Aprovisionamiento de usuarios de Microsoft Entra ID (antes Azure AD) e inicio de sesión único


En este documento se muestra cómo configurar el aprovisionamiento de usuarios y el inicio de sesión único entre un usuario de Microsoft Entra ID (antes Azure AD) y tu cuenta de Cloud Identity o Google Workspace.

En el documento, se asume que ya usas Microsoft Office 365 o Microsoft Entra ID en tu organización y que deseas usar Microsoft Entra ID para permitir que los usuarios se autentiquen con Google Cloud. Es posible que Microsoft Entra ID esté conectado a un Active Directory local y que use la federación de AD FS, la autenticación de paso o la sincronización del hash de la contraseña.

Objetivos

  • Configura el Microsoft Entra ID para aprovisionar usuarios de forma automática y, como opción, grupos a Cloud Identity o Google Workspace.
  • Configurar el inicio de sesión único para permitir que los usuarios accedan a Google Cloud mediante una cuenta de usuario de Microsoft Entra ID o un usuario que se aprovisionó de Active Directory a Microsoft Entra ID.

Costos

Si usas la edición gratuita de Cloud Identity, configurar la federación con Microsoft Entra ID no usará ningún componente facturable de Google Cloud.

Consulta la página de precios de Microsoft Entra ID para conocer las tarifas que podrían aplicarse por su uso.

Antes de comenzar

  • Asegúrate de comprender las diferencias entre conectar Google Cloud a Microsoft Entra ID y conectar Google Cloud de forma directa con Active Directory.
  • Decide cómo deseas asignar las identidades, los grupos y los dominios entre Microsoft Entra ID y Cloud Identity o Google Workspace. En particular, responde a las siguientes preguntas:
    • ¿Planeas usar direcciones de correo electrónico o nombres principales de usuario (UPN) como identificadores comunes para los usuarios?
    • ¿Planeas aprovisionar grupos? Si es así, ¿planeas asignar los grupos por dirección de correo electrónico o por nombre?
    • ¿Planeas aprovisionar a todos los usuarios con Google Cloud o solo a un subconjunto selecto de usuarios?
  • Antes de conectar el usuario de Microsoft Entra ID a Google Cloud, considera usar un usuario de prueba de Microsoft Entra ID para configurar y probar el aprovisionamiento de usuarios.
  • Regístrate en Cloud Identity, si aún no tienes una cuenta.
  • Si usas la edición gratuita de Cloud Identity y pretendes aprovisionar más de 50usuarios, solicita un aumento de la cantidad total de usuarios gratuitos de Cloud Identity a través del contacto de asistencia.
  • Si sospechas que los empleados podrían haber usado alguno de los dominios que planeas usar para Cloud Identity a fin de registrar cuentas personales, considera migrar estas cuentas de usuario. Para obtener más detalles, consulta Evalúa cuentas de usuario existentes.

Prepara tu cuenta de Cloud Identity o Google Workspace

Crea un usuario para Microsoft Entra ID

Para permitir que Microsoft Entra ID acceda a tu cuenta de Cloud Identity o Google Workspace, debes crear un usuario para Microsoft Entra ID en tu cuenta de Cloud Identity o de Google Workspace.

El usuario de Microsoft Entra ID solo está diseñado para el aprovisionamiento automatizado. Por lo tanto, es mejor mantenerlo separado de otras cuentas de usuario; para ello, colócalo en una unidad organizacional (UO) separada. El uso de una UO separada también garantiza que más adelante puedas inhabilitar el inicio de sesión único para el usuario de Microsoft Entra ID.

Para crear una UO nueva, haz lo siguiente:

  1. Abre la Consola del administrador y accede con el usuario administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
  2. En el menú, ve a Directorio > Unidades organizacionales.
  3. Haz clic en Crear unidad organizativa y proporciona un nombre y una descripción para la UO:
    • Nombre: Automation
    • Descripción: Automation users
  4. Haz clic en Crear.

Crea una cuenta de usuario para Microsoft Entra ID y colócala en la UO Automation:

  1. En el menú, ve a Directorio > Usuarios y haz clic en Add new user para crear un usuario nuevo.
  2. Proporciona un nombre y una dirección de correo electrónico adecuados, como los siguientes:

    • Nombre: Microsoft Entra ID
    • Apellido: Provisioning
    • Dirección de correo electrónico principal: azuread-provisioning

      Conserva el dominio principal de la dirección de correo electrónico.

