En este artículo, se muestra cómo configurar el inicio de sesión único entre el entorno de Active Directory y tu cuenta de Cloud Identity o Google Workspace mediante los Servicios de federación de Active Directory (AD FS) de Microsoft y la Federación de SAML.
En este artículo, se supone que comprendes cómo se puede extender la administración de identidades de Active Directory a Google Cloud y que ya configuraste el aprovisionamiento de usuarios. También se supone que tienes un servidor de AD FS 4.0 que se ejecuta en Windows Server 2016 o una versión posterior de Windows Server.
Para seguir esta guía, se requieren conocimientos de Active Directory Domain Services y AD FS. También necesitas un usuario en Cloud Identity o en Google Workspace que tenga privilegios de administrador avanzado y un usuario en Active Directory que tenga acceso de administrador a tu AD FS. .
Objetivos
- Configura tu servidor AD FS de modo que Cloud Identity o Google Workspace puedan usarlo como proveedor de identidad.
- Crea una política de emisión de reclamos que coincida con las identidades entre Active Directory y Cloud Identity o Google Workspace.
- Configura tu cuenta de Cloud Identity o Google Workspace para que delegue la autenticación a AD FS.
Costos
Si usas la edición gratuita de Cloud Identity, en este artículo no usarás componentes facturables de Google Cloud.
Antes de comenzar
- Verifica que el servidor de AD FS ejecute Windows Server 2016 o una versión posterior. Si bien también puedes configurar el inicio de sesión único mediante versiones anteriores de Windows Server y AD FS, los pasos de configuración necesarios pueden ser diferentes de los descritos en este artículo.
- Asegúrate de comprender cómo se puede extender la administración de identidades de Active Directory a Google Cloud.
- Configura el aprovisionamiento de los usuarios entre Active Directory y Cloud Identity o Google Workspace.
- Considera establecer AD FS en una configuración del conjunto de servidores a modo de evitar que se convierta en un punto único de fallo. Después de habilitar el inicio de sesión único, la disponibilidad de AD FS determina si los usuarios pueden acceder a la consola de Google Cloud.
Información sobre el inicio de sesión único
Mediante Google Cloud Directory Sync, ya automatizaste la creación y el mantenimiento de los usuarios, y vinculaste su ciclo de vida a los usuarios en Active Directory.
A pesar de que Google Cloud Directory Sync aprovisiona los detalles de la cuenta de usuario, no sincroniza las contraseñas. Siempre que un usuario necesite autenticarse en Google Cloud, la autenticación se debe delegar a Active Directory; esto se hace mediante AD FS y el protocolo de lenguaje de marcado para confirmaciones de seguridad (SAML). Esta configuración garantiza que solo Active Directory tenga acceso a las credenciales de usuario y que se apliquen todas las políticas o mecanismos de autenticación de varios factores (MFA) correspondientes. Además, establece una experiencia de inicio de sesión único entre tu entorno local y Google.
Para obtener más detalles sobre el inicio de sesión único, consulta la página Inicio de sesión único.
Configura AD FS
Antes de habilitar el inicio de sesión único en Cloud Identity o Google Workspace, primero debes configurar AD FS.
Crea una relación de confianza con la parte autenticada
Crea una nueva relación de confianza con la parte autenticada:
- Accede a tu servidor AD FS y abre el complemento AD FS Management de MMC.
- Selecciona AD FS > Relaciones de confianza con la parte autenticada.
- En el panel Acciones, haz clic en Agregar relación de confianza con la parte autenticada.
- En la primera página Bienvenida, selecciona Compatible con notificaciones y haz clic en Comenzar.
- En la página Seleccionar fuente de datos, selecciona Ingresar manualmente los datos sobre la parte de confianza y haz clic en Siguiente.
- En la página Especificar nombre visible, ingresa un nombre como
Google Cloud
y haz clic en Siguiente. - En la página Configurar certificado, haz clic en Siguiente.
