Cómo cambiar de certificado
Si subes dos certificados a un perfil de inicio de sesión único (SSO) de SAML, Google puede usar cualquiera de ellos para validar una respuesta de SAML de tu proveedor de identidades. De esta forma, puedes cambiar de forma segura un certificado que vaya a caducar en el lado del proveedor de identidades. Sigue estos pasos al menos 24 horas antes de que un certificado caduque:
- Crea un certificado nuevo en el proveedor de identidades.
- Sube el certificado como segundo certificado a la consola de administración. Consulta las instrucciones en el artículo Crear un perfil SAML.
- Espera 24 horas para que las cuentas de usuario de Google se actualicen con el nuevo certificado.
- Configura el proveedor de identidades para que use el nuevo certificado en lugar del que vaya a caducar.
- (Opcional) Una vez que los usuarios hayan confirmado que pueden iniciar sesión, quita el certificado antiguo de la consola de administración. Podrás subir un nuevo certificado más adelante si es necesario.
Usar Autocompletar correo para simplificar los inicios de sesión con SSO
Para ayudar a tus usuarios a iniciar sesión, activa Autocompletar correo al crear o actualizar un perfil de inicio de sesión único (SSO) basado en SAML entrante.
La función Autocompletar correo rellena automáticamente el campo de dirección de correo en la página de inicio de sesión de tu proveedor de identidades (IdP) externo. Por lo tanto, los usuarios solo tienen que introducir su contraseña. Puedes activar la opción Autocompletar correo cuando crees un perfil de SSO basado en SAML entrante o actualices uno que ya tengas.
La función Autocompletar correo usa un parámetro de sugerencia de inicio de sesión para enviar de forma segura las direcciones de correo de tus usuarios a tu IdP. Este parámetro es una función habitual que admiten muchos IdPs de terceros para los inicios de sesión iniciados por el IdP.
El parámetro de sugerencia de inicio de sesión no está estandarizado, por lo que los distintos IdPs usan variaciones diferentes, como las siguientes:
- login_hint (compatible con proveedores de identidades como Microsoft Entra)
- LoginHint (compatible con proveedores de identidades como Okta)
Debido a estas variaciones, tendrás que confirmar qué formato admite tu IdP y elegir el ajuste correspondiente en la consola de administración de Google.
Opciones para activar Autocompletar correo
-
Inicia sesión con una cuenta de administrador en Consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
Ve a Menú
Seguridad > Autenticación > Inicio de sesión único con un proveedor de identidades de terceros.
Se necesita el privilegio de administrador Configuración de seguridad.
- En la sección Perfiles de SSO de terceros, haz clic en Añadir perfil de SAML.
- En Perfil de SSO de SAML, introduce un nombre de perfil.
- En Autocompletar correo, selecciona la opción que coincida con el formato de sugerencia de inicio de sesión admitido por tu IdP.
- En la sección Detalles del proveedor de identidades, sigue estos pasos:
- Introduce el ID de entidad del proveedor de identidades, la URL de la página de inicio de sesión y la URL de la página de cierre de sesión que has obtenido de tu proveedor de identidades.
- En URL de cambio de contraseña, introduce una URL de cambio de contraseña para tu proveedor de identidades.
Los usuarios accederán a esta URL para cambiar sus contraseñas.
- Haz clic en Guardar y sigue creando el perfil.
-
Inicia sesión con una cuenta de administrador en Consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
Ve a Menú
Se necesita el privilegio de administrador Configuración de seguridad.
- En la sección Perfiles de SSO de terceros, haz clic en el perfil que quieras actualizar.
- Haz clic en Detalles del proveedor de servicios.
- En Autocompletar correo, selecciona la opción que coincida con el formato de sugerencia de inicio de sesión admitido por tu IdP.
- Haz clic en Guardar.
Gestionar URLs de servicio específicas de dominios
El ajuste URLs de servicio específicas del dominio te permite controlar lo que sucede cuando los usuarios inician sesión mediante URLs de servicio como https://mail.google.com/a/example.com.
-
Inicia sesión con una cuenta de administrador en Consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
Ve a Menú
Se necesita el privilegio de administrador Configuración de seguridad.
- Haz clic en URLs de servicio específicas del dominio para abrir la configuración.
Tienes dos opciones:
- Redirige a los usuarios al proveedor de identidades externo. Elige esta opción para enrutar siempre estos usuarios al proveedor de identidades externo que selecciones en la lista desplegable de perfiles de SSO. Puede ser el perfil de SSO de tu organización o de otro perfil de terceros (si has añadido uno).
Importante: Si tienes unidades organizativas o grupos que no utilizan el SSO, no elijas este ajuste. Los usuarios que no sean de SSO se dirigirán automáticamente al proveedor de identidades y no podrán iniciar sesión.
- Pide a los usuarios que introduzcan primero su nombre de usuario en la página de inicio de sesión de Google. Con esta opción, los usuarios que introducen URLs específicas de dominio se envían primero a la página de inicio de sesión de Google. Si son usuarios de SSO, se les redirige a la página de inicio de sesión del proveedor de identidades.
Resultados de la asignación de red
Las máscaras de red son direcciones IP representadas mediante el estándar de enrutamiento de interdominios sin clases (Classless Inter-Domain Routing, CIDR). El estándar CIDR especifica cuántos bits de la dirección IP se incluirán. El perfil de SSO de tu organización puede usar máscaras de red para determinar a qué direcciones IP o intervalos de direcciones IP debe asignar el servicio de SSO.
