Configurar el inicio de sesión único basado en SAML en dispositivos ChromeOS

El inicio de sesión único (SSO) basado en lenguaje de marcado para confirmaciones de seguridad (SAML) en dispositivos ChromeOS permite a los usuarios iniciar sesión en un dispositivo con los mismos mecanismos de autenticación que se utilizan en el resto de tu organización. Además, sus contraseñas pueden mantenerse en el proveedor de identidades (IdP) de tu organización. El inicio de sesión es muy similar a iniciar sesión en una cuenta de Google Workspace desde un navegador mediante el inicio de sesión único basado en SAML. No obstante, como el usuario inicia sesión en un dispositivo, se deben tener en cuenta varias cuestiones adicionales.

Para obtener más información, consulta el artículo Configurar el inicio de sesión único en cuentas de Google gestionadas a través de proveedores de identidades externos.

Requisitos

Un dispositivo ChromeOS con la versión 36 o una posterior
Haber configurado el dominio para utilizar el SSO basado en SAML en Google Workspace
Una URL basada en SAML que utilice HTTPS, y no HTTP
Licencias de ChromeOS para los dispositivos

Paso 1: Configura el SSO

Si aún no lo has hecho, configura el inicio de sesión único en cuentas de Google gestionadas a través de proveedores de identidades externos.

Paso 2: Prueba el SSO

Configura y prueba el inicio de sesión único basado en SAML en un dominio de prueba propio. Si no tienes ningún dominio de prueba, puedes probar el inicio de sesión único basado en SAML con un pequeño número de usuarios creando un grupo de prueba y habilitando el inicio de sesión único para los usuarios de ese grupo únicamente. Una vez que hayas probado el SSO basado en SAML con un pequeño grupo de usuarios, impleméntalo en el 5 % de las cuentas de usuario aproximadamente.

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú DispositivosChromeConfiguración. La página Configuración de usuarios y navegadores se abre de forma predeterminada.
Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú Navegador ChromeConfiguración.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Seguridad.
Haz clic en Single sign-on (Inicio de sesión único).
Selecciona Habilitar inicio de sesión único basado en SAML en dispositivos Chrome.
Haga clic en Guardar.

(Opcional) Paso 3: Habilita las cookies de SSO basado en SAML

Si activas las cookies de SSO basado en SAML, los usuarios en cuyas cuentas has habilitado el SSO podrán iniciar sesión en páginas web internas y en servicios en la nube que dependan del mismo proveedor de identidades las próximas veces que accedan a ellos desde sus dispositivos.

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Configuración de inicio de sesión.
Haz clic en Comportamiento de cookies de inicio de sesión único.
Selecciona Habilitar la transferencia de cookies de SSO basado en SAML a la sesión de usuario durante el inicio de sesión. Para ver más información, consulta el artículo Gestionar las políticas de los dispositivos ChromeOS.
Haga clic en Guardar.

(Opcional) Paso 4: Mantén las contraseñas locales de Chrome OS y las contraseñas de SSO basado en SAML sincronizadas

Puedes sincronizar las contraseñas locales de los dispositivos Chrome OS con las contraseñas de SSO basado en SAML de los usuarios.

De forma predeterminada, la contraseña local se actualiza cada vez que los usuarios inician sesión online. Puedes configurar la frecuencia con que los usuarios deben iniciar sesión online mediante los ajustes Frecuencia de acceso mediante inicio de sesión único basado en SAML o Frecuencia de desbloqueo mediante inicio de sesión único basado en SAML. Sin embargo, algunos usuarios podrían cambiar su contraseña de SSO basado en SAML antes de iniciar sesión online de nuevo. En ese caso, los usuarios seguirán utilizando la contraseña antigua de Chrome OS local hasta la próxima vez que inicien sesión online.

Para mantener la contraseña local de ChromeOS sincronizada con la contraseña de SSO basado en SAML, puedes forzar a los usuarios a iniciar sesión online en cuanto cambien su contraseña de SSO basado en SAML. De este modo, actualizarán su contraseña de ChromeOS casi al instante.