En la página Configurar URL, selecciona Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO y, luego, ingresa la siguiente URL de servicio de SSO:
https://www.google.com/a/DOMAIN/acs
Reemplaza
DOMAIN
por el dominio principal de tu cuenta de Cloud Identity o Google Workspace y haz clic en Next (Siguiente).En la página Configurar identificadores, agrega los siguientes dos identificadores:
google.com/a/DOMAIN
, lo que reemplazaDOMAIN
por el dominio principal de tu cuenta de Cloud Identity o de Google Workspace.google.com
Luego, haga clic en Next.
En la página Elige una política de control de acceso, elige una política de acceso adecuada y haz clic en Siguiente.
En la página Listo para agregar confianza, revisa tu configuración y, luego, haz clic en Siguiente.
En la página final, limpia la casilla de verificación Configurar política emisión de reclamos y cierra el asistente.
En la lista de relación de confianza con la parte autenticada, ahora verás una entrada nueva.
Configura la URL de cierre de sesión
Cuando habilitas a los usuarios a usar inicio de sesión único en varias aplicaciones, es importante permitirles salir de varias aplicaciones:
- En la Consola del administrador de AD FS, en relación de confianza para usuario autenticado, haz clic derecho en la relación de confianza que recién creaste y en Propiedades.
- En la pestaña Endpoints (Extremos), haz clic en Add SAML (Agregar SAML).
En el cuadro de diálogo Add an Endpoint (Agregar un extremo), establece esta configuración:
- Endpoint type (Tipo de extremo): SAML Logout (Cierre de sesión de SAML)
- Binding (Vinculación): POST
URL de confianza:
https://ADFS/adfs/ls/?wa=wsignout1.0
Reemplaza
ADFS
por el nombre de dominio completamente calificado del servidor de AD FS.
Haz clic en Aceptar (OK).
Haz clic en Aceptar para cerrar el cuadro de diálogo.
Configura la asignación de reclamos
Después de que AD FS autentica a un usuario, emite una aserción de SAML.
Esta aserción sirve como prueba de que la autenticación se realizó de forma correcta. La aserción debe identificar quién se autenticó, que es el propósito del reclamo de NameID
.
Para permitir que el Acceso con Google asocie el NameID
con un usuario, el NameID
debe contener la dirección de correo electrónico principal de ese usuario. Según cómo asignas usuarios entre Active Directory y Cloud Identity o Google Workspace, NameID
debe contener el UPN o la dirección de correo electrónico del usuario de Active Directory, con las sustituciones de dominio aplicadas, según sea necesario.
UPN
- En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
- Haz clic en Agregar regla.
- En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.
En la página Configurar regla de reclamación, establece la siguiente configuración:
- Nombre de la regla de reclamación:
Name Identifier
. - Tipo de reclamación entrante: UPN
- Tipo de reclamación saliente: ID de nombre
- Formato de ID de nombre saliente: Correo electrónico
- Nombre de la regla de reclamación:
Selecciona Pasar todos los valores de la reclamación y haz clic en Finalizar.
Haz clic en Aceptar para cerrar el cuadro de diálogo de la política de emisión de reclamaciones.
UPN: sustitución de dominio
- En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
- Haz clic en Agregar regla.
- En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.
En la página Configurar regla de reclamación, establece la siguiente configuración:
- Nombre de la regla de reclamación:
Name Identifier
. - Tipo de reclamación entrante: UPN
- Tipo de reclamación saliente: ID de nombre
- Formato de ID de nombre saliente: Correo electrónico
- Nombre de la regla de reclamación:
Selecciona Reemplazar sufijo del correo electrónico de la reclamación entrante con un nuevo sufijo de correo electrónico y configura el siguiente ajuste:
- Nuevo sufijo de correo electrónico: Un nombre de dominio que usa tu cuenta de Cloud Identity o Google Workspace.
Haz clic en Finalizar y, luego, en Aceptar.
Correo electrónico
- En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
- Agrega una regla para buscar la dirección de correo electrónico:
- En el cuadro de diálogo, haz clic en Agregar regla.
- Selecciona Enviar atributos LDAP como notificaciones y haz clic en Siguiente.