  3. Haz clic en Administrar la contraseña, la unidad organizativa y la foto de perfil del usuario, y establece la siguiente configuración:

    • Unidad organizacional: selecciona la UO Automation que creaste antes.
    • Contraseña: Selecciona Crear contraseña y, luego, ingresa una contraseña.
    • Solicitar el cambio de la contraseña durante el siguiente acceso: Inabilitado.
  4. Haz clic en Agregar usuario nuevo.

  5. Haz clic en Listo.

Asigna privilegios a Microsoft Entra ID

Para permitir que Microsoft Entra ID cree, enumere y suspenda usuarios y grupos en tu cuenta de Cloud Identity o Google Workspace, debes otorgar al usuario azuread-provisioning privilegios adicionales de la siguiente manera:

  • Para permitir que Microsoft Entra ID administre todos los usuarios, incluidos los administradores delegados y los usuarios administradores avanzados, debes convertir al usuario azuread-provisioning en un administrador avanzado.

  • Para permitir que Microsoft Entra ID administre solo los usuarios que no son administradores, basta con que el usuario azuread-provisioning sea un administrador delegado. Como administrador delegado, Microsoft Entra ID no puede administrar otros administradores delegados ni usuarios de administrador avanzado.

Administrador avanzado

Para que el usuario azuread-provisioning sea un administrador avanzado, haz lo siguiente:

  1. Ubica el usuario recién creado en la lista y haz clic en el nombre del usuario para abrir la página de su cuenta.
  2. En Admin roles and privileges, haz clic en Asignar funciones.
  3. Habilita la función de administrador avanzado.
  4. Haz clic en Guardar.

Administrador delegado

Para hacer que el usuario azuread-provisioning sea un administrador delegado, crea un rol de administrador nuevo y asígnalo al usuario:

  1. En el menú, ve a Cuenta > Roles de administrador.
  2. Haz clic en Crear rol nuevo.
  3. Proporciona un nombre y una descripción para el rol, como los siguientes:
    • Nombre: Microsoft Entra ID
    • Descripción: Role for automated user and group provisioning
  4. Haga clic en Continuar.
  5. En la pantalla siguiente, desplázate hacia abajo hasta la sección Privilegios de la API de Admin y establece los siguientes privilegios como habilitados:
    • Unidades organizativas > Lectura
    • Usuarios
    • Grupos
  6. Haga clic en Continuar.
  7. Haz clic en Crear rol.
  8. Haz clic en Asignar usuarios.
  9. Selecciona el usuario azuread-provisioning y haz clic en Asignar rol.

Registra dominios

En Cloud Identity y Google Workspace, los usuarios y los grupos se identifican por la dirección de correo electrónico. Los dominios que usan estas direcciones de correo electrónico se deben registrar y verificar primero.

Prepara una lista de dominios DNS para registrar:

  • Si planeas mapear usuarios por UPN, incluye todos los dominios que usan los UPN. Si no estás seguro, incluye todos los dominios personalizados de tu instancia de Microsoft Entra ID.
  • Si planeas asignar usuarios por dirección de correo electrónico, incluye todos los dominios que se usan en las direcciones de correo electrónico. La lista de dominios puede ser diferente de la lista de dominios personalizados de tu usuario de Microsoft Entra ID.

Si planeas aprovisionar grupos, modifica la lista de dominios DNS:

  • Si planeas asignar grupos por dirección de correo electrónico, incluye todos los dominios que se usan en las direcciones de correo electrónico del grupo. Si no estás seguro, incluye todos los dominios personalizados de tu instancia de Microsoft Entra ID.
  • Si planeas asignar grupos por nombre, incluye un subdominio dedicado como groups.PRIMARY_DOMAIN, en el que PRIMARY_DOMAIN es el nombre de dominio principal de tu cuenta de Cloud Identity o Google Workspace.

Ahora que identificaste la lista de dominios DNS, puedes registrar cualquier dominio que falte. Para cada dominio de la lista que aún no se registró, realiza los siguientes pasos:

  1. En la Consola del administrador, ve a Cuenta > Dominios > Administrar dominios.
  2. Haz clic en Agregar un dominio.
  3. Ingresa el nombre de dominio y selecciona Dominio secundario.
  4. Haz clic en Add domain and start verification y sigue las instrucciones para verificar la propiedad del dominio.

Configura el aprovisionamiento de Microsoft Entra ID

Crea una aplicación empresarial

Ahora estás listo para conectar Microsoft Entra ID a tu cuenta de Google Workspace o Cloud Identity si configuras la app de la galería Conector de Google Cloud/G Suite de Microsoft desde Microsoft Azure mercado.