Para notificar a Google los cambios de contraseñas de los usuarios, puedes utilizar cualquiera de las siguientes opciones:
1. Integración con IdPs: por ejemplo, si utilizas Okta, puedes usar flujos de trabajo de Okta. Para obtener más información, consulta la documentación de GitHub.
2. Integración de Microsoft Entra ID: Change Password Notifier (CPN para Microsoft Entra ID) notifica a Google los cambios de contraseña en Microsoft Entra ID. Para obtener más información, consulta el artículo sobre cómo sincronizar contraseñas de ChromeOS con Change Password Notifier para Microsoft Entra ID.
3. Integración de AD: el notificador de contraseña para Active Directory (CPN para AD) notifica a Google los cambios de contraseña de Microsoft AD. Para obtener más información, consulta el artículo Sincronizar contraseñas de Chrome OS con el cambio de notificador de contraseñas de Active Directory.
4. Integración de la API: integra tu proveedor de identidades con la API del token de dispositivo. Puedes obtener la API del token de dispositivo Chrome en este enlace. Para obtener más información, consulta cómo habilitar el paquete de APIs para proyectos en la nube.
Configura los ajustes pertinentes.
1. Flujos de sincronización de contraseñas de inicio de sesión único mediante SAML: elige si quieres implementar obligatoriamente los inicios de sesión online únicamente en la pantalla de inicio de sesión o también en la pantalla de bloqueo. Para obtener más información, consulta el artículo Definir políticas de Chrome para usuarios o navegadores.
2. Sincronización de contraseñas de inicio de sesión único mediante SAML: selecciona Activar flujos de autenticación para sincronizar contraseñas con proveedores de SSO. Para obtener más información, consulta el artículo Definir políticas de Chrome para usuarios o navegadores.

(Opcional) Paso 5: Notifica a tus usuarios los próximos cambios de contraseña

Puedes asegurarte de que los usuarios estén al tanto de los próximos cambios de contraseña de sus dispositivos Chrome OS.

Actualmente, las notificaciones de caducidad de las contraseñas no son compatibles con Microsoft Entra ID.

Nota: Te recomendamos que sigas las instrucciones que se indican en Paso 4: Mantén las contraseñas locales de ChromeOS y las contraseñas de SSO basado en SAML sincronizadas o en Paso 5: Notifica a tus usuarios los próximos cambios de contraseña, no ambas.

Para informar a los usuarios de los próximos cambios de contraseña:

Mediante la consola de administración de Google, configura el SSO en las cuentas de Google gestionadas a través de proveedores de identidades externos.
Configura la aserción de SAML para la caducidad de la contraseña de tu proveedor de SSO basado en SAML. Consulta el ejemplo que se facilita a continuación.
Mediante la consola de administración, configura los ajustes.
1. Frecuencia de acceso mediante inicio de sesión único basado en SAML: introduce un valor que sea inferior al periodo de caducidad de la contraseña. ChromeOS solo actualiza las aserciones durante los inicios de sesión online. Para obtener más información, consulta el artículo Definir políticas de Chrome para usuarios o navegadores.
2. Sincronización de contraseñas de inicio de sesión único mediante SAML: selecciona Activar flujos de autenticación para sincronizar contraseñas con proveedores de SSO. Indica con cuántos días de antelación se debería avisar a los usuarios. Puedes introducir un valor entre 0 y 90 días. Si se deja en blanco, se utilizará el valor predeterminado de 0 y no se avisará a los usuarios con antelación, únicamente cuando su contraseña caduque. Para obtener más información, consulta el artículo Definir políticas de Chrome para usuarios o navegadores.

Ejemplo de AttributeStatement

En el ejemplo:

El nombre de atributo contiene passwordexpirationtimestamp: la marca de tiempo en que caducará la contraseña del usuario que se autentica. Puede dejarse en blanco si la contraseña no caduca y puede ser una fecha en el pasado si la contraseña ya ha caducado. Si lo prefieres, puedes utilizar passwordModifiedtimestamp.
El valor del atributo corresponde al filetime del sistema NTFS: el número de intervalos de 100 ns desde el 1 de enero del 1601 (UTC). Si lo prefieres, puedes usar el tiempo Unix o una fecha y hora en formato ISO 8601. No se acepta ningún otro formato.

<AttributeStatement> <Attribute Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp"> <AttributeValue>132253026634083525</AttributeValue> </Attribute> </AttributeStatement>

(Opcional) Paso 6: Habilita la redirección al proveedor de identidades para el SSO basado en SAML

Si quieres permitir que los usuarios en cuyas cuentas has habilitado el SSO accedan directamente a la página de tu proveedor de identidades SAML sin tener que escribir antes su dirección de correo, puedes habilitar la redirección al proveedor de identidades.

