Aprovisionamiento de usuarios de Microsoft Entra ID (antes Azure AD) B2B e inicio de sesión único

En este documento, se muestra cómo puedes extender el aprovisionamiento de usuarios y el inicio de sesión único de Microsoft Entra ID (antes Azure AD) a fin de habilitar el inicio de sesión único (SSO) para usuarios de colaboración Microsoft Entra ID B2B.

En el documento, se supone que usas Microsoft Office 365 o Microsoft Entra ID en tu organización y que ya configuraste el aprovisionamiento de usuarios y el inicio de sesión único de Microsoft Entra ID, tal como se muestra en el siguiente diagrama.

En este diagrama, los usuarios de proveedores de identidad externos (IdP) y de otros usuarios de Microsoft Entra ID inician sesión en el usuario de Microsoft Entra ID a través del inicio de sesión B2B.

Objetivos

• Ampliar la configuración de aprovisionamiento de usuarios de Microsoft Entra ID para abarcar a los usuarios invitados de Microsoft Entra B2B.
• Ampliar la configuración de SSO de Microsoft Entra ID para abarcar a los usuarios invitados de Microsoft Entra B2B.
• Configurar Cloud Identity a fin de limitar la duración de las sesiones para los usuarios invitados

Antes de comenzar

Asegúrate de haber configurado el aprovisionamiento de usuarios y el inicio de sesión único de Microsoft Entra ID.

Usuarios invitados de Microsoft Entra B2B

Microsoft Entra ID te permite invitar a usuarios externos como invitados a tu usuario de Microsoft Entra ID. Cuando invitas a un usuario externo, Microsoft Entra ID crea una cuenta de usuario de invitado en tu instancia. Estas cuentas de usuario invitado se diferencian de las cuentas de usuario normales de Microsoft Entra ID de varias formas:

• Los usuarios invitados no tienen una contraseña. Para acceder, se redirecciona automáticamente a los usuarios invitados a su instancia principal o al proveedor de identidad externo (IdP) desde el que se los invitó.
• El nombre principal del usuario (UPN) de la cuenta de usuario invitado usa un prefijo derivado de la dirección de correo electrónico del invitado, combinado con el dominio inicial de la instancia, por ejemplo: prefix#EXT#@tenant.onmicrosoft.com.
• Si invitas a un usuario desde una instancia diferente de Microsoft Entra ID y el usuario se borra más tarde en su instancia principal, la cuenta de usuario invitado permanece activa en tu instancia de Microsoft Entra ID.

Estas diferencias afectan la forma en que configuras el aprovisionamiento de usuarios y el inicio de sesión único:

• Debido a que onmicrosoft.com es un dominio DNS de Microsoft, no puedes agregar tenant.onmicrosoft.com como dominio secundario a tu cuenta de Cloud Identity o de Google Workspace. Esta advertencia implica que no puedes usar el UPN del usuario invitado como dirección de correo electrónico principal cuando aprovisionas el usuario a Cloud Identity o a Google Workspace.

  Para aprovisionar a los usuarios invitados en Cloud Identity o Google Workspace, debes configurar una asignación que transforme el UPN del usuario invitado en un dominio usado por tu cuenta de Cloud Identity o Google Workspace.

  En este documento, configurarás una asignación de UPN como se indica en la siguiente tabla.

  	UPN original en Microsoft Entra ID	Dirección de correo electrónico principal en Cloud Identity o Google Workspace
  Usuario normal	alice@example.com	alice@example.com
  Invitado de Microsoft Entra ID	charlie@altostrat.com	charlie_altostrat.com@example.com
  Invitado externo	user@hotmail.com	user_hotmail.com@example.com

• Cuando se borra un usuario en su instancia principal, Microsoft Entra ID no suspende al usuario correspondiente en Cloud Identity ni en Google Workspace. Esto plantea un riesgo de seguridad: Aunque cualquier intento de usar el inicio de sesión único fallará para ese usuario, las sesiones de navegador existentes y los tokens de actualización (incluidos los que usa Google Cloud CLI) podrían mantenerse activos durante días o semanas, lo que permite que el usuario siga accediendo a los recursos.