La app de galería se puede configurar para controlar el aprovisionamiento de usuarios y el inicio de sesión único. En este documento, usarás dos instancias de la app de la galería: una para el aprovisionamiento de usuarios y otra para el inicio de sesión único.

Primero, crea una instancia de la app de la galería para controlar el aprovisionamiento de usuarios:

  1. Abre el portal de Azure y accede como usuario con privilegios de administrador global.
  2. Selecciona Microsoft Entra ID > Aplicaciones empresariales.
  3. Haz clic en New application.
  4. Busca Google Cloud y haz clic en el elemento Google Cloud/G Suite Connector de Microsoft en la lista de resultados.
  5. Configura el nombre de la aplicación como Google Cloud (Provisioning).
  6. Haz clic en Crear.
  7. Es posible que la aplicación demore unos segundos en agregarse, por lo que se te redireccionará a una página con el título Google Cloud (aprovisionamiento): Descripción general.
  8. En el menú de la izquierda, haz clic en Administrar > Propiedades:
    1. Configura Habilitado para que los usuarios accedan como No.
    2. Establece Asignación obligatoria como No.
    3. Configura Visible para los usuarios como No.
    4. Haz clic en Guardar.
  9. En el menú de la izquierda, haz clic en Administrar > Aprovisionamiento:

    1. Haz clic en Comenzar.
    2. Cambia Modo de aprovisionamiento a Automático.
    3. Haz clic en Credenciales del administrador > Autorizar.
    4. Accede con el usuario azuread-provisioning@DOMAIN que creaste antes, en el que DOMAIN es el dominio principal de tu cuenta de Cloud Identity o Google Workspace.

    5. Como es la primera vez que accedes con este usuario, se te solicitará que aceptes la Política de Privacidad y las Condiciones del Servicio de Google

    6. Si estás de acuerdo con los términos, haz clic en Comprendo.

    7. Para confirmar el acceso a la API de Cloud Identity, haz clic en Permitir.

    8. Haz clic en Probar conexión para verificar que Microsoft Entra ID pueda autenticarse de forma correcta con Cloud Identity o Google Workspace.

    9. Haz clic en Guardar.

Configura el aprovisionamiento de usuarios

La forma correcta de configurar el aprovisionamiento de usuarios depende de si tienes la intención de asignar usuarios por dirección de correo electrónico o por UPN.

UPN

  1. En Asignaciones, haz clic en Aprovisionar usuarios de Entra ID.
  2. Para los atributos surname y givenName, haz lo siguiente:
    1. Haz clic en Editar.
    2. Establece Default value if null en _.
    3. Haz clic en Aceptar.
  3. Haz clic en Guardar.
  4. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  5. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

UPN: sustitución de dominio

  1. En Asignaciones, haz clic en Aprovisionar usuarios de Entra ID.
  2. Para el atributo userPrincipalName, haz lo siguiente:

    1. Haz clic en Editar.
    2. Configura la siguiente asignación:

      • Mapping type: Expression
      • Expression:

        Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )
        

      Reemplaza lo siguiente:

      • DOMAIN: Es el nombre de dominio que deseas reemplazar.
      • SUBSTITUTE_DOMAIN es el nombre de dominio que se usará en su lugar.
    3. Haz clic en Aceptar.

  3. Para los atributos surname y givenName, haz lo siguiente:

    1. Haz clic en Editar.
    2. Establece Default value if null en _.
    3. Haz clic en Aceptar.
  4. Haz clic en Guardar.

  5. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .

  6. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Dirección de correo electrónico

  1. En Asignaciones, haz clic en Aprovisionar usuarios de Entra ID.
  2. Para el atributo userPrincipalName, haz lo siguiente:
    1. Haz clic en Editar.
    2. Establece Atributo de origen en mail.
    3. Haz clic en Aceptar.
  3. Para los atributos surname y givenName, haz lo siguiente:
    1. Haz clic en Editar.
    2. Establece Default value if null en _.
    3. Haz clic en Aceptar.
  4. Haz clic en Guardar.
  5. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  6. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Debes configurar las asignaciones para primaryEmail, name.familyName, name.givenName y suspended. Todas las demás asignaciones de atributos son opcionales.

