Aprovisionamiento de usuarios de Microsoft Entra ID (antes Azure AD) e inicio de sesión único

Fecha de actualización: 26 de marzo de 2024

En este documento se muestra cómo configurar el aprovisionamiento de usuarios y el inicio de sesión único entre un usuario de Microsoft Entra ID (antes Azure AD) y tu cuenta de Cloud Identity o Google Workspace.

En el documento, se asume que ya usas Microsoft Office 365 o Microsoft Entra ID en tu organización y que deseas usar Microsoft Entra ID para permitir que los usuarios se autentiquen con Google Cloud. Es posible que Microsoft Entra ID esté conectado a un Active Directory local y que use la federación de AD FS, la autenticación de paso o la sincronización del hash de la contraseña.

Objetivos

  • Configura el Microsoft Entra ID para aprovisionar usuarios de forma automática y, como opción, grupos a Cloud Identity o Google Workspace.
  • Configurar el inicio de sesión único para permitir que los usuarios accedan a Google Cloud mediante una cuenta de usuario de Microsoft Entra ID o un usuario que se aprovisionó de Active Directory a Microsoft Entra ID.

Costos

Si usas la edición gratuita de Cloud Identity, configurar la federación con Microsoft Entra ID no usará ningún componente facturable de Google Cloud.

Consulta la página de precios de Microsoft Entra ID para conocer las tarifas que podrían aplicarse por su uso.

Antes de comenzar

  • Asegúrate de comprender las diferencias entre conectar Google Cloud a Microsoft Entra ID y conectar Google Cloud de forma directa con Active Directory.
  • Decide cómo deseas asignar las identidades, los grupos y los dominios entre Microsoft Entra ID y Cloud Identity o Google Workspace. En particular, responde a las siguientes preguntas:
    • ¿Planeas usar direcciones de correo electrónico o nombres principales de usuario (UPN) como identificadores comunes para los usuarios?
    • ¿Planeas aprovisionar grupos? Si es así, ¿planeas asignar los grupos por dirección de correo electrónico o por nombre?
    • ¿Planeas aprovisionar a todos los usuarios con Google Cloud o solo a un subconjunto selecto de usuarios?
  • Antes de conectar el usuario de Microsoft Entra ID a Google Cloud, considera usar un usuario de prueba de Microsoft Entra ID para configurar y probar el aprovisionamiento de usuarios.
  • Regístrate en Cloud Identity, si aún no tienes una cuenta.
  • Si usas la edición gratuita de Cloud Identity y pretendes aprovisionar más de 50 usuarios, solicita un aumento de la cantidad total de usuarios gratuitos de Cloud Identity a través del contacto de asistencia.
  • Si sospechas que los empleados podrían haber usado alguno de los dominios que planeas usar para Cloud Identity a fin de registrar cuentas personales, considera migrar estas cuentas de usuario. Para obtener más detalles, consulta Evalúa cuentas de usuario existentes.

Prepara tu cuenta de Cloud Identity o Google Workspace

Crea un usuario para Microsoft Entra ID

Para permitir que Microsoft Entra ID acceda a tu cuenta de Cloud Identity o Google Workspace, debes crear un usuario para Microsoft Entra ID en tu cuenta de Cloud Identity o de Google Workspace.

El usuario de Microsoft Entra ID solo está diseñado para el aprovisionamiento automatizado. Por lo tanto, es mejor mantenerlo separado de otras cuentas de usuario; para ello, colócalo en una unidad organizacional (UO) separada. El uso de una UO separada también garantiza que más adelante puedas inhabilitar el inicio de sesión único para el usuario de Microsoft Entra ID.

Para crear una UO nueva, haz lo siguiente:

  1. Abre la Consola del administrador y accede con el usuario administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
  2. En el menú, ve a Directorio > Unidades organizacionales.
  3. Haz clic en Crear unidad organizativa y proporciona un nombre y una descripción para la UO:
    • Nombre: Automation
    • Descripción: Automation users
  4. Haz clic en Crear.

Crea una cuenta de usuario para Microsoft Entra ID y colócala en la UO Automation:

  1. En el menú, ve a Directorio > Usuarios y haz clic en Add new user para crear un usuario nuevo.

  2. Proporciona un nombre y una dirección de correo electrónico adecuados, como los siguientes:

    • Nombre: Microsoft Entra ID
    • Apellido: Provisioning

    • Dirección de correo electrónico principal: azuread-provisioning

      Conserva el dominio principal de la dirección de correo electrónico.

