Configurar el inicio de sesión único basado en SAML en dispositivos Chrome

Como los dispositivos Chrome admiten el inicio de sesión único (SSO) basado en lenguaje de marcado para confirmaciones de seguridad (SAML), los usuarios pueden iniciar sesión en un dispositivo Chrome utilizando los mismos mecanismos de autenticación que se emplean en el resto de tu organización. Sus contraseñas pueden mantenerse en el proveedor de identidades (IdP) de tu organización. El inicio de sesión es muy similar a iniciar sesión en una cuenta de G Suite desde un navegador mediante el inicio de sesión único basado en SAML con G Suite. No obstante, como el usuario inicia sesión en un dispositivo, se deben tener en cuenta varias consideraciones adicionales.

Requisitos

  • Un dispositivo Chrome que ejecute la versión 36 o superior de Chrome OS
  • Un dominio configurado para el inicio de sesión único (SSO) basado en SAML en G Suite
  • Una URL basada en SAML que utilice HTTPS, y no HTTP
  • Licencias de Chrome para los dispositivos

Paso 1:

Si aún no lo has hecho, configura el inicio de sesión único (SSO) con tu cuenta de G Suite.

Paso 2:

Configura y prueba el inicio de sesión único basado en SAML en un dominio de prueba propio. Si no eres propietario de un dominio de prueba, puedes probar el inicio de sesión único basado en SAML con un pequeño número de usuarios si creas un grupo de prueba y habilitas el inicio de sesión único para los usuarios de ese grupo únicamente. Tras probar el inicio de sesión único basado en SAML con un pequeño grupo de usuarios, lánzalo para el 5 % de los usuarios aproximadamente.

  1. En la Consola de administración de Google, haz clic en Administración de dispositivos > Administración de Chrome > Configuración de usuario y de navegador.
  2. Debajo de Inicio de sesión único, selecciona Habilitar inicio de sesión único basado en SAML para dispositivos Chrome en el menú desplegable.
  3. Haz clic en Guardar cambios.

Paso 3 (opcional):

Si quieres permitir que los usuarios de SSO inicien sesión en páginas web internas y servicios en la nube que dependan del mismo proveedor de identidades las próximas veces que accedan a ellos desde sus dispositivos Chrome, habilita las cookies de SSO basado en SAML.

Ve a Administración de dispositivos > Administración de Chrome > Configuración del dispositivo > Comportamiento de cookies de inicio de sesión único. Más información sobre esta configuración

Paso 4 (opcional):

Si quieres permitir que los usuarios de inicio de sesión único accedan directamente a la página del IdP de SAML sin tener que escribir antes su dirección de correo electrónico, puedes habilitar la redirección del IdP en el inicio de sesión único.

Ve a Administración de dispositivos > Administración de Chrome > Configuración del dispositivo > Redireccionamiento del proveedor de identidades de inicio de sesión único. Más información sobre esta configuración

Paso 5:

Después de probar el inicio de sesión único basado en SAML para dispositivos Chrome con el 5 % de tu organización, puedes lanzarla globalmente si habilitas la misma política para grupos adicionales. Si tienes algún problema, ponte en contacto con Asistencia para Google Cloud.

Una vez que se haya configurado este ajuste, los usuarios verán los pasos siguientes cuando inicien sesión en un dispositivo Chrome.

Iniciar sesión en un dispositivo Chrome con el inicio de sesión único basado en SAML

Una vez que se haya configurado el SSO basado en SAML en los dispositivos Chrome de tu organización, los usuarios verán los siguientes pasos cuando inicien sesión en uno de esos dispositivos.

Requisitos

Procedimiento para iniciar sesión:

Explica a los usuarios que deben seguir estos pasos la primera vez que inicien sesión en su dispositivo Chrome. Nota: Antes de implementarlo en toda tu organización, prueba este procedimiento.