Cuando configures las asignaciones de atributos adicionales, ten en cuenta lo siguiente:

  • Actualmente, no se permite asignar alias de correo electrónico en la galería Conector de Google Cloud/G Suite de Microsoft.
  • Actualmente, no se permite asignar licencias a los usuarios en la galería Conector de Google Cloud/G Suite de Microsoft. Como solución alternativa, considera configurar las licencias automáticas para unidades organizativas.
  • Para asignar un usuario a una unidad organizativa, agrega una asignación para OrgUnitPath. La ruta debe comenzar con un carácter / y debe hacer referencia a una unidad organizativa que ya existe, por ejemplo /employees/engineering.

Configura el aprovisionamiento de grupos

La forma correcta de configurar el aprovisionamiento del grupo depende de si los grupos están habilitados para correo. Si los grupos no están habilitados para correo o si los grupos usan una dirección de correo electrónico que termina en “onmicrosoft.com”, puedes derivar una dirección de correo electrónico del nombre del grupo.

Sin asignación de grupos

  1. En Asignaciones, haz clic en Aprovisionar grupos de Entra ID.
  2. Configura Habilitado como No.
  3. Haz clic en Guardar.
  4. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  5. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Nombre

  1. En la sección Asignaciones, haz clic en Aprovisionar grupos de Entra ID.
  2. Para el atributo mail, haz lo siguiente:
    1. Haz clic en Editar.
    2. Establece la siguiente configuración:
      1. Tipo de asignación: Expresión.
      2. Expresión: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN"). Reemplaza GROUPS_DOMAIN con el dominio que deben usar todas las direcciones de correo electrónico del grupo, por ejemplo, groups.example.com.
      3. Target attribute: mail.
    3. Haz clic en Aceptar.
  3. Haz clic en Guardar.
  4. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  5. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Dirección de correo electrónico

  • Si asignas grupos por dirección de correo electrónico, mantén la configuración predeterminada.

Configura la asignación de usuarios

Si sabes que solo un subconjunto determinado de usuarios necesita acceder a Google Cloud, puedes restringir de manera opcional el conjunto de usuarios que se aprovisionará mediante la asignación de la app empresarial a usuarios o grupos de usuarios específicos.

Si deseas que se aprovisionen todos los usuarios, puedes omitir los siguientes pasos.

  1. En el menú de la izquierda, haz clic en Administrar > Usuarios y grupos.
  2. Selecciona los usuarios o grupos que deseas aprovisionar. Si seleccionas un grupo, todos los miembros del grupo se aprovisionan de forma automática.
  3. Haz clic en Asignar.

Habilita el aprovisionamiento automático

El siguiente paso es configurar Microsoft Entra ID para aprovisionar a los usuarios en Cloud Identity o Google Workspace de forma automática:

  1. En el menú de la izquierda, haz clic en Administrar > Aprovisionamiento.
  2. Selecciona Edit provisioning.
  3. Configura Estado de aprovisionamiento como Activado.
  4. En Configuración, establece Alcance en una de las siguientes opciones:

    1. Selecciona Sincronizar solo los usuarios y grupos asignados, si configuraste la asignación de usuarios.
    2. De lo contrario, selecciona Sincronizar todos los usuarios y grupos.

    Si no se muestra el cuadro para configurar el alcance, haz clic en Guardar y actualiza la página.

  5. Haz clic en Guardar.

Microsoft Entra ID comienza una sincronización inicial. Según la cantidad de usuarios y grupos del directorio, este proceso puede llevar varios minutos u horas. Puedes actualizar la página del navegador para ver el estado de la sincronización en la parte inferior de la página o seleccionar Registros de auditoría en el menú si quieres ver más detalles.

Una vez completada la sincronización inicial, Microsoft Entra ID propagará periódicamente las actualizaciones de Microsoft Entra ID a tu cuenta de Cloud Identity o Google Workspace. Para obtener más detalles sobre cómo Microsoft Entra ID maneja las modificaciones de usuarios y grupos, consulta Asigna el ciclo de vida del usuario y Asigna el ciclo de vida del grupo.

Soluciona problemas

Si la sincronización no inicia en cinco minutos, puedes forzar el inicio si haces lo siguiente:

  1. Haz clic en Editar aprovisionamiento.
  2. Configura Estado de aprovisionamiento como Desactivado.
  3. Haz clic en Guardar.
  4. Configura Estado de aprovisionamiento como Activado.
  5. Haz clic en Guardar.
  6. Cierra el diálogo de aprovisionamiento.
  7. Haz clic en Reiniciar aprovisionamiento.