  3. Haz clic en Administrar la contraseña, la unidad organizativa y la foto de perfil del usuario, y establece la siguiente configuración:

    • Unidad organizacional: selecciona la UO Automation que creaste antes.
    • Contraseña: Selecciona Crear contraseña y, luego, ingresa una contraseña.
    • Solicitar el cambio de la contraseña durante el siguiente acceso: Inabilitado.

  4. Haz clic en Agregar usuario nuevo.

  5. Haz clic en Listo.

Asigna privilegios a Microsoft Entra ID

Para permitir que Microsoft Entra ID cree, enumere y suspenda usuarios y grupos en tu cuenta de Cloud Identity o Google Workspace, debes otorgar al usuario azuread-provisioning privilegios adicionales de la siguiente manera:

  • Para permitir que Microsoft Entra ID administre todos los usuarios, incluidos los administradores delegados y los usuarios administradores avanzados, debes convertir al usuario azuread-provisioning en un administrador avanzado.

  • Para permitir que Microsoft Entra ID administre solo los usuarios que no son administradores, basta con que el usuario azuread-provisioning sea un administrador delegado. Como administrador delegado, Microsoft Entra ID no puede administrar otros administradores delegados ni usuarios de administrador avanzado.

Administrador avanzado

Para que el usuario azuread-provisioning sea un administrador avanzado, haz lo siguiente:

  1. Ubica el usuario recién creado en la lista y haz clic en el nombre del usuario para abrir la página de su cuenta.
  2. En Admin roles and privileges, haz clic en Asignar funciones.
  3. Habilita la función de administrador avanzado.
  4. Haz clic en Guardar.

Administrador delegado

Para hacer que el usuario azuread-provisioning sea un administrador delegado, crea un rol de administrador nuevo y asígnalo al usuario:

  1. En el menú, ve a Cuenta > Roles de administrador.
  2. Haz clic en Crear rol nuevo.
  3. Proporciona un nombre y una descripción para el rol, como los siguientes:
    • Nombre: Microsoft Entra ID
    • Descripción: Role for automated user and group provisioning
  4. Haga clic en Continuar.
  5. En la pantalla siguiente, desplázate hacia abajo hasta la sección Privilegios de la API de Admin y establece los siguientes privilegios como habilitados:
    • Unidades organizativas > Lectura
    • Usuarios
    • Grupos
  6. Haga clic en Continuar.
  7. Haz clic en Crear rol.
  8. Haz clic en Asignar usuarios.
  9. Selecciona el usuario azuread-provisioning y haz clic en Asignar rol.

Registra dominios

En Cloud Identity y Google Workspace, los usuarios y los grupos se identifican por la dirección de correo electrónico. Los dominios que usan estas direcciones de correo electrónico se deben registrar y verificar primero.

Prepara una lista de dominios DNS para registrar:

  • Si planeas mapear usuarios por UPN, incluye todos los dominios que usan los UPN. Si no estás seguro, incluye todos los dominios personalizados de tu instancia de Microsoft Entra ID.
  • Si planeas asignar usuarios por dirección de correo electrónico, incluye todos los dominios que se usan en las direcciones de correo electrónico. La lista de dominios puede ser diferente de la lista de dominios personalizados de tu usuario de Microsoft Entra ID.

Si planeas aprovisionar grupos, modifica la lista de dominios DNS:

  • Si planeas asignar grupos por dirección de correo electrónico, incluye todos los dominios que se usan en las direcciones de correo electrónico del grupo. Si no estás seguro, incluye todos los dominios personalizados de tu instancia de Microsoft Entra ID.
  • Si planeas asignar grupos por nombre, incluye un subdominio dedicado como groups.PRIMARY_DOMAIN, en el que PRIMARY_DOMAIN es el nombre de dominio principal de tu cuenta de Cloud Identity o Google Workspace.

Ahora que identificaste la lista de dominios DNS, puedes registrar cualquier dominio que falte. Para cada dominio de la lista que aún no se registró, realiza los siguientes pasos:

  1. En la Consola del administrador, ve a Cuenta > Dominios > Administrar dominios.
  2. Haga clic en Agregar o quitar dominios.
  3. Haz clic en Agregar un dominio.
  4. Ingresa el nombre de dominio y selecciona Dominio secundario.
  5. Haz clic en Add domain and start verification y sigue las instrucciones para verificar la propiedad del dominio.

