Notificación

Planning your return to office strategy? See how ChromeOS can help.

Configura el SSO y el aprovisionamiento de usuarios entre el ID de Microsoft Entra y ChromeOS

Como administrador, puedes configurar el aprovisionamiento de usuarios y el inicio de sesión único (SSO) entre un usuario de Microsoft Entra ID y tu cuenta de Google Workspace o Cloud Identity. Luego, tus usuarios podrán acceder a una página de autenticación de Microsoft Entra ID en lugar de a la pantalla de Acceso con Google en sus dispositivos ChromeOS.

El inicio de sesión único (SSO) basado en el lenguaje de marcado para confirmaciones de seguridad (SAML) es compatible con dispositivos ChromeOS. Esto permite que los usuarios accedan a un dispositivo con los mismos mecanismos de autenticación que utilizas en el resto de tu organización. Las contraseñas de estos usuarios pueden permanecer dentro del proveedor de identidad (IdP) de su organización. El acceso es de forma muy similar a como se accede a una cuenta de Google Workspace desde un navegador mediante el SSO de SAML. Sin embargo, como un usuario accede a su cuenta en un dispositivo, existen varias consideraciones adicionales.

Antes de comenzar

  • Tu dominio está configurado con Microsoft Entra ID y Google (Workspace o Cloud Identity).
  • Los nombres de las cuentas de usuario son los mismos para Microsoft Entra ID y para Google. El directorio de Microsoft Entra ID contiene tu dominio como un subdominio registrado.
  • Estos pasos no requieren una federación local, como los Servicios de federación de Active Directory (AD FS). Sin embargo, sí dependen del servicio basado en la nube equivalente que incluye el nivel gratuito de Microsoft Entra ID.

Instructivos

Paso 1: Cree una aplicación empresarial
  1. Accede al Portal de Microsoft Azure.
  2. En el cuadro de búsqueda que aparece en la parte superior, ingrese enterprise application y selecciónela en la lista de resultados de la búsqueda.
  3. En la parte superior del panel Enterprise applications, haga clic en New application.
  4. En Cloud Platform, haga clic en Google Cloud Platform.
  5. Luego, haga clic en Google Cloud/G Suite Connector by Microsoft.
  6. En Nombre, ingrese Conector de Google Cloud o G Suite de Microsoft.
  7. Haga clic en Crear.
Paso 2: Asigne un usuario específico a su aplicación empresarial

En el portal de Microsoft Azure, haz lo siguiente:

  1. A la izquierda, en Administrar, haga clic en Usuarios y grupos. O bien, en la página de información general, en la sección Comenzar, haga clic en Assign users and groups.
  2. En la parte superior del panel Usuarios y grupos, haz clic en Add user/group.
  3. En el panel Agregar asignación que se encuentra a la izquierda, en Usuarios, haga clic en None selected.
  4. En el panel Usuarios, seleccione el usuario que desee.
  5. Haz clic en Seleccionar.
  6. En el panel Agregar asignación, haga clic en Asignar.
Paso 3: Configure el SSO con SAML

En el portal de Microsoft Azure, haz lo siguiente:

  1. A la izquierda, en Administrar, haz clic en Inicio de sesión único.
  2. Seleccione un método de inicio de sesión único. Haga clic en SAML.
  3. En la página de inicio de sesión basada en SAML, vaya a Basic SAML Configuration.
  4. Haz clic en Editar.
  5. Configure el identificador (ID de la entidad). Agregue las URLs:
    • google.com/a/sudominio.com
    • https://google.com/a/sudominio.com
  6. Configure la URL de respuesta (URL del servicio de confirmación de consumidores):
    1. Agregue las URLs:
      • https://www.google.com/acs
      • https://www.google.com/a/sudominio.com/acs
    2. Defina la configuración predeterminada:
      • Marque la casilla Predeterminada junto a https://www.google.com/a/sudominio.com/acs.
  7. Configure la URL de acceso. Agregue la URL:
    • https://www.google.com/a/sudominio.com/ServiceLogin?continue=https://mail.google.com
  8. Haz clic en Guardar.
  9. Descargue la versión Base64 del certificado:
    1. En la página de inicio de sesión basada en SAML, vaya a SAML Signing Certificate.
    2. Junto a Certificate (Base64), haga clic en Descargar.
  10. Recopila la información que necesitarás para configurar la aplicación del Conector de Google Cloud o G Suite de Microsoft para vincularla con Microsoft Entra ID:
    1. En la página de inicio de sesión basada en SAML, vaya a Set up Google Cloud/G Suite Connector by Microsoft.
    2. Copie las URLs:
      • URL de acceso: La página en la que los usuarios acceden a su sistema y a Google Workspace.
      • URL de cierre de sesión: La página a la que se redirecciona a los usuarios después de cerrar la sesión.
Paso 4: Configura el SSO de Microsoft Entra

Establezca la configuración de IdP de terceros

  1. Accede a la Consola del administrador de Google.

    Accede con tu cuenta de administrador (no termina en @gmail.com).

  2.  In the Admin console, go to Menu and then Securityand thenOverview.
  3. Haga clic en Configurar el inicio de sesión único (SSO) con un IdP externo.
  4. Haga clic en Agregar perfil de SSO.
  5. Marque la casilla Configurar el SSO con un Proveedor de identidad de terceros.
  6. Ingrese las URLs de sus IdP de terceros:
    1. URL de la página de acceso: Pegue la URL de acceso que copió en el Paso 3.
    2. URL de la página de cierre de sesión: Pegue la URL de cierre de sesión que copió en el Paso 3.
      Nota: Las URLs deben usar HTTPS.
  7. Haga clic en Reemplazar el certificado.
  8. Seleccione el archivo que quiera utilizar y haga clic en Abrir.
  9. Haga clic en la casilla Utilizar una entidad emisora específica del dominio.
  10. Para cambiar la URL de la contraseña, ingrese la URL:
    • https://account.activedirectory.windowsazure.com/changepassword.aspx
  11. Haz clic en Guardar.

Define la configuración del usuario

Siga estos pasos en la Consola del administrador:

  1. En la Consola del administrador, ve a Menú and then Dispositivosand thenChromeand thenConfiguración. La página Configuración de usuarios y del navegador se abre de forma predeterminada.

    Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú and then Navegador Chromeand thenConfiguración.

  2. To apply the setting to all devices, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  3. Vaya a Seguridad.
  4. Para el inicio de sesión único, seleccione Habilitar el inicio de sesión único basado en SAML para los dispositivos Chrome.
  5. Para la frecuencia de acceso mediante un inicio de sesión único basado en SAML, ingrese un valor inferior a la hora de vencimiento de la contraseña (opcional). Para obtener más detalles sobre este parámetro de configuración, consulte Cómo configurar políticas de usuario en Chrome.
  6. Haz clic en Guardar.

Define los parámetros de configuración de los dispositivos

Siga estos pasos en la Consola del administrador:

  1. En la parte superior de la página, haga clic en Configuración del dispositivo. O bien, en la página principal de la Consola del administrador, vaya a Dispositivosy luegoChromey luegoConfiguracióny luegoDispositivo.
  2. To apply the setting to all devices, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  3. Vaya a Configuración de acceso.
  4. Para el redireccionamiento del IdP de inicio de sesión único, seleccione Permitir que los usuarios vayan directamente a la página del IdP del SSO de SAML. Para averiguar detalles de este parámetro de configuración, consulte Gestionar la configuración de dispositivos Chrome.
  5. Para el comportamiento de las cookies de inicio de sesión único, seleccione Habilitar la transferencia de cookies del SSO de SAML a la sesión del usuario durante el acceso. Para averiguar detalles de este parámetro de configuración, consulte Gestionar la configuración de dispositivos Chrome.
  6. Haz clic en Guardar.
Paso 5: Prueba los dispositivos ChromeOS
  1. Enciende un dispositivo ChromeOS administrado.
  2. En la página de acceso a la Chromebook, haga clic en Siguiente.
  3. En la página de acceso de Microsoft, ingrese su nombre de usuario de AD.
  4. Presiona Siguiente.
  5. Escribe la contraseña.
  6. Haz clic en Acceder.
  7. Para mantener el acceso y la sesión del usuario, haga clic en .
Paso 6: Configura el aprovisionamiento de usuarios de Microsoft Entra ID

