Accede a Chrome con un Microsoft Entra ID

Como administrador, puedes usar la Consola del administrador de Google para configurar perfiles de Chrome y que los usuarios puedan acceder al navegador Chrome con sus credenciales de terceros, como Microsoft Entra ID, en cualquier computadora con Windows, Mac o Linux.

Paso 1: Crea una app de OIDC en Microsoft Entra ID

Nota: Para crear una app de OpenID Connect (OIDC), debes tener una cuenta de Microsoft Azure con el rol de administrador de aplicaciones o administrador de aplicaciones en la nube.

1. Registra la app de OIDC

  1. En el portal de Microsoft Azure, ve al servicio de Microsoft Entra ID.
  2. A la izquierda, selecciona App registrationsand thenNew registration.
  3. En la página de registro de la app, ingresa lo siguiente:
    1. Asigna a la aplicación un nombre adecuado, como Inscripción de perfiles de Chrome.
    2. En Supported account type, elige el tipo de directorio que mejor se adapte a tu organización actual.
    3. En URI de redireccionamiento, deja este campo en blanco.
    4. Haz clic en Register.
      Una vez que se cree la aplicación, se abrirá la página de configuración del registro de la aplicación.
      Nota: Si no se abre la página de configuración, puedes navegar a ella desde la página principal de Microsoft Entra ID, seleccionar App registrationsand thenAll applications y, luego, seleccionar la aplicación que acabas de crear.
  4. En la página Overview copia el Application (client) ID y elDirectory (tenant) ID para usarlos más adelante.

2. Configura la autenticación y los URI de redireccionamiento

En la página Overview de la app, haz lo siguiente:

  1. Ve a Manageand thenAuthenticationand thenPlatform configurations.
  2. Haz clic en Add a platform.
  3. Selecciona Web.
  4. Ingresa este Redirect URIhttps://chromeenterprise.google/profile-enrollment/register-handler
  5. Haz clic en Configure o Save.

3. Genera el secreto del cliente

En la página Overview de la app, haz lo siguiente:

  1. Ve a Manageand thenCertificates & secrets.
  2. En la pestaña Client secrets, haz clic en + New client secret.
  3. Ingresa una descripción pertinente, como Secreto de la app de inscripción de Chrome.
  4. Selecciona un período de vencimiento adecuado (por ejemplo, 6 meses o 1 año) y planifica la rotación.

    Importante: Para evitar interrupciones, comunícate con los administradores correspondientes y notifícales esta fecha de vencimiento.

  5. Haz clic en Add y copia el valor del secreto del cliente para usarlo en pasos posteriores.

    Importante: Este valor solo se muestra una vez y no se puede recuperar más adelante, por lo que debes almacenarlo de forma segura.

4. Identifica la URL del emisor

En la página Overview de la app, haz lo siguiente:

  1. Ve a Manageand thenEndpoints.
  2. Busca OpenID Connect metadata document y copia este URI para usarlo en pasos posteriores.

    Nota: El URI es la URL del emisor que usarás para la configuración del conector de Inscripción universal en la Consola del administrador de Google. Para ello, solo necesitas la URL base del conector, por ejemplo, https://login.microsoftonline.com/{tenant-id}/v2.0.

5. Configura reclamos para el correo electrónico y el token de inscripción

En la página Overview de la app, para el reclamo de correo electrónico estándar, haz lo siguiente:

  1. Ve a Manageand thenToken configuration.
  2. Haz clic en + Add optional claim.
  3. Selecciona ID como el tipo de token.
  4. Selecciona los reclamos opcionales que mejor se adapten a los atributos del usuario. Por ejemplo, email, preferred_username, upn, etcétera.

    Nota: Si se te solicita, habilita el permiso de correo electrónico de Microsoft Graph.

  5. Haz clic en Agregar.

Paso 2: Crea un conector de inscripción basado en la identidad

Nota: Debes ser administrador avanzado para agregar configuraciones de proveedores nuevos. Para obtener más información sobre la función de administrador avanzado, consulta Roles de administrador predefinidos.

  1. Accede con una cuenta de administrador a Consola del administrador de Google.

    Si no usas una cuenta de administrador, no podrás acceder a la Consola del administrador.

  2. Ve a Menú and then Navegador Chrome > Conectores.

    Es necesario tener el privilegio de administrador de Chrome.