- En la siguiente página, aplica la configuración que se indica debajo:
- Nombre de la regla de reclamación:
Email address
. - Almacén de atributos: Active Directory
- Nombre de la regla de reclamación:
- Agrega una fila a la lista de asignaciones de atributos de LDAP:
- Atributo LDAP: E-Mail-Addresses
- Tipo de reclamación saliente: Dirección de correo electrónico
- Haz clic en Finalizar.
Agrega otra regla para configurar
NameID
:- Haz clic en Agregar regla.
- En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.
En la página Configurar regla de reclamación, establece la siguiente configuración:
- Nombre de la regla de reclamación:
Name Identifier
. - Tipo de reclamación entrante: Dirección de correo electrónico
- Tipo de reclamación saliente: ID de nombre
- Formato de ID de nombre saliente: Correo electrónico
- Nombre de la regla de reclamación:
Selecciona Pasar todos los valores de la reclamación y haz clic en Finalizar.
Haz clic en Aceptar para cerrar el cuadro de diálogo de la política de emisión de reclamaciones.
Correo electrónico: sustitución de dominio
- En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
- Agrega una regla para buscar la dirección de correo electrónico:
- En el cuadro de diálogo, haz clic en Agregar regla.
- Selecciona Enviar atributos LDAP como notificaciones y haz clic en Siguiente.
- En la siguiente página, aplica la configuración que se indica debajo:
- Nombre de la regla de reclamación:
Email address
. - Almacén de atributos: Active Directory
- Nombre de la regla de reclamación:
- Agrega una fila a la lista de asignaciones de atributos de LDAP:
- Atributo LDAP: E-Mail-Addresses
- Tipo de reclamación saliente: Dirección de correo electrónico
- Haz clic en Finalizar.
Agrega otra regla para establecer el valor
NameID
:- Haz clic en Agregar regla.
- En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.
En la página Configurar regla de reclamación, establece la siguiente configuración:
- Nombre de la regla de reclamación:
Name Identifier
. - Tipo de reclamación entrante: Dirección de correo electrónico
- Tipo de reclamación saliente: ID de nombre
- Formato de ID de nombre saliente: Correo electrónico
- Nombre de la regla de reclamación:
Selecciona Reemplazar sufijo del correo electrónico de la reclamación entrante con un nuevo sufijo de correo electrónico y configura el siguiente ajuste:
- Nuevo sufijo de correo electrónico: Un nombre de dominio que usa tu cuenta de Cloud Identity o Google Workspace.
Haz clic en Finalizar y, luego, en Aceptar.single-sign-on
Exporta el certificado de firma de tokens de AD FS
Una vez que AD FS autentica a un usuario, pasa una aserción SAML a Cloud Identity o a Google Workspace. Para habilitar Cloud Identity y Google Workspace a fin de verificar la integridad y la autenticidad de esa aserción, AD FS firma la aserción con una clave de firma de token especial y proporciona un certificado que habilita Cloud Identity o Google Workspace para verificar la firma.
Ahora, exportarás el certificado de firma desde AD FS:
- En la Consola del administrador de AD FS, haz clic en Servicio > Certificados.
- Haz clic con el botón derecho en el certificado que está en la lista en Firma de token y haz clic en Ver certificado.
- Seleccione la pestaña Detalles.
- Haz clic en Copiar a archivo para abrir el asistente de exportación de certificados.
- En el Asistente de bienvenida al exportación de certificados, haz clic en Siguiente.
- En la página Exportar clave privada, selecciona No, no exportar la clave privada.
- En la página Formato del archivo de exportación, selecciona X.509 con codificación en Base64 (.CER) y haz clic en Siguiente.
- En la página Archivo a exportar, proporciona un nombre de archivo local y haz clic en Siguiente.
- Haz clic en Finalizar para cerrar el cuadro de diálogo.
- Copia el certificado exportado en tu computadora local.
Configura tu cuenta de Cloud Identity o Google Workspace
Una vez que se complete la configuración de AD FS, puedes configurar el inicio de sesión único en tu cuenta de Cloud Identity o de Google Workspace:
Abre la Consola del administrador y ve a SSO con IdP de terceros.
Haga clic en Agregar perfil de SSO.
