En esta serie de artículos se explica cómo configurar el inicio de sesión único (SSO) con un proveedor de identidades (IdP) externo cuando Google es el proveedor de servicios. Para obtener ayuda con la configuración del SSO cuando Google es el IdP, consulta el artículo acerca del SSO federado basado en SAML.
Para configurar el SSO basado en SAML con un IdP externo, sigue el proceso descrito en este artículo. Puedes hacer clic en las flechas que aparecen arriba o en estos enlaces azules:
- Configurar el inicio de sesión único con un proveedor de servicios
- Crear y subir el certificado de verificación y la clave de SAML
- Iniciar sesión mediante un servicio de inicio de sesión único
- Resultados de la asignación de red
- (Opcional) Anular el SSO en unidades organizativas o grupos concretos
Para saber cómo configurar el SSO de forma parcial, echa un vistazo a este vídeo resumen.
Acerca del SSO
Con el SSO, los usuarios solo tienen que iniciar sesión una vez para acceder a todas sus aplicaciones empresariales en la nube. Cuando esta función está configurada, los usuarios pueden iniciar sesión en su IdP externo y acceder a las aplicaciones de Google directamente (sin necesidad de iniciar sesión por segunda vez), con las siguientes excepciones:
- Aunque los usuarios hayan iniciado sesión en su IdP, en algunas ocasiones Google les pedirá que verifiquen su identidad como medida de seguridad adicional. Para obtener más información (e instrucciones detalladas sobre cómo inhabilitar este tipo de verificación, si fuera necesario), consulta el artículo Funcionamiento del inicio de sesión seguro basado en SAML.
- Además del SSO, puedes aplicar la verificación en dos pasos de forma que solo se requiera cuando los usuarios accedan a servicios de Google. Normalmente, este tipo de verificación se omite cuando el SSO está activado. Consulta más información en el apartado Habilitar la verificación de la identidad con SSO.
El SSO también está disponible en los dispositivos Chrome. Para obtener más información, consulta el artículo Configurar el inicio de sesión único basado en SAML en dispositivos equipados con Chrome OS.
Los dispositivos Android anteriores a la versión 2.1 utilizan la autenticación de Google. Si intentas iniciar sesión con uno de estos dispositivos, se te pedirá la dirección de correo completa de tu cuenta de Google gestionada (incluidos el nombre de usuario y el dominio). Una vez que hayas iniciado sesión, accederás directamente a la aplicación. Google no te redirigirá a la página de SSO, aunque haya máscara de red.
Con las aplicaciones iOS, cuando la URL de SSO comienza por "google." (o alguna variación), la aplicación iOS de Google se redirige a Safari y el proceso de SSO falla. La lista completa de prefijos prohibidos es:
- googl.
- google.
- googl.
- google.
Debes cambiar las URLs de la página de inicio de sesión único que tengan estos prefijos.
¿Qué efectos tiene definir una URL de cambio de contraseña?
Si indicas una URL en el campo Cambiar URL de contraseña, cuando los usuarios que no sean superadministradores intenten cambiar su contraseña en https://micuenta.google.com/, se les redirigirá a la URL que hayas especificado. Este ajuste se aplica incluso si no habilitas el SSO. Además, no se aplicanmáscaras de red.
Solucionar problemas de SSO
Para solucionar los problemas más habituales, consulta el artículo Solucionar problemas de inicio de sesión único (SSO). Además, en el mercado hay numerosos equipos de integración de sistemas y soluciones que ofrecen servicios profesionales y productos de SSO. En Google Workspace Marketplace puedes encontrar partners y otros proveedores externos que ofrecen ayuda para solucionar problemas con el SSO.
Nota: El equipo de Asistencia de Google Workspace no ofrece asistencia para la implementación del SSO con proveedores de identidades externos.