  Con el enfoque presentado en este documento, puedes mitigar este riesgo mediante el aprovisionamiento de usuarios invitados a una unidad organizativa dedicada en Cloud Identity o Google Workspace, y mediante la aplicación de una política que restrinja la duración de la sesión a 8 horas. La política garantiza que las sesiones del navegador y los tokens de actualización existentes se invalidarán como máximo 8 horas después de que el usuario se haya borrado en su instancia principal, lo cual revoca todo acceso de forma eficaz. Sin embargo, el usuario en Cloud Identity o Google Workspace se mantendrá activo hasta que borres el usuario invitado de tu cuenta de Microsoft Entra ID.

Prepara tu cuenta de Cloud Identity o Google Workspace

Crea una unidad organizativa en tu cuenta de Cloud Identity o de Google Workspace en la que se aprovisionarán todos los usuarios invitados.

1. Abre la Consola del administrador y accede con el usuario administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
2. En el menú, ve a Directorio > Unidades organizacionales.
3. Haz clic en Crear unidad organizativa y proporciona un nombre y una descripción para la UO:
   1. Nombre de la unidad organizativa: guests
   2. Descripción: Microsoft Entra B2B guest users
4. Haz clic en Crear.

Aplica una política a la unidad organizativa que limite la duración de la sesión a 8 horas. La duración de la sesión no solo se aplica a las sesiones del navegador, sino que también restringe la vida útil de los tokens de actualización de OAuth.

1. En la Consola del administrador, ve a Seguridad > Control de acceso y datos > Control de sesiones de Google Cloud.

2. Selecciona los invitados de la unidad organizativa y aplica la siguiente configuración:

   • Política de reautenticación: exige la reautenticación

   • Frecuencia de reautenticación: 8 horas.

     Esta duración refleja la cantidad máxima de tiempo que un usuario invitado aún puede acceder a los recursos de Google Cloud después de que se haya suspendido en Microsoft Entra ID.

   • Método de reautenticación: Contraseña.

     Esta configuración garantiza que los usuarios tengan que volver a autenticarse mediante el uso de Microsoft Entra ID después del vencimiento de una sesión.

3. Haz clic en Anular.

Configura el aprovisionamiento de Microsoft Entra ID

Ahora estás listo para ajustar la configuración existente de Microsoft Entra ID para admitir el aprovisionamiento de usuarios invitados de B2B.

1. En el portal de Azure, ve a Microsoft Entra ID > Aplicaciones empresariales.
2. Selecciona la aplicación empresarial Google Cloud (Provisioning), que usas para el aprovisionamiento de usuarios.
3. Haz clic en Manage > Provisioning.
4. Haz clic en Edit provisioning.
5. En Asignaciones, haz clic en Aprovisionar usuarios de Microsoft Entra ID.
6. Selecciona la fila userPrincipalName.

7. En el diálogo Edit Attribute, aplica los siguientes cambios:

   1. Mapping type: Cambia de Direct a Expression.

   2. Expression:

      Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )

      Reemplaza lo siguiente:

      • TENANT_DOMAIN: el dominio .onmicrosoft.com de tu instancia de Microsoft Entra ID, como tenant.onmicrosoft.com.
      • PRIMARY_DOMAIN: El nombre de dominio principal que usa tu cuenta de Cloud Identity o de Google Workspace, como example.org.

8. Haz clic en OK.

9. Selecciona Add new mapping.

10. En el diálogo Edit Attribute, establece la siguiente configuración:

    1. Mapping type: Expression.

    2. Expression:

       IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")

    3. Target attribute: OrgUnitPath

11. Haz clic en OK.

12. Haz clic en Guardar.

13. Haz clic en Yes para confirmar que, si se guardan los cambios, se volverán a sincronizar los grupos y los usuarios.

14. Cierra el diálogo Attribute Mapping.

Configura Microsoft Entra ID para el inicio de sesión único

A fin de garantizar que los usuarios invitados puedan autenticarse mediante el inicio de sesión único, ahora debes extender la configuración existente de Microsoft Entra ID para habilitar el inicio de sesión único de los invitados:

