Tutorial: Integración del inicio de sesión único de Microsoft Entra con Google Cloud / G Suite Connector by Microsoft
En este tutorial, aprenderá a integrar Google Cloud / G Suite Connector by Microsoft con Microsoft Entra ID. Al integrar Google Cloud / G Suite Connector by Microsoft con Microsoft Entra ID, puede hacer lo siguiente:
- En Microsoft Entra ID se puede controlar quién tiene acceso a Google Cloud / G Suite Connector by Microsoft.
- Permitir que los usuarios inicien sesión automáticamente en Google Cloud / G Suite Connector by Microsoft con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Requisitos previos
Para empezar, necesitas los siguientes elementos:
- Una suscripción a Microsoft Entra.
- Una suscripción habilitada para el inicio de sesión único en Google Cloud / G Suite Connector by Microsoft.
- Una suscripción de Google Apps o Google Cloud Platform
Nota:
Para probar los pasos de este tutorial, no se recomienda el uso de un entorno de producción. Este documento se creó con la nueva experiencia de inicio de sesión del usuario. Si aún usa la anterior, el programa de instalación parecerá diferente. Puede habilitar la nueva experiencia en la configuración de inicio de sesión único de la aplicación G Suite. Vaya a Microsoft Entra ID>Aplicaciones empresariales, seleccione Google Cloud / G Suite Connector by Microsoft, seleccione Inicio de sesión único y, a continuación, haga clic en Probar la nueva experiencia.
Para probar los pasos de este tutorial, debe seguir estas recomendaciones:
- No use el entorno de producción, salvo que sea necesario.
- Si no tiene una suscripción, puede obtener una cuenta gratuita.
Cambios recientes
Las actualizaciones recientes de Google ahora permiten agregar grupos de usuarios a perfiles de SSO de terceros. Esto permite un control más granular sobre la asignación de la configuración de SSO. Ahora puede crear asignaciones de perfiles de SSO, lo que le permite migrar usuarios en fases en lugar de mover toda la empresa a la vez. En esta área, se le proporcionan detalles de SP con un identificador de entidad y una dirección URL de ACS, que ahora tendrá que agregar a App de Azure para la respuesta y la entidad.
Preguntas más frecuentes
P: ¿Es esta integración compatible con la integración del inicio de sesión único de Google Cloud Platform con Microsoft Entra ID?
A. Sí. Google Cloud Platform y Google Apps comparten la misma plataforma de autenticación. Por ello, para la integración de GCP debe configurar el inicio de sesión único con Google Apps.
P: ¿Son los Chromebooks y otros dispositivos Chrome compatibles con el inicio de sesión único de Microsoft Entra?
R: Sí, los usuarios pueden iniciar sesión en sus dispositivos Chromebook con sus credenciales de Microsoft Entra. Consulte este artículo de soporte técnico de Google Cloud / G Suite Connector by Microsoft para más información sobre por qué puede que se pidan las credenciales a los usuarios dos veces.
P: Si se habilita el inicio de sesión único, ¿podrán usar los usuarios sus credenciales de Microsoft Entra para iniciar sesión en cualquier producto de Google, como Google Classroom, GMail, Google Drive, YouTube, etc.?
R: Sí, en función de qué aplicaciones de Google Cloud / G Suite Connector by Microsoft decida habilitar o deshabilitar para su organización.
P: ¿Puedo habilitar el inicio de sesión único solo para un subconjunto de mis usuarios de Google Cloud / G Suite Connector by Microsoft?
R: Sí, los perfiles de SSO se pueden seleccionar por usuario, unidad organizativa o grupo en Google Workspace.
Seleccione "none" para el perfil de SSO para el grupo de Google Workspace. Esto impide que los miembros de este (grupo de Google Workspace) se redirijan al identificador de Microsoft Entra para el inicio de sesión.
P: Si un usuario inicia sesión a través de Windows, ¿se autentica automáticamente en Google Cloud / G Suite Connector by Microsoft sin que se le pida una contraseña?
A. Hay dos opciones para habilitar este escenario. En primer lugar, los usuarios podrían iniciar sesión en dispositivos Windows 10 a través de la unión a Microsoft Entra. Como alternativa, los usuarios podrían iniciar sesión en dispositivos Windows que están unidos a un dominio en un entorno Active Directory local que se ha habilitado para el inicio de sesión único en Microsoft Entra ID a través de una implementación de los Servicios de federación de Active Directory (AD FS). Ambas opciones requieren que realice los pasos del tutorial siguiente para permitir el inicio de sesión único entre Microsoft Entra ID y Google Cloud / G Suite Connector by Microsoft.