Si la sincronización aún no inicia, haz clic en Probar conexión para verificar que tus credenciales se hayan guardado de forma adecuada.

Configura Microsoft Entra ID para el inicio de sesión único

Aunque todos los usuarios de Microsoft Entra ID relevantes se aprovisionan automáticamente a Cloud Identity o Google Workspace, aún no puedes usar estos usuarios para acceder. Para permitir que los usuarios accedan, todavía debes configurar el inicio de sesión único.

Crea un perfil de SAML

Para configurar el inicio de sesión único con Microsoft Entra ID, primero debes crear un perfil de SAML en tu cuenta de Cloud Identity o Google Workspace. El perfil de SAML contiene la configuración relacionada con tu usuario de Microsoft Entra ID, incluida su URL y su certificado de firma.

Más adelante, asignarás el perfil de SAML a ciertos grupos o unidades organizativas.

Para crear un perfil de SAML nuevo en tu cuenta de Cloud Identity o Google Workspace, haz lo siguiente:

  1. En la Consola del administrador, ve a SSO con IdP de terceros.

    Ir al SSO con IdP de terceros

  2. Haz clic en Perfiles de SSO de terceros > Agregar perfil de SAML.

  3. En la página SAML SSO profile, ingresa la siguiente configuración:

    • Nombre: Entra ID
    • ID de entidad del IdP: Déjalo en blanco.
    • URL de la página de acceso: Deja en blanco
    • URL de la página de salida: Deja en blanco.
    • URL de cambio de contraseña: Déjalo en blanco.

    Aún no subas un certificado de verificación.

  4. Haz clic en Guardar.

    La página Perfil de SSO de SAML que aparece contiene dos URLs:

    • ID de entidad
    • URL de ACS

    Necesitarás estas URLs en la siguiente sección cuando configures el ID de Microsoft Entra.

Crea una aplicación de Microsoft Entra ID

Crea una segunda aplicación empresarial para controlar el inicio de sesión único:

  1. En Azure Portal, ve a Microsoft Entra ID > Aplicaciones empresariales.
  2. Haz clic en New application.
  3. Busca Google Cloud y, luego, haz clic en Conector de Google Cloud G Suite de Microsoft en la lista de resultados.
  4. Configura el nombre de la aplicación como Google Cloud.
  5. Haz clic en Crear.

    Agregar la aplicación puede tomar unos segundos. A continuación, se te redireccionará a una página llamada Google Cloud: Descripción general.

  6. En el menú de la izquierda, haz clic en Administrar > Propiedades.

  7. Configura Habilitado para que los usuarios accedan como .

  8. Configura Se requiere asignación de usuarios como , a menos que desees permitir que todos los usuarios usen el inicio de sesión único.

  9. Haz clic en Guardar.

Configura la asignación de usuarios

Si ya sabes que solo un subconjunto determinado de usuarios necesita acceso a Google Cloud, de forma opcional, puedes restringir el acceso de los usuarios mediante la asignación de la app empresarial a usuarios específicos o grupos de usuarios.

Si configuraste Se requiere la asignación de usuarios como No antes, puedes omitir los siguientes pasos.

  1. En el menú de la izquierda, haz clic en Administrar > Usuarios y grupos.
  2. Selecciona los usuarios o grupos para los que deseas permitir el inicio de sesión único.
  3. Haz clic en Asignar.

Habilitar inicio de sesión único

Si quieres habilitar Cloud Identity para que use Microsoft Entra ID para la autenticación, debes ajustar algunas opciones de configuración:

  1. En el menú de la izquierda, haz clic en Administrar > Inicio de sesión único.
  2. En la pantalla de selección, haz clic en la tarjeta SAML.
  3. En la tarjeta Basic SAML Configuration, haz clic en Editar.
  4. En el cuadro de diálogo Basic SAML Configuration, ingresa la siguiente configuración:

    1. Identifier (Entity ID):
      • Agrega la URL de la entidad de tu perfil de SSO y establece Predeterminada en Habilitada.
      • Quita todas las demás entradas.
    2. URL de respuesta: Agrega la URL de ACS de tu perfil de SSO.
    3. URL de acceso:

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
      

      Reemplaza PRIMARY_DOMAIN por el nombre de dominio principal que usa tu cuenta de Cloud Identity o Google Workspace.

  5. Haz clic en Guardar y, luego, haz clic en X para descartar el cuadro de diálogo.

  6. En la tarjeta Certificado de registro del SAML, busca la entrada con la etiqueta Certificado (base 64) y haz clic en Descargar para descargar el certificado a tu computadora local.