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Configuración de inicio de sesión.
Haz clic en Redireccionamiento al proveedor de identidades de inicio de sesión único.
Selecciona Permitir que los usuarios vayan directamente a la página del proveedor de identidades para el inicio de sesión único de SAML. Para ver más información, consulta el artículo Gestionar las políticas de los dispositivos ChromeOS.
Haga clic en Guardar.

(Opcional) Paso 7: Acceso mediante nombre de usuario

Puedes transferir automáticamente nombres de usuario de Google Identity al IdP de terceros para evitar que los usuarios tengan que escribir su nombre de usuario dos veces.

Antes de empezar

Esta función solo está disponible para los IdPs que permitan la transferencia de nombres de usuario como parte de la consulta de SAML. Para obtener más información, consulta el artículo Autocompletar el nombre de usuario en la página de inicio de sesión del proveedor de identidades SAML.
Si siempre rediriges a los usuarios al IdP de terceros en el paso 7, la transferencia de nombres de usuario se limita a los flujos de reautenticación. Para obtener más información, consulta los ajustes Frecuencia de acceso mediante inicio de sesión único basado en SAML o Frecuencia de desbloqueo mediante inicio de sesión único basado en SAML.

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Configuración de inicio de sesión.
Haz clic en Autocompletar el nombre de usuario en la página de inicio de sesión del proveedor de identidades SAML.
Introduce el nombre del parámetro de URL.
Haga clic en Guardar.

(Opcional) Paso 8: Controla el contenido en las pantallas de inicio de sesión y de bloqueo

Cuando se utiliza el inicio de sesión único de SAML u OpenID Connect para la autenticación de usuarios, o cuando se configuran conexiones de red con portales cautivos fuera de las sesiones de usuario, puedes bloquear o permitir URLs en las pantallas de inicio de sesión y de bloqueo de los usuarios mediante las políticas DeviceAuthenticationURLBlocklist y DeviceAuthenticationURLAllowlist.

Para obtener más información, consulta URLs bloqueadas en las pantallas de inicio de sesión o de bloqueo y Excepciones de URLs bloqueadas en las pantallas de inicio de sesión o de bloqueo.

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Configuración de inicio de sesión.
Haz clic en URLs bloqueadas en las pantallas de inicio de sesión o de bloqueo.
1. Especifica las URLs que quieres bloquear en las pantallas de inicio de sesión y de bloqueo.
2. Haga clic en Guardar.
Haz clic en Excepciones de URLs bloqueadas en las pantallas de inicio de sesión o de bloqueo.
1. Especifica las URLs a las que quieres permitir el acceso desde las pantallas de inicio de sesión y de bloqueo.
2. Haga clic en Guardar.

Paso 9: Despliega el SSO basado en SAML en los dispositivos

Una vez que hayas probado el SSO basado en SAML en el 5 % de los dispositivos de tu organización, podrás implementarlo en todas las cuentas de usuario habilitando la misma política en más grupos. Si necesitas ayuda, ponte en contacto con el equipo de Asistencia de Google Cloud.

Iniciar sesión en un dispositivo ChromeOS con el inicio de sesión único basado en SAML

Una vez que hayas configurado el SSO basado en SAML en los dispositivos de tu organización, los usuarios verán los pasos que se indican más abajo cuando inicien sesión en un dispositivo.

Requisitos

Debes haber seguido todos los pasos descritos más arriba.

Procedimiento para iniciar sesión

Explica a los usuarios que deben seguir estos pasos la primera vez que inicien sesión en su dispositivo. Nota: Prueba este procedimiento antes de implementarlo en toda tu organización.

Escribe tu nombre de usuario (dirección de correo completa) en la página de inicio de sesión del dispositivo ChromeOS. En este paso no hace falta indicar la contraseña.
Se abrirá la página de inicio de sesión único basado en SAML de tu organización. Introduce tus credenciales de SAML en la página de inicio de sesión del proveedor de SAML.
Si ves un mensaje en el que se explica que tienes que volver a escribir la contraseña para iniciar sesión, escríbela. Este paso solo es necesario si tu proveedor de identidades todavía no ha implementado la API Credentials Passing. Esta API es necesaria para permitir el acceso sin conexión a tu dispositivo y para poder desbloquearlo.
En cuanto inicies sesión, se abrirá el navegador. La próxima vez que inicies sesión, solo tendrás que escribir tu contraseña una vez, cuando enciendas el dispositivo. Si tienes problemas, consulta a tu administrador de TI.