P: ¿Qué debo hacer cuando aparece un mensaje de error de correo electrónico no válido?
A. En esta configuración, se necesita el atributo de correo electrónico para que los usuarios puedan iniciar sesión. Este atributo no se puede establecer manualmente.
El atributo de correo electrónico se rellena automáticamente para cualquier usuario con una licencia válida de Exchange. Si el usuario no está habilitado para correo electrónico, este error se recibirá cuando la aplicación necesite obtener este atributo para conceder acceso.
Puede ir a portal.office.com con una cuenta de administrador, hacer clic en Centro de administración < Facturación < Suscripciones, seleccionar su suscripción a Microsoft 365 y, a continuación, hacer clic en Asignar a usuarios, seleccionar los usuarios para los que desee comprobar su suscripción y, en el panel derecho, hacer clic en Editar licencias.
Una vez asignada la licencia de Microsoft 365, puede tardar algunos minutos en aplicarse. Después de eso, el atributo user.mail se rellenará automáticamente y el problema debería resolverse.
Descripción del escenario
En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.
Google Cloud / G Suite Connector by Microsoft admite el inicio de sesión único iniciado por SP.
Google Cloud / G Suite Connector by Microsoft admite el aprovisionamiento de usuarios automático.
Incorporación de Google Cloud / G Suite Connector by Microsoft desde la galería
Para configurar la integración de Google Cloud / G Suite Connector by Microsoft en Microsoft Entra ID, deberá agregar Google Cloud / G Suite Connector by Microsoft desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba Google Cloud / G Suite Connector by Microsoft en el cuadro de búsqueda.
- Seleccione Google Cloud / G Suite Connector by Microsoft en el panel de resultados y, luego, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para Google Cloud / G Suite Connector by Microsoft
Configure y pruebe el inicio de sesión único de Microsoft Entra con Google Cloud / G Suite Connector by Microsoft con un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de Google Cloud / G Suite Connector by Microsoft.
Para configurar y probar el inicio de sesión único de Microsoft Entra con Google Cloud / G Suite Connector by Microsoft, siga los siguientes pasos:
- Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
- Configuración del inicio de sesión único de Google Cloud / G Suite Connector by Microsoft, para configurar los valores de inicio de sesión único en la aplicación.
- Cree un usuario de prueba de Google Cloud / G Suite Connector by Microsoft para tener un homólogo de B.Simon en Google Cloud / G Suite Connector by Microsoft que esté vinculado a su representación en Microsoft Entra.
- Prueba del inicio de sesión único : para comprobar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Google Cloud / G Suite Connector by Microsoft>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML, si desea configurar Gmail, realice los pasos siguientes:
a. En el cuadro de texto Identificador, escriba una dirección URL con uno de los siguientes patrones:
Identificador google.com/a/<yourdomain.com>
google.com
https://google.com
https://google.com/a/<yourdomain.com>
b. En el cuadro de texto URL de respuesta , escriba una dirección URL con uno de los siguientes patrones:
URL de respuesta https://www.google.com
https://www.google.com/a/<yourdomain.com>
c. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com
En la sección Configuración básica de SAML, si desea configurar Google Cloud Platform, realice los pasos siguientes:
a. En el cuadro de texto Identificador, escriba una dirección URL con uno de los siguientes patrones:
Identificador google.com/a/<yourdomain.com>
google.com
https://google.com
https://google.com/a/<yourdomain.com>
b. En el cuadro de texto URL de respuesta , escriba una dirección URL con uno de los siguientes patrones:
URL de respuesta https://www.google.com/acs
https://www.google.com/a/<yourdomain.com>/acs
c. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com
Nota:
Estos valores no son reales. Actualice estos valores con los valores reales de Identificador, URL de respuesta y URL de inicio de sesión. Google Cloud / G Suite Connector by Microsoft no proporciona el valor de identificador de entidad/identificador en la configuración del inicio de sesión único, por lo que si desactiva la opción domain specific issuer, el valor del identificador será
google.com
. Si activa la opción domain specific issuer (emisor de dominio específico), la opción serágoogle.com/a/<yourdomainname.com>
. Para activar o desactivar la opción domain specific issuer debe ir a la sección Configuración del inicio de sesión único de Google Cloud / G Suite Connector by Microsoft que se explica más adelante en el tutorial. Para más información, póngase en contacto con el equipo de soporte de cliente de Google Cloud / G Suite Connector by Microsoft.La aplicación Google Cloud / G Suite Connector by Microsoft espera las aserciones de SAML en un formato específico, que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. La siguiente captura de pantalla le muestra un ejemplo de esto. El valor predeterminado de Identificador de usuario único es user.userprincipalname, pero Google Cloud / G Suite Connector by Microsoft espera que este valor se asigne a la dirección de correo electrónico del usuario. Para ello, puede usar el atributo user.mail de la lista o usar el valor de atributo correspondiente en función de la configuración de su organización.