  7. En la tarjeta Configurar Google Cloud, encontrarás dos URLs:

    • URL de acceso
    • Identificador de Microsoft Entra ID

    Necesitarás estas URLs en la siguiente sección cuando completes el perfil de SAML.

Los pasos restantes difieren en función de si asignas usuarios por dirección de correo electrónico o por UPN.

UPN

  1. En la tarjeta Attributes & Claims, haz clic en Edit.
  2. Borra todos los reclamos enumerados en Additional claims. Para borrar registros, haz clic en el botón y selecciona Borrar.

    La lista de atributos y reclamaciones ahora se ve de la siguiente manera:

    Diálogo Atributos y reclamos del usuario

  3. Para cerrar el cuadro de diálogo, haz clic en X.

UPN: sustitución de dominio

  1. En la tarjeta User Attributes & Claims, haz clic en Edit.
  2. Borra todos los reclamos enumerados en Additional claims. Para borrar registros, haz clic en el botón y selecciona Borrar.

    La lista de atributos y reclamaciones ahora se ve de la siguiente manera:

    Diálogo Atributos y reclamos del usuario

  3. Haz clic en Unique User Identifier (Name ID) para cambiar la asignación de reclamaciones.

  4. Configura Fuente como Transformación y configura la siguiente transformación:

    • Transformación: ExtractMailPrefix()
    • Parámetro 1: user.userPrincipalName
  5. Selecciona Agregar transformación y configura la siguiente transformación:

    • Transformación: Join()
    • Separador: @
    • Parámetro 2: ingresa el nombre de dominio sustituto.

    Debes usar el mismo nombre de dominio sustituto para el aprovisionamiento de usuarios y el inicio de sesión único. Si el nombre de dominio no aparece en la lista, es posible que debas verificarlo primero .

  6. Haz clic en Agregar.

  7. Haz clic en Guardar.

  8. Para cerrar el cuadro de diálogo, haz clic en X.

Dirección de correo electrónico

  1. En la tarjeta User Attributes & Claims, haz clic en Edit.
  2. Selecciona la fila etiquetada Unique User Identifier (Name ID).
  3. Cambia el atributo de origen a user.mail.
  4. Haz clic en Guardar.
  5. Borra todos los reclamos enumerados en Additional claims. Para borrar todos los registros, haz clic en y, luego, en Borrar.

    Diálogo Atributos y reclamos del usuario

  6. Haz clic en  para descartar el diálogo.

Completa el perfil de SAML

Completa la configuración de tu perfil de SAML:

  1. Regresa a la Consola del administrador y ve a Seguridad > Autenticación > SSO con IdP de terceros.

    Ir al SSO con IdP de terceros

  2. Abre el perfil de SAML Entra ID que creaste antes.

  3. Haz clic en la sección Detalles de la IDP para editar la configuración.

  4. Ingresa las opciones de configuración siguientes:

    • ID de la entidad del IDP: Ingresa el identificador de Microsoft Entra de la tarjeta Configurar Google Cloud en el Portal de Azure.
    • URL de la página de acceso: ingresa la URL de acceso de la tarjeta Set up Google Cloud en Azure Portal.
    • URL de la página de cierre de sesión: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • Change password URL: https://account.activedirectory.windowsazure.com/changepassword.aspx
  5. En Certificado de verificación, haz clic en Subir certificado y, luego, elige el certificado de firma de token que descargaste antes.

  6. Haz clic en Guardar.

El certificado de firma de token de Microsoft Entra ID es válido durante un período limitado y debes rotar el certificado antes de que venza. Para obtener más información, consulta Rota un certificado de inicio de sesión único más adelante en este documento.

Tu perfil de SAML está completo, pero aún debes asignarlo.

Asigna el perfil de SAML

Selecciona los usuarios para los que se debe aplicar el nuevo perfil de SAML:

  1. En la Consola del administrador, en la página SSO con IDP de terceros, haz clic en Administrar asignaciones de perfiles de SSO > Administrar.

    Ve a Administrar asignaciones de perfiles de SSO.

  2. En el panel izquierdo, selecciona el grupo o la unidad organizativa para la que quieres aplicar el perfil de SSO. Para aplicar el perfil a todos los usuarios, selecciona la unidad organizativa raíz.