Configura el aprovisionamiento de Microsoft Entra ID

Crea una aplicación empresarial

Ahora estás listo para conectar Microsoft Entra ID a tu cuenta de Google Workspace o Cloud Identity si configuras la app de la galería Conector de Google Cloud/G Suite de Microsoft desde Microsoft Azure mercado.

La app de galería se puede configurar para controlar el aprovisionamiento de usuarios y el inicio de sesión único. En este documento, usarás dos instancias de la app de la galería: una para el aprovisionamiento de usuarios y otra para el inicio de sesión único.

Primero, crea una instancia de la app de la galería para controlar el aprovisionamiento de usuarios:

  1. Abre el portal de Azure y accede como usuario con privilegios de administrador global.
  2. Selecciona Microsoft Entra ID > Aplicaciones empresariales.
  3. Haz clic en New application.
  4. Busca Google Cloud y haz clic en el elemento Google Cloud/G Suite Connector de Microsoft en la lista de resultados.
  5. Configura el nombre de la aplicación como Google Cloud (Provisioning).
  6. Haz clic en Crear.
  7. Es posible que la aplicación demore unos segundos en agregarse, por lo que se te redireccionará a una página con el título Google Cloud (aprovisionamiento): Descripción general.
  8. En el menú de la izquierda, haz clic en Administrar > Propiedades:
    1. Configura Habilitado para que los usuarios accedan como No.
    2. Configura Se requiere la asignación del usuario como No.
    3. Configura Visible para los usuarios como No.
    4. Haz clic en Guardar.
  9. En el menú de la izquierda, haz clic en Administrar > Aprovisionamiento:
    1. Haz clic en Comenzar.
    2. Cambia Modo de aprovisionamiento a Automático.
    3. Haz clic en Credenciales del administrador > Autorizar.
    4. Accede con el usuario azuread-provisioning@DOMAIN que creaste antes, en el que DOMAIN es el dominio principal de tu cuenta de Cloud Identity o Google Workspace.
    5. Como es la primera vez que accedes con este usuario, se te solicitará que aceptes la Política de Privacidad y las Condiciones del Servicio de Google.
    6. Si estás de acuerdo con los términos, haz clic en Comprendo.
    7. Para confirmar el acceso a la API de Cloud Identity, haz clic en Permitir.
    8. Haz clic en Probar conexión para verificar que Microsoft Entra ID pueda autenticarse de forma correcta con Cloud Identity o Google Workspace.
    9. Haz clic en Guardar.

Configura el aprovisionamiento de usuarios

La forma correcta de configurar el aprovisionamiento de usuarios depende de si tienes la intención de asignar usuarios por dirección de correo electrónico o por UPN.

UPN

  1. En Asignaciones, haz clic en Provision Azure Active Directory Users.
  2. En Asignación de atributos, selecciona la fila apellido y configura Default value if null como _.
  3. Selecciona la fila givenName y configura Default value if null como _.
  4. Haz clic en Aceptar.
  5. Haz clic en Guardar.
  6. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  7. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

UPN: sustitución de dominio

  1. En Asignaciones, haz clic en Provision Azure Active Directory Users.

  2. En Asignación de atributos, selecciona la fila userPrincipalName y configura la siguiente asignación:

    • Mapping type: Expression

    • Expression:

      Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )

    Reemplaza lo siguiente:

    • DOMAIN: Es el nombre de dominio que deseas reemplazar.
    • SUBSTITUTE_DOMAIN es el nombre de dominio que se usará en su lugar.

  3. Haz clic en Aceptar.

  4. Selecciona la fila surname y configura Default value if null como _.

  5. Selecciona la fila givenName y configura Default value if null como _.

  6. Haz clic en Aceptar.

  7. Haz clic en Guardar.

  8. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .

  9. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Dirección de correo electrónico

  1. En Asignaciones, haz clic en Provision Azure Active Directory Users.
  2. En Asignación de atributos, selecciona la fila userPrincipalName y configura Atributo de origen como correo electrónico.
  3. Selecciona la fila surname y configura Default value if null como _.
  4. Selecciona la fila givenName y configura Default value if null como _.
  5. Haz clic en Aceptar.
  6. Haz clic en Guardar.
  7. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  8. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Debes configurar las asignaciones para primaryEmail, name.familyName, name.givenName y suspended. Todas las demás asignaciones de atributos son opcionales.