Preguntas frecuentes

¿Puedo utilizar la autenticación integrada de Windows (WIA) para permitir que los usuarios inicien sesión en aplicaciones basadas en el navegador y en la intranet sin tener que introducir su nombre de usuario y contraseña de forma manual?

No. Ya no admitimos WIA en Servicios de federación de Active Directory (AD FS). Para obtener más información, consulta el artículo Migrar a la gestión de Chrome basada en la nube.

Después de iniciar sesión con mi proveedor de SAML, aparece un mensaje que indica que vuelva a introducir la contraseña. ¿Es normal?

Sí. Este paso es necesario para permitir el acceso sin conexión a tu dispositivo ChromeOS y poder desbloquearlo. Tenemos una API que los proveedores de SAML pueden implementar para que este paso de confirmación no sea necesario.

Si un usuario cambia su contraseña en otro dispositivo, ¿cómo puedo asegurarme de que el cambio se aplique también a este dispositivo y se desbloquee con la nueva contraseña?

Te recomendamos que utilices el método de actualización de nuestra API Directory, que informará a nuestro servidor de autenticación en caso de que se cambie una contraseña. Escribe la contraseña en el cuerpo de la solicitud. Si no se utiliza dicha API, el cambio de contraseña se detectará en el siguiente flujo de acceso online. De forma predeterminada, el sistema obliga a iniciar sesión online en un dispositivo cada 14 días, incluso si la contraseña no se ha cambiado. Puedes cambiar esta frecuencia en la consola de administración, en DispositivosChromeConfiguraciónUsuarios y navegadoresFrecuencia de acceso online mediante inicio de sesión único.

Mi contraseña tiene caracteres especiales, ¿puedo utilizarla?

Solo se admiten caracteres ASCII imprimibles.

Aparece la pantalla "No ha sido posible iniciar la sesión porque se ha establecido una URL de inicio de sesión no segura. Ponte en contacto con el administrador". ¿Qué debo hacer?

Si los empleados informan de que reciben este mensaje de error, significa que el proveedor de identidades SAML está intentando utilizar una URL de HTTP cuando solo se admite HTTPS. Es importante que todo el flujo del inicio de sesión utilice HTTPS solamente. Por lo tanto, aunque el formulario de inicio de sesión inicial se envía mediante HTTPS, es posible que aparezca dicho error si tu proveedor de identidades redirige a una URL de HTTP posteriormente en el flujo de inicio de sesión. Si has solucionado este problema, pero los usuarios siguen recibiendo el mensaje de error, ponte en contacto con el equipo de Asistencia de Google Cloud.

Soy administrador de TI. ¿Por qué no se me redirige a mi proveedor de identidad SAML?

Es un comportamiento programado. En caso de que se produzca algún problema durante la configuración, el administrador debe poder acceder para solucionarlo.

¿Se puede usar el inicio de sesión único con filtros de contenido TLS y SSL?

Sí. Sigue las instrucciones sobre cómo configurar la inspección TLS (o SSL) en dispositivos ChromeOS. Además de los dominios permitidos que se indican en el artículo Definir una lista de nombres de host permitidos, también tienes que permitir el dominio de tu proveedor de identidades de SSO y la dirección www.google.com.

¿Cómo funciona el SSO con los permisos de la cámara?

Para permitir que software de terceros acceda directamente a la cámara de los dispositivos en nombre de tus usuarios de inicio de sesión único, puedes habilitar dicho servicio en los permisos de la cámara.

Ve a DispositivosChromeConfiguraciónConfiguración del dispositivoPermisos de la cámara con inicio de sesión únicoPermisos de la cámara con inicio de sesión único incluidos en la lista de permitidos.

Para ver más información, consulta el artículo Gestionar la política de dispositivos ChromeOS.

Al habilitar esta política, el administrador permite a los servicios de terceros acceder a las cámaras de los usuarios en su nombre. El administrador debe obtener el consentimiento de los usuarios por adelantado, ya que una vez que se ha concedido permiso para acceder a la cámara mediante esta política, el sistema no les pide el consentimiento.

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?