1. En el Portal de Azure, ve a Microsoft Entra ID > Aplicaciones empresariales.
2. Selecciona la aplicación empresarial de Google Cloud, que usas para el inicio de sesión único.
3. Haz clic en Administrar > Single sign-on.
4. En la pantalla de selección, haz clic en la tarjeta SAML.
5. En la tarjeta User Attributes & Claims, haz clic en Edit.
6. Selecciona la fila etiquetada identificador de usuario único (ID del nombre).
7. Selecciona reclamar condiciones.
8. Agrega una reclamación condicional para los invitados externos:
   • User type: External guests
   • Fuente: Transformación
   • Transformación: RegexReplace()
   • Parámetro 1: Atributo
   • Atributo: user.userprincipalname
   • Patrón de regex: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$
   • Patrón de reemplazo: {username}@PRIMARY_DOMAIN y reemplaza PRIMARY_DOMAIN por el nombre de dominio principal que usa tu cuenta de Cloud Identity o Google Workspace.
9. Haga clic en Agregar.

10. Agrega una reclamación condicional a los invitados de Microsoft Entra ID desde diferentes instancias:

    • Tipo de usuario: Invitados de Microsoft Entra
    • Fuente: Transformación
    • Transformación: RegexReplace()
    • Parámetro 1: Atributo

    • Atributo: user.localuserprincipalname

    • Patrón de regex: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$

    • Patrón de reemplazo: {username}@PRIMARY_DOMAIN y reemplaza PRIMARY_DOMAIN por el nombre de dominio principal que usa tu cuenta de Cloud Identity o Google Workspace.

11. Haga clic en Agregar.

12. Agrega una reclamación condicional a los usuarios normales de Microsoft Entra ID:

    • User type: Members
    • Source: Attribute
    • Value: user.userprincipalname

13. Haz clic en Guardar.

Prueba el inicio de sesión único

Para verificar que la configuración funcione correctamente, necesitas tres usuarios de prueba en tu instancia de Microsoft Entra ID:

• Un usuario normal de Microsoft Entra ID.
• Un usuario invitado de Microsoft Entra ID. Este usuario es invitado de un usuario de Microsoft Entra ID diferente.
• Un usuario invitado externo. Este usuario se invitó mediante una dirección de correo electrónico que no es de Microsoft Entra ID, como una dirección @hotmail.com.

Para cada usuario, debes realizar la siguiente prueba:

1. Abre una ventana de incógnito nueva en el navegador y dirígete a https://console.cloud.google.com/.

2. En la página de Acceso con Google que aparece, ingresa la dirección de correo electrónico del usuario como aparece en la columna Dirección de correo electrónico principal en Cloud Identity o Google Workspace de la tabla anterior. Consulta esa tabla para ver cómo la dirección de correo electrónico en Cloud Identity o Google Workspace deriva del nombre principal del usuario.

   Serás redireccionado a Microsoft Entra ID y verás otro mensaje de acceso.

3. En el mensaje de acceso, ingresa el UPN del usuario y sigue las instrucciones para autenticarte.

   Después de una autenticación exitosa, Microsoft Entra ID te redirecciona al Acceso con Google. Como es la primera vez que accedes con este usuario, se te solicitará que aceptes la Política de Privacidad y las Condiciones del Servicio de Google.

4. Si estás de acuerdo con los términos, haz clic en Aceptar.

   Se te redireccionará a la consola de Google Cloud, que te pedirá que confirmes las preferencias y que aceptes las Condiciones del Servicio de Google Cloud.

5. Si estás de acuerdo con las Condiciones del Servicio, haz clic en Sí y, luego, en Aceptar y continuar.

6. Haz clic en el ícono del avatar y, luego, en Salir.

   Se te redireccionará a una página de Microsoft Entra ID que confirma que saliste correctamente.

¿Qué sigue?

• Obtén más información sobre cómo federar Google Cloud con Microsoft Entra ID.
• Lee acerca de las prácticas recomendadas a fin de planificar cuentas y organizaciones y las prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.