Cuando configures las asignaciones de atributos adicionales, ten en cuenta lo siguiente:

  • Actualmente, no se permite asignar alias de correo electrónico en la galería Conector de Google Cloud/G Suite de Microsoft.
  • Actualmente, no se permite asignar licencias a los usuarios en la galería Conector de Google Cloud/G Suite de Microsoft. Como solución alternativa, considera configurar las licencias automáticas para unidades organizativas.
  • Para asignar un usuario a una unidad organizativa, agrega una asignación para OrgUnitPath. La ruta debe comenzar con un carácter / y debe hacer referencia a una unidad organizativa que ya existe, por ejemplo /employees/engineering.

Configura el aprovisionamiento de grupos

La forma correcta de configurar el aprovisionamiento del grupo depende de si los grupos están habilitados para correo. Si los grupos no están habilitados para correo o si los grupos usan una dirección de correo electrónico que termina en “onmicrosoft.com”, puedes derivar una dirección de correo electrónico del nombre del grupo.

Sin asignación de grupos

  1. En Asignaciones, haz clic en Provision Azure Active Directory Groups.
  2. Configura Habilitado como No.
  3. Haz clic en Guardar.
  4. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  5. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Nombre

  1. En la sección Asignaciones, haz clic en Provision Azure Active Directory Groups.
  2. En la sección Asignaciones de atributos, haz clic en correo electrónico, que abre el cuadro de diálogo Editar atributo.
  3. Establece la siguiente configuración:
    1. Tipo de asignación: Expresión.
    2. Expresión: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN"). Reemplaza GROUPS_DOMAIN con el dominio que deben usar todas las direcciones de correo electrónico del grupo, por ejemplo, groups.example.com.
    3. Target attribute: mail.
  4. Haz clic en Aceptar.
  5. Haz clic en Guardar.
  6. Para confirmar que los cambios guardados generen una nueva sincronización de usuarios y grupos, haz clic en .
  7. Haz clic en X para cerrar el cuadro de diálogo Asignación de atributos.

Dirección de correo electrónico

  • Si asignas grupos por dirección de correo electrónico, mantén la configuración predeterminada.

Configura la asignación de usuarios

Si sabes que solo un subconjunto determinado de usuarios necesita acceder a Google Cloud, puedes restringir de manera opcional el conjunto de usuarios que se aprovisionará mediante la asignación de la app empresarial a usuarios o grupos de usuarios específicos.

Si deseas que se aprovisionen todos los usuarios, puedes omitir los siguientes pasos.

  1. En el menú de la izquierda, haz clic en Manage > Users and groups.
  2. Haz clic en Agregar usuario.
  3. Selecciona Usuarios.
  4. Selecciona los usuarios o grupos que deseas aprovisionar. Si seleccionas un grupo, todos los miembros del grupo se aprovisionan de forma automática.
  5. Haz clic en Seleccionar.
  6. Haz clic en Asignar.

Habilita el aprovisionamiento automático

El siguiente paso es configurar Microsoft Entra ID para aprovisionar a los usuarios en Cloud Identity o Google Workspace de forma automática:

  1. En el menú de la izquierda, haz clic en Administrar > Aprovisionamiento.
  2. Selecciona Edit provisioning.
  3. Configura Estado de aprovisionamiento como Activado.

  4. En Configuración, establece Alcance en una de las siguientes opciones:

    1. Selecciona Sincronizar solo los usuarios y grupos asignados, si configuraste la asignación de usuarios.
    2. De lo contrario, selecciona Sincronizar todos los usuarios y grupos.

    Si no se muestra el cuadro para configurar el alcance, haz clic en Guardar y actualiza la página.

  5. Haz clic en Guardar.

Microsoft Entra ID comienza una sincronización inicial. Según la cantidad de usuarios y grupos del directorio, este proceso puede llevar varios minutos u horas. Puedes actualizar la página del navegador para ver el estado de la sincronización en la parte inferior de la página o seleccionar Registros de auditoría en el menú si quieres ver más detalles.

Una vez completada la sincronización inicial, Microsoft Entra ID propagará periódicamente las actualizaciones de Microsoft Entra ID a tu cuenta de Cloud Identity o Google Workspace. Para obtener más detalles sobre cómo Microsoft Entra ID maneja las modificaciones de usuarios y grupos, consulta Asigna el ciclo de vida del usuario y Asigna el ciclo de vida del grupo.