  3. Si es la primera vez que configura los conectores de Chrome Enterprise, siga las instrucciones para activar Chrome Enterprise Connectors (opcional).
  4. En la parte superior, haz clic en Nueva configuración de proveedor.
  5. En el panel que aparece a la derecha, selecciona el conector Inscripción universal.
  6. Haz clic en Configurar.
  7. Ingresa los detalles de configuración con los valores registrados en el Paso 1: Crea una app de OIDC en Microsoft Entra ID.
    1. Nombre de la configuración: Ingresa un nombre descriptivo.
    2. ID de cliente: Ingresa el ID de la aplicación (cliente) que copiaste cuando registraste la app de OIDC.
    3. Secreto del cliente: Ingresa el valor que copiaste cuando generaste el secreto del cliente.
    4. URL del emisor: Ingresa la URL base que copiaste cuando identificaste la URL del emisor. Por ejemplo, https://login.microsoftonline.com/{tenant-id}/v2.0.
    5. Nombre de la reclamación de correo electrónico: Ingresa el atributo de usuario único preferido. Por ejemplo, emailpreferred_username, upn, etcétera.
    6. Nombre de la declaración del token de inscripción: Ingresa roles.
  8. Una vez que se complete la validación, haz clic en Agregar configuración.

Paso 3: Genera un token de inscripción

Sigue estos pasos en la Consola del administrador de Google:

  1. Genere un token de inscripción. Consulta Cómo generar un token de inscripción.
  2. Copia el token para usarlo en el siguiente paso.

Paso 4: Asigna usuarios y tokens de inscripción a la app

  1. Vuelve al portal de Microsoft Azure.
  2. Ve a App registrationsand thenMicrosoft Entra IDand thenApp registration.
  3. En la página Overview de la app, ve a Manageand thenApp roles.
  4. Haz clic en Create app role.
  5. Completa los valores de la siguiente manera:
    1. Display name y Description: Ingresa un nombre descriptivo para la inscripción.
    2. Value: Ingresa el token de inscripción que copiaste de la Consola del administrador en Paso 3: Genera un token de inscripción.
    3. Haz clic en Enable para validar el rol de la app.
  6. Haz clic en Apply o Save.
  7. En la página principal, ve a Enterprise Applications.
  8. Selecciona tu Registered Enrollment Application:
    • Asigna usuarios y grupos.
    • Agrega un usuario o grupo. Selecciona los usuarios o grupos necesarios para la inscripción. Los grupos de Microsoft 365 o de seguridad son válidos.
  9. Haz clic en Seleccionar para confirmar y, luego, en Asignar.

Paso 5: Registra un perfil

  1. Vuelve a la Consola del administrador de Google.
  2. Ve a Menú and then Navegador Chrome > Conectores.

    Es necesario tener el privilegio de administrador de Chrome.

  3. Selecciona el conector de inscripción basado en la identidad.
  4. En el panel lateral Detalles, copia la URL de inscripción.
  5. Abre el navegador Chrome (versión 134 o posterior).
  6. Navega a la URL de inscripción. Se te redireccionará a la página de acceso de tu IdP.
  7. Acepta la creación del perfil cuando Chrome te solicite el consentimiento.
  8. Una vez que completes la configuración, comparte la URL con tus usuarios para que puedan crear sus propios perfiles.

Paso 6 (opcional): Aplicación de políticas con el Acceso condicional

Puedes aplicar el uso del perfil de trabajo de Chrome creando políticas de acceso en el acceso condicional de Microsoft. Solo se podrá acceder a los recursos de tu empresa desde los perfiles que administra tu organización. Para obtener más detalles, consulta Configura el navegador Chrome para que aprovisione su propio certificado de cliente.

  1. Vuelve al portal de Microsoft Azure.
  2. Ve a Manageand thenAuthenticationand thenPlatform configurations.
  3. Haz clic en Add a platform.
    1. En la sección Implicit grant and hybrid flows, marca Access token e ID token; luego, haz clic en Save.
    2. A la izquierda, abre API permissions.
    3. Selecciona Add a permission y, luego, la API de Microsoft Graph.
      1. Selecciona Permisos delegados y elige los permisos email, openid y profile.
        Asegúrate de que el permiso predeterminado User.Read siga habilitado.
      2. Haz clic en Agregar permisos.
    4. A la izquierda, haz clic en Configuración del token.
    5. Selecciona Agregar reclamo opcional.
    6. En el tipo de token, selecciona ID y, luego, los reclamos auth_time y upn.
    7. Haz clic en Agregar.

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los otros nombres de productos y empresas son marcas de las empresas con las que estén asociados.

¿Te resultó útil esto?

¿Cómo podemos mejorarla?
true
Búsqueda
Borrar búsqueda
Cerrar la búsqueda
Apps de Google
Menú principal
13169618315228218496
true
Buscar en el Centro de asistencia
false
true
true
true
true
true
410864
false
false
false
false