  1. Escribe tu nombre de usuario (dirección completa de correo electrónico) en la página de inicio de sesión en el dispositivo Chrome. En este paso no hace falta indicar la contraseña.
  2. Se abrirá la página de inicio de sesión único basado en SAML de tu organización. Escribe tus credenciales de SAML en la página de inicio de sesión del proveedor de SAML.
  3. Si ves un mensaje en el que se explica que tienes que volver a escribir la contraseña para iniciar sesión, escríbela. Este paso solo es necesario si tu proveedor de identidades todavía no ha implementado la API de Credentials Passing. Debes permitir el acceso sin conexión a tu dispositivo Chrome y también la capacidad de desbloquearlo.
  4. En cuanto inicies sesión, se abrirá el navegador. La próxima vez que inicies sesión, solo tendrás que escribir tu contraseña una vez, cuando enciendas el dispositivo Chrome. Si tienes problemas, consulta a tu administrador de TI.

Preguntas frecuentes

Después de iniciar sesión con mi proveedor de SAML, aparece un mensaje que indica que vuelva a introducir la contraseña. ¿Es normal?

Sí. este paso es necesario para permitir el acceso sin conexión a tu dispositivo Chrome y poder desbloquearlo. Disponemos de una API que los proveedores SAML pueden implementar para que este paso de confirmación no sea indispensable.

Si un usuario cambia su contraseña en otro dispositivo, ¿cómo puedo asegurarme de que el dispositivo Chrome se actualice para desbloquearse con la nueva contraseña?

Te recomendamos que sigas el sencillo método de actualización de nuestra API del directorio, de forma que nuestro servidor de autenticación reciba un aviso cuando se cambie una contraseña. Escribe la contraseña en el cuerpo de la solicitud. Si no se utiliza dicha API, el cambio de contraseña se detectará en el siguiente flujo de acceso online. De forma predeterminada, el dispositivo Chrome forzará un inicio de sesión online cada 14 días aunque la contraseña no se haya cambiado. Puedes cambiar la frecuencia temporal en la Consola de administración. Para ello, accede a Administración de dispositivos > Administración de Chrome > Configuración de usuario y de navegador > Frecuencia de acceso online mediante inicio de sesión único.

Mi contraseña tiene caracteres especiales, ¿puedo utilizarla?

Solo admitimos caracteres ASCII imprimibles.

Aparece la pantalla "¡Vaya! No se ha podido iniciar sesión porque se ha configurado para utilizar una URL no segura. Ponte en contacto con tu administrador o inténtalo de nuevo". ¿Qué debo hacer?

Si los empleados informan de este mensaje de error, significa que el proveedor de identidad SAML está intentando utilizar una URL HTTP cuando solo se admite HTTPS. Es importante que todo el flujo del inicio de sesión utilice HTTPS solamente. Por lo tanto, aunque el formulario de inicio de sesión inicial se muestre mediante HTTPS, es posible que aparezca dicho error si tu IdP redirige a una URL HTTP posteriormente en el flujo de inicio de sesión. Si has solucionado este problema y los usuarios siguen recibiendo el mensaje de error, ponte en contacto con Asistencia para Google Cloud.

Soy administrador de TI. ¿Por qué no se me redirige a mi proveedor de identidad SAML?

Es un comportamiento programa. En caso de que se produzca algún problema durante la configuración, el administrador debe poder acceder para solucionarlo.

¿Se puede usar el SSO con filtros de contenido TLS y SSL?

Sí. Sigue las instrucciones sobre cómo configurar la inspección TLS (o SSL) en dispositivos Chrome. Además de los dominios que figuran en la lista blanca del artículo sobre cómo configurar una lista blanca de nombres de host, también tienes que incluir el dominio de tu proveedor de identidades para el inicio de sesión único y la dirección www.google.com.

¿Cómo funciona el SSO con los permisos de la cámara?

Para permitir que software de terceros acceda directamente a la cámara de los dispositivos en nombre de tus usuarios de SSO, puedes habilitar dicho servicio en los permisos de la cámara.

Ve a Administración de dispositivos > Administración de Chrome > Configuración del dispositivo > Lista blanca de permisos de la cámara con inicio de sesión único. Más información sobre esta configuración

Al habilitar esta política, el administrador permite a los servicios externos acceder a las cámaras de los usuarios en nombre de estos. El administrador debe asegurarse de que se proporcionan los formularios de consentimiento oportunos a los usuarios, ya que el sistema no ofrece dichos formularios a los usuarios finales cuando se concede permiso para acceder a la cámara mediante esta política.

 

 

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?