Configura Configurar SSO con un proveedor de identidad de terceros como habilitado.
Ingresa la siguiente configuración. En todas las URLs, reemplaza
ADFS
por el nombre de dominio completamente calificado del servidor de AD FS:- URL de la página de acceso:
https://ADFS/adfs/ls/
- URL de la página de cierre de sesión:
https://ADFS/adfs/ls/?wa=wsignout1.0
- URL de cambio de contraseña:
https://ADFS/adfs/portal/updatepassword/
- URL de la página de acceso:
En Certificado de verificación, haz clic en Subir certificado y, luego, elige el certificado de firma de token que descargaste antes.
Haz clic en Guardar.
Sal de la Consola del administrador.
Prueba el inicio de sesión único
Ya completaste la configuración del inicio de sesión único en AD FS y en Cloud Identity o Google Workspace. Para verificar si el inicio de sesión único funciona según lo previsto, ejecuta esta prueba:
- Elige un usuario de Active Directory que ya se haya aprovisionado a Cloud Identity o Google Workspace, y que no tenga privilegios de administrador avanzado asignados. Los usuarios que tienen privilegios de administrador avanzado siempre deben acceder mediante credenciales de Google, por lo que no son adecuados para probar el inicio de sesión único.
- Abre una ventana del navegador nueva y ve a https://console.cloud.google.com/.
En la página de Acceso con Google que aparece, ingresa la dirección de correo electrónico del usuario y haz clic en Next (Siguiente). Si usas la sustitución de dominio, debes aplicarla a la dirección de correo electrónico.
Se te redireccionará a AD FS. Si configuraste AD FS para que use autenticación basada en formularios, ahora verás la página de acceso.
Ingresa el UPN y la contraseña para el usuario de Active Directory y haz clic en Sign in (Acceder).
Después de una autenticación correcta, AD FS te redirecciona a Google Identity Platform. Debido a que es el primer acceso de este usuario, se te pide que aceptes las Condiciones del Servicio y la Política de Privacidad de Google.
Si estás de acuerdo con los términos, haz clic en Aceptar.
Se te redireccionará a la consola de Google Cloud, que te pedirá que confirmes las preferencias y que aceptes las Condiciones del Servicio de Google Cloud. Si estás de acuerdo con las Condiciones del Servicio, haz clic en Sí y, luego, en Aceptar y continuar.
Arriba a la izquierda, haz clic en el ícono del avatar y haz clic en Salir.
Después, se te redireccionará a la página de AD FS que confirma que saliste con éxito.
Si tienes problemas para acceder, es posible que encuentres información adicional en el registro de administrador de AD FS.
Ten en cuenta que los usuarios con privilegios de administrador avanzado están exentos del inicio de sesión único, por lo que aún puedes usar la Consola del administrador para verificar o cambiar la configuración.
Limpia
Si no deseas mantener el inicio de sesión único habilitado para tu organización, sigue estos pasos a fin de inhabilitar el inicio de sesión único en Cloud Identity o Google Workspace:
- En la Consola del administrador, haz clic en Seguridad > Configuración.
- Haz clic en Configurar el inicio de sesión único (SSO) con un IdP de terceros.
- Limpia la casilla de verificación Configuración de SSO con proveedor de identidad de terceros.
- Haz clic en Guardar.
Para limpiar la configuración en AD FS, sigue estos pasos:
- Accede a tu servidor AD FS y abre las herramientas AD FS de MMC.
- En el menú a la izquierda, haz clic derecho sobre la carpeta relaciones de confianza con la parte autenticada.
- En la lista de relaciones de confianza, haz clic con el botón derecho en Cloud Identity y, luego, en Borrar.
- Confirma la eliminación con un clic en Sí.
¿Qué sigue?
- Obtén más información sobre cómo federar Google Cloud con Active Directory.
- Obtén información sobre el aprovisionamiento de usuarios B2B de Azure Active Directory y el inicio de sesión único.
- Lee las prácticas recomendadas para planificar cuentas y organizaciones y las prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.
- Familiarízate con nuestras prácticas recomendadas para administrar cuentas de administrador avanzado.