  3. En el panel derecho, selecciona Otro perfil de SSO.

  4. En el menú, selecciona el perfil de SSO de Entra ID - SAML que creaste antes.

  5. Haz clic en Guardar.

Para asignar el perfil de SAML a otro grupo o unidad organizativa, repite los pasos anteriores.

Actualiza la configuración de SSO para la UO Automation a fin de inhabilitar el inicio de sesión único:

  1. En el panel izquierdo, selecciona la UO Automation.
  2. En el panel derecho, selecciona Ninguno.
  3. Haz clic en Anular.

Opcional: Configura redireccionamientos para URLs de servicios específicas del dominio

Cuando vinculas a la consola de Google Cloud desde portales o documentos internos, puedes mejorar la experiencia del usuario con las URLs de servicio específicas del dominio.

A diferencia de las URLs de servicios normales, como https://console.cloud.google.com/, las URLs de servicios específicos del dominio incluyen el nombre de tu dominio principal. Los usuarios no autenticados que hacen clic en un vínculo a una URL de servicio específica del dominio se redireccionan de inmediato a Entra ID en lugar de que se les muestre primero una página de acceso de Google.

Estos son algunos ejemplos de URLs de servicios específicas del dominio:

Servicio de Google URL Logotipo
Consola de Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logotipo de Google Cloud
Documentos de Google https://docs.google.com/a/DOMAIN Logotipo de Documentos de Google
Hojas de cálculo de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logotipo de Hojas de cálculo de Google
Sitios de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logotipo de Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logotipo de Google Drive
Gmail https://mail.google.com/a/DOMAIN Logotipo de Gmail
Grupos de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logotipo de Grupos de Google
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logotipo de Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logotipo de Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logotipo de YouTube

Para configurar las URLs del servicio específicas del dominio de modo que redireccionen a Entra ID, haz lo siguiente:

  1. En la Consola del administrador, en la página SSO con IdP de terceros, haz clic en URLs de servicio específicas del dominio > Editar.

    Ir a las URLs de servicio específicas del dominio

  2. Configura Redirecciona automáticamente a los usuarios a un IdP externo en el siguiente perfil de SSO como habilitado.

  3. Establece perfil de SSO en Entra ID.

  4. Haz clic en Guardar.

Opcional: Configura las verificaciones de identidad

Es posible que el Acceso con Google solicite a los usuarios una verificación adicional cuando accedan desde dispositivos desconocidos o cuando su intento de acceso parezca sospechoso por otros motivos. Estos desafíos de acceso ayudan a mejorar la seguridad, por lo que te recomendamos que los dejes habilitados.

Si consideras que los desafíos de acceso causan demasiados inconvenientes, puedes inhabilitarlos. Para ello, haz lo siguiente:

  1. En la Consola del administrador, ve a Seguridad > Autenticación > Desafíos de acceso.
  2. En el panel izquierdo, selecciona una unidad organizativa para la que quieras inhabilitar los desafíos de acceso. Para inhabilitar los desafíos de acceso para todos los usuarios, selecciona la unidad organizativa raíz.
  3. En Configuración para usuarios que acceden con otros perfiles de SSO, selecciona No solicites a los usuarios verificaciones adicionales de Google.
  4. Haz clic en Guardar.

Prueba el inicio de sesión único

Ahora que completaste la configuración del inicio de sesión único en Microsoft Entra ID y en Cloud Identity o Google Workspace, puedes acceder a Google Cloud de dos maneras:

Para verificar que la segunda opción funciona según lo previsto, ejecuta la siguiente prueba:

  1. Elige un usuario de Microsoft Entra ID que se haya aprovisionado a Cloud Identity o Google Workspace y que no tenga privilegios de administrador avanzado asignados. Los usuarios con privilegios de administrador avanzado siempre deben acceder con credenciales de Google y, por lo tanto, no son adecuados para probar el inicio de sesión único.
  2. Abre una ventana del navegador nueva y ve a https://console.cloud.google.com/.
  3. En la página de Acceso con Google que aparece, ingresa la dirección de correo electrónico del usuario y haz clic en Siguiente. Si usas la sustitución de dominio, esta dirección debe ser la dirección de correo electrónico en la que se aplicó la sustitución.

    Diálogo de acceso con Google

  4. Serás redireccionado a Microsoft Entra ID y verás otro mensaje de acceso. Ingresa la dirección de correo electrónico del usuario (sin cambio de dominio) y haz clic en Siguiente.