Nota:
Asegúrese de que la respuesta SAML no incluye caracteres ASCII no estándar en el atributo Surname.
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base64) y seleccione Descargar para descargarlo y guardarlo en el equipo.
En la sección Configurar Google Cloud / G Suite Connector by Microsoft, copie las direcciones URL adecuadas según sus necesidades.
Nota:
La dirección URL de cierre de sesión predeterminada que aparece en la aplicación es incorrecta. La dirección URL correcta es:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
Cree un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario llamado B.Simon.
- Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, sigue estos pasos:
- En el campo Nombre para mostrar, escribe
B.Simon
. - En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
- Selecciona Revisar + crear.
- En el campo Nombre para mostrar, escribe
- Selecciona Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección, permitirá que B.Simon acceda a Google Cloud / G Suite Connector by Microsoft mediante el inicio de sesión único.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Google Cloud / G Suite Connector by Microsoft.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del inicio de sesión único de Google Cloud / G Suite Connector by Microsoft
Abra una nueva pestaña en el explorador e inicie sesión en la consola de administración de Google Cloud / G Suite Connector by Microsoft con su cuenta de administrador.
Vaya a Menú -> Seguridad -> Autenticación -> SSO con IDP de terceros.
Realice los siguientes cambios de configuración en la pestaña Perfil de SSO de terceros para su organización:
a. Active el perfil de SSO para su organización.
b. En el campo Dirección URL de la página de inicio de sesión de Google Cloud/G Suite Connector by Microsoft, pegue el valor de la URL de inicio de sesión.
c. En el campo Dirección URL de la página de cierre de sesión de Google Cloud/G Suite Connector by Microsoft, pegue el valor de la URL de cierre de sesión.
d. En Google Cloud / G Suite Connector by Microsoft, para el certificado de verificación, cargue el certificado que descargó previamente.
e. Active o desactive la opción Usar un emisor de dominio específico según la nota mencionada en la sección Configuración básica de SAML anterior en Microsoft Entra ID.
f. En el campo Cambiar dirección URL de contraseña de Google Cloud / G Suite Connector by Microsoft, escriba el valor como
https://mysignins.microsoft.com/security-info/password/change
g. Haga clic en Save(Guardar).
Creación de un usuario de prueba de Google Cloud / G Suite Connector by Microsoft
El objetivo de esta sección es crear un usuario en Google Cloud / G Suite Connector by Microsoft llamado B.Simon. Una vez creado manualmente el usuario en Google Cloud / G Suite Connector by Microsoft, este podrá iniciar sesión con sus credenciales de inicio de sesión de Microsoft 365.
Google Cloud / G Suite Connector by Microsoft también admite el aprovisionamiento de usuarios automático. Para configurar el aprovisionamiento automático de usuarios, primero debe configurar Google Cloud / G Suite Connector by Microsoft para el aprovisionamiento automático de usuarios.
Nota:
Asegúrese de que el usuario ya existe en Google Cloud / G Suite Connector by Microsoft si el aprovisionamiento en Microsoft Entra ID no se ha activado antes de probar el inicio de sesión único.
Nota:
Si necesita crear manualmente un usuario, póngase en contacto con el equipo de soporte técnico de Google.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Haga clic en Probar esta aplicación; esta acción le redirigirá a la dirección URL de inicio de sesión de Google Cloud / G Suite Connector by Microsoft, donde podrá iniciar el flujo de inicio de sesión.
Vaya directamente a la dirección URL de inicio de sesión de Google Cloud / G Suite Connector by Microsoft e inicie el flujo de inicio de sesión desde allí.
Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Google Cloud / G Suite Connector by Microsoft en Mis aplicaciones, se le redirigirá a la dirección URL de inicio de sesión de la aplicación. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Pasos siguientes
Una vez configurado Google Cloud / G Suite Connector by Microsoft, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.