Nota: En los ajustes de las máscaras de red, solo las URL de servicio específicas del dominio, como servicio.google.com/a/example.com, redirigen a la página de inicio de sesión único.
Es importante que cada máscara de red tenga el formato correcto. En el ejemplo de IPv6 que se muestra a continuación, la barra inclinada (/) y el número que la sigue representan el CIDR. Los últimos 96 bits no se tienen en cuenta, lo que afecta a todas las direcciones IP de ese intervalo de red.
- 2001:db8::/32
En este ejemplo de IPv4, los últimos 8 bits (es decir, el cero) no se tienen en cuenta, y esto afectaría a todas las direcciones IP incluidas en el intervalo de 64.233.187.0 a 64.233.187.255.
- 64.233.187.0/24
En los dominios sin máscara de red, debes añadir a los usuarios que no son superadministradores al proveedor de identidades (IdP).
Experiencia de usuario de SSO al visitar URLs de servicios de GoogleEn la siguiente tabla se muestra la experiencia de usuario de las visitas directas a las URLs de los servicios de Google, con y sin máscara de red:
| Sin máscara de red | Superadministradores: | Usuarios: |
|---|---|---|
| servicio.google.com | Se les pide su dirección de correo electrónico de Google y su contraseña. | Se les pide su dirección de correo electrónico y, a continuación, se les redirige a la página de inicio de sesión de SSO. |
| Con máscara de red | Superadministradores y usuarios: | |
| servicio.google.com | Se les pide su dirección de correo electrónico y su contraseña. | |
| servicio.google.com /a/tu_dominio.com* (dentro de máscara de red) |
Se les redirige a la página de inicio de sesión de SSO. | |
| servicio.google.com /a/tu_dominio.com (fuera de máscara de red ) |
Se les pide su dirección de correo electrónico y su contraseña. | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
Los usuarios que acceden al endpoint de OAuth 2.0 de Google mediante el parámetro de URL login_hint son redirigidos a la página de inicio de sesión de SSO. |
|
* No todos los servicios admiten este patrón de URL. Gmail y Drive son ejemplos de servicios que sí lo hacen.
- Tu dominio tiene configurado el SSO con un IdP externo.
- Tu dominio tiene una máscara de red.
- Un usuario ha iniciado sesión a través del IdP externo. Consulta más información en la sección "Tabla de asignación de usuario/red del SSO".
- Su sesión ha alcanzado la duración máxima definida en el ajuste Control de sesión de Google de la consola de administración.
- Su administrador ha editado su cuenta a través de la consola de administración o con el SDK de administrador. Por ejemplo, ha cambiado su contraseña o requiere que el usuario la cambie la próxima vez que inicie sesión.
Experiencia de usuario
Si los usuarios han iniciado sesión en un IdP externo, se finaliza su sesión y se les redirige a la página de inicio de sesión de Google.
Como estos usuarios han iniciado sesión en Google a través de un IdP externo, es posible que no entiendan por qué tienen que iniciar sesión en Google para volver a acceder a su cuenta. Es posible que se redirija a los usuarios a una página de inicio de sesión de Google aunque estén intentando navegar a otras URL de Google.
Si has programado tareas de mantenimiento que implican finalizar las sesiones de usuario activas y quieres evitar confusiones, pide a tus usuarios que cierren sesión y no vuelvan a iniciarla hasta que acabe el mantenimiento.
Recuperar usuarios
Si los usuarios ven la página de inicio de sesión de Google porque se ha finalizado su sesión activa, pueden volver a acceder a su cuenta de cualquiera de estas formas:
- Si aparece el mensaje "Si has llegado a esta página por error, cierra sesión y prueba a iniciar sesión de nuevo", pueden hacer clic en el enlace incluido en el mensaje.
- Si este mensaje no aparece, pueden ir a https://accounts.google.com/logout para cerrar sesión y volver a iniciarla.
- Pueden borrar las cookies de su navegador.
Una vez que hayan seguido cualquiera de estos pasos, su sesión de Google se considerará completamente cerrada y podrán volver a iniciar sesión.
Configurar la verificación en dos pasos con SSO
-
En la Consola de administración de Google, ve a Menú
Autenticación
Se requiere el privilegio de administrador Gestión de la seguridad de usuarios.
- A la izquierda, selecciona la unidad organizativa en la que quieras definir la política.
Si quieres aplicar la configuración a todos los usuarios, selecciona el nivel organizativo superior. En principio, las unidades organizativas heredan la configuración del elemento jerárquico superior.
- Haz clic en Verificación posterior al SSO.
- Elige los ajustes en función de cómo utilices los perfiles de SSO de tu organización. Puedes aplicar un ajuste a los usuarios que utilizan el perfil de SSO antiguo y a los que inician sesión con otros perfiles de SSO.
- Abajo a la derecha, haz clic en Guardar.
Google creará una entrada en el registro de auditoría de la consola de administración para indicar cualquier cambio en la política.
El ajuste predeterminado de la verificación posterior al SSO depende del tipo de usuario del SSO:
- En el caso de los usuarios que inician sesión con el perfil de SSO antiguo, el ajuste predeterminado es ignorar las verificaciones de la identidad adicionales y la verificación en dos pasos.
- En el caso de los usuarios que inician sesión con otros perfiles de SSO, el ajuste predeterminado es aplicar métodos de verificación de la identidad adicionales y la verificación en dos pasos.
Consulta también
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.