    Diálogo del acceso con Microsoft Entra ID

  5. Después de ingresar tu contraseña, se te preguntará si quieres permanecer conectado o no. Por ahora, elige No.

    Después de una autenticación exitosa, Microsoft Entra ID debería redireccionarte al Acceso con Google. Como es la primera vez que accedes con este usuario, se te solicitará que aceptes la Política de Privacidad y las Condiciones del Servicio de Google.

  6. Si estás de acuerdo con los términos, haz clic en Comprendo.

    Serás redireccionado a la consola de Google Cloud, que te pedirá que confirmes las preferencias y que aceptes las Condiciones del Servicio de Google Cloud.

  7. Si aceptas las condiciones, selecciona y haz clic en Aceptar y continuar.

  8. Haz clic en el ícono del avatar en la esquina superior izquierda de la página y, luego, haz clic en Salir.

    Se te redireccionará a una página de Microsoft Entra ID que confirma que saliste correctamente.

Ten en cuenta que los usuarios con privilegios de administrador avanzado están exentos del inicio de sesión único, por lo que aún puedes usar la Consola del administrador para verificar o cambiar la configuración.

Rota un certificado de inicio de sesión único

El certificado de firma de token de Microsoft Entra ID es válido solo durante varios meses y debes reemplazar el certificado antes de que venza.

Para rotar un certificado de firma, agrega un certificado adicional a la aplicación de Microsoft Entra ID:

  1. En Azure Portal, ve a Microsoft Entra ID > Aplicaciones empresariales y abre la aplicación que creaste. para el inicio de sesión único.
  2. En el menú de la izquierda, haz clic en Administrar > Inicio de sesión único.
  3. En la tarjeta SAML Signing Certificate, haz clic en Edit.

    Verás una lista de uno o más certificados. Uno de ellos estará marcado como activo.

  4. Haz clic en New certificate.

  5. Mantén la configuración de firma predeterminada y haz clic en Save.

    El certificado se agrega a la lista de certificados y se marca como inactivo.

  6. Selecciona el certificado nuevo y haz clic en > Descargar el certificado de Base64.

    Mantén abierta la ventana del navegador y no cierres el cuadro de diálogo.

Para usar el certificado nuevo, haz lo siguiente:

  1. Abra una nueva pestaña o ventana del navegador.

  2. Abre la Consola del administrador y ve a SSO con IdP de terceros.

    Ir al SSO con IdP de terceros

  3. Abre el perfil de SAML de Entra ID.

  4. Haz clic en Detalles del IDP.

  5. Haz clic en Upload another certificate y selecciona el certificado nuevo que descargaste antes.

  6. Haz clic en Guardar.

  7. Regresa al portal de Microsoft Entra ID y al diálogo Certificado de firma de SAML.

  8. Selecciona el certificado nuevo y haz clic en > Make certificate active.

  9. Haz clic en Yes para activar el certificado.

    Microsoft Entra ID ahora usa el nuevo certificado de firma.

  10. Prueba que el SSO aún funcione como se espera. Para obtener más información, consulta Prueba el inicio de sesión único.

Para quitar el certificado anterior, haz lo siguiente:

  1. Regresa a la Consola del administrador y al perfil de SAML de Entra ID.
  2. Haz clic en Detalles del IDP.
  3. En Certificado de verificación, compara las fechas de vencimiento de tus certificados para encontrar el certificado anterior y haz clic en .
  4. Haz clic en Guardar.

Libera espacio

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Para inhabilitar el inicio de sesión único en tu cuenta de Cloud Identity o Google Workspace, sigue estos pasos:

  1. En la Consola del administrador, ve a Administrar la asignación de perfiles de SSO.

    Ve a Administrar asignaciones de perfiles de SSO.

  2. Para cada asignación de perfil, haz lo siguiente:

    1. Abre el perfil.
    2. Si ves el botón Heredar, haz clic en Heredar. Si no ves el botón Heredar, selecciona Ninguno y haz clic en Guardar.
  3. Regresa a la página SSO con IdP de terceros y abre el perfil de SAML de Microsoft Entra ID.

  4. Haz clic en Borrar.

Puedes quitar el inicio de sesión único y la configuración de aprovisionamiento en Microsoft Entra ID de la siguiente manera:

  1. En Azure Portal, ve a Microsoft Entra ID > Aplicaciones empresariales.
  2. En la lista de aplicaciones, elige Google Cloud.
  3. En el menú de la izquierda, haz clic en Administrar > Inicio de sesión único.
  4. Haz clic en Borrar.
  5. Confirma la eliminación con un clic en .

¿Qué sigue?