Cuando se registró en Cloud Identity o Google Workspace, creó una cuenta de administrador avanzado. Si bien puedes usarlo para Microsoft Entra ID, te recomendamos que cree una cuenta de administrador avanzado independiente que se use exclusivamente con Microsoft Entra ID.

Crear usuario

  1. Accede a la Consola del administrador de Google.

    Accede con tu cuenta de administrador (no termina en @gmail.com).

  2. In the Admin console, go to Menu and then Directoryand thenUsers.
  3. En la parte superior de la página, haga clic en Agregar un nuevo usuario (Add new user).

    Add new user is selected at the top of the users table.

  4. Ingrese la información de la cuenta. Para obtener más información, consulta Agregar una cuenta para un usuario nuevo.
  5. Haga clic en Agregar un nuevo usuario.
  6. Para terminar de agregar al usuario nuevo, haga clic en Listo.

Convierta un usuario en administrador avanzado

Siga estos pasos en la Consola del administrador:

  1. In the Admin console, go to Menu and then Directoryand thenUsers.
  2. En la lista Usuarios, busque el usuario nuevo que acaba de crear.
  3. Haga clic en el nombre del usuario para abrir la página de su cuenta.
  4. Haga clic en la opción Roles y privilegios de administrador.

    Points out Administrative roles link.

  5. Haga clic en Asignar roles.
  6. Junto al rol de administrador avanzado, haga clic en el control deslizante para marcarlo como Asignado .
  7. Haz clic en Guardar.
    Sugerencia: Pídale al nuevo administrador que agregue opciones de recuperación a su cuenta.

Generalmente, el usuario se convierte en administrador en cuestión de minutos. Sin embargo, es posible que demore hasta 24 horas.

Administre el aprovisionamiento de las cuentas de usuario

  1. Accede al portal de Microsoft Azure.
  2. En el cuadro de búsqueda que aparece en la parte superior, ingrese enterprise application y selecciónela en la lista de resultados de la búsqueda.
  3. Busque Google Cloud/G Suite Connector by Microsoft y haga clic en él.
  4. A la izquierda, en Administrar, haga clic en Aprovisionamiento.
  5. Haz clic en Comenzar.
  6. En el modo de Aprovisionamiento, seleccione Automático.
  7. Haga clic en Admin Credentials.
  8. Haga clic en Autorizar.
  9. Acceda con la nueva cuenta de administrador avanzado que acaba de crear.
  10. Haga clic en Permitir para confirmar el acceso a la API de Cloud Identity.
  11. En Credenciales del administrador, haga clic en Probar conexión. Verá un mensaje que le indicará si está autorizado para habilitar el aprovisionamiento.
  12. En Mappings, configure el aprovisionamiento de usuarios o grupos (opcional). Le recomendamos utilizar la configuración predeterminada.
  13. Haz clic en Guardar.
  14. En la parte superior de la página de Aprovisionamiento, haga clic en Start provisioning.
  15. Espere hasta que se complete la sincronización.

Temas relacionados

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los otros nombres de productos y empresas son marcas de las empresas con las que estén asociados.

¿Te resultó útil esto?

¿Cómo podemos mejorarla?
true
Búsqueda
Borrar búsqueda
Cerrar la búsqueda
Menú principal
14160372569580806249
true
Buscar en el Centro de asistencia
true
true
true
true
true
410864
false
false