a la sesión de usuario durante el acceso. Para obtener más información sobre este ajuste, consulta el artículo Configurar políticas de dispositivos Chrome.
  6. Haz clic en Guardar.
Paso 5: Prueba los dispositivos ChromeOS
  1. Activa un dispositivo ChromeOS gestionado.
  2. En la página de inicio de sesión en tu Chromebook, haz clic en Siguiente.
  3. En la página de inicio de sesión de Microsoft, introduce tu nombre de usuario de Active Directory.
  4. Haz clic en Siguiente.
  5. Escribe tu contraseña.
  6. Haz clic en Iniciar sesión.
  7. Para mantener la sesión iniciada y acceder a la sesión del usuario, haz clic en .
Paso 6: Configura el aprovisionamiento de usuarios de Microsoft Entra ID

Cuando te registraste en Cloud Identity o en Google Workspace, creaste una cuenta de superadministrador. Aunque puedes usarla en Microsoft Entra ID, te recomendamos que crees una cuenta de superadministrador independiente para usarla exclusivamente en Microsoft Entra ID.

Crear usuario

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Directorioy luegoUsuarios.
  3. En la parte superior de la página, haz clic en Añadir usuario nuevo.

    Añadir usuario nuevo está seleccionado en la parte superior de la tabla de usuarios.

  4. Introduce la información de tu cuenta. Para obtener más información, consulta cómo añadir una cuenta para un usuario nuevo.
  5. Haz clic en Añadir usuario nuevo.
  6. Para terminar de añadir al usuario, haz clic en Listo.

Convertir al usuario en superadministrador

En la consola de administración:

  1. En la consola de administración, ve a Menú y luego Directorioy luegoUsuarios.
  2. En la lista Usuarios, localiza al usuario que acabas de crear.
  3. Haz clic en el nombre del usuario para abrir la página de su cuenta.
  4. Haz clic en Privilegios y funciones de administrador.

    Se señala el enlace Funciones administrativas.

  5. Haz clic en Asignar roles.
  6. Junto al rol Superadministrador, haz clic en el control deslizante para marcarlo como Asignado .
  7. Haz clic en Guardar.
    Nota: Pide al nuevo administrador que añada opciones de recuperación a su cuenta.

Normalmente, el usuario se convierte en administrador en unos minutos. Sin embargo, puede tardar hasta 24 horas.

Gestionar el aprovisionamiento de cuentas de usuario

  1. Inicia sesión en el portal de Microsoft Azure.
  2. En el cuadro de búsqueda de la parte superior, escribe aplicación empresarial y selecciónala en la lista de resultados de búsqueda.
  3. Busca y haz clic en Google Cloud/G Suite Connector by Microsoft.
  4. En la parte izquierda, en Administrar, haz clic en Aprovisionamiento.
  5. Haz clic en Empezar.
  6. En Modo de aprovisionamiento, selecciona Automático.
  7. Haz clic en Credenciales de administrador.
  8. Haz clic en Autorizar.
  9. Inicia sesión con la cuenta de superadministrador que acabas de crear.
  10. Haz clic en Permitir para confirmar el acceso a la API de Cloud Identity.
  11. En Credenciales de administrador, haz clic en Probar conexión. Aparecerá un mensaje en el que se te indicará si tienes autorización para habilitar el aprovisionamiento.
  12. (Opcional) En Asignaciones, configura el aprovisionamiento de usuarios o grupos. Te recomendamos que utilices la configuración predeterminada.
  13. Haz clic en Guardar.
  14. En la parte superior de la página Aprovisionamiento, haz clic en Iniciar aprovisionamiento.
  15. Espera a que se complete la sincronización.

Temas relacionados

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
5486513147607979658
true
Buscar en el Centro de ayuda
true
true
true
true
true
410864
false
false