Soluciona problemas

Si la sincronización no inicia en cinco minutos, puedes forzar el inicio si haces lo siguiente:

  1. Configura Estado de aprovisionamiento como Desactivado.
  2. Haz clic en Guardar.
  3. Configura Estado de aprovisionamiento como Activado.
  4. Haz clic en Guardar.
  5. Marca Reiniciar aprovisionamiento.
  6. Haz clic en Guardar.
  7. Para confirmar el reinicio de la sincronización, haz clic en .

Si la sincronización aún no inicia, haz clic en Probar conexión para verificar que tus credenciales se hayan guardado de forma adecuada.

Configura Microsoft Entra ID para el inicio de sesión único

Aunque todos los usuarios de Microsoft Entra ID relevantes se aprovisionan automáticamente a Cloud Identity o Google Workspace, aún no puedes usar estos usuarios para acceder. Para permitir que los usuarios accedan, todavía debes configurar el inicio de sesión único.

Crea una aplicación empresarial

Crea una segunda aplicación empresarial para controlar el inicio de sesión único:

  1. En Azure Portal, ve a Microsoft Entra ID > Aplicaciones empresariales.
  2. Haz clic en New application.
  3. Busca Google Cloud y, luego, haz clic en Conector de Google Cloud G Suite de Microsoft en la lista de resultados.
  4. Configura el nombre de la aplicación como Google Cloud.

  5. Haz clic en Agregar.

    Agregar la aplicación puede tomar unos segundos. A continuación, se te redireccionará a una página llamada Google Cloud: Descripción general.

  6. En el menú de la izquierda, haz clic en Administrar > Propiedades.

  7. Configura Habilitado para que los usuarios accedan como .

  8. Configura User assignment required como , a menos que desees permitir que todos los usuarios usen el inicio de sesión único.

  9. Haz clic en Guardar.

Configura la asignación de usuarios

Si ya sabes que solo un subconjunto determinado de usuarios necesita acceso a Google Cloud, de forma opcional, puedes restringir el acceso de los usuarios mediante la asignación de la app empresarial a usuarios específicos o grupos de usuarios.

Si configuraste Se requiere la asignación de usuarios como No antes, puedes omitir los siguientes pasos.

  1. En el menú de la izquierda, haz clic en Manage > Users and groups.
  2. Haz clic en Agregar usuario.
  3. Selecciona Usuarios y grupos/Ninguno seleccionado.
  4. Selecciona los usuarios o grupos para los que deseas permitir el inicio de sesión único.
  5. Haz clic en Seleccionar.
  6. Haz clic en Asignar.

Establece la configuración del SAML

Si quieres habilitar Cloud Identity para que use Microsoft Entra ID para la autenticación, debes ajustar algunas opciones de configuración:

  1. En el menú de la izquierda, haz clic en Administrar > Inicio de sesión único.
  2. En la pantalla de selección, haz clic en la tarjeta SAML.
  3. En la tarjeta Basic SAML Configuration, haz clic en Edit.
  4. En el cuadro de diálogo Basic SAML Configuration, ingresa la siguiente configuración:
    1. Identifier (Entity ID): google.com
    2. Reply URL: https://www.google.com/
    3. URL de inicio de sesión: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/; y reemplaza PRIMARY_DOMAIN por el nombre de dominio principal que usa la cuenta de Cloud Identity o Google Workspace.
  5. Haz clic en Guardar y, luego, haz clic en X para descartar el cuadro de diálogo.
  6. En la tarjeta Certificado de registro del SAML, busca la entrada con la etiqueta Certificado (base 64) y haz clic en Descargar para descargar el certificado a tu computadora local.
  7. En la tarjeta Configurar Google Cloud, busca URL de acceso. Pronto necesitarás esta URL.

Los pasos restantes difieren en función de si asignas usuarios por dirección de correo electrónico o por UPN.

UPN

  1. En la tarjeta Attributes & Claims, haz clic en Edit.

  2. Borra todos los reclamos enumerados en Additional claims. Para borrar registros, haz clic en el botón y selecciona Borrar.

    La lista de atributos y reclamaciones ahora se ve de la siguiente manera:

    Diálogo Atributos y reclamos del usuario

  3. Para cerrar el cuadro de diálogo, haz clic en X.

UPN: sustitución de dominio

  1. En la tarjeta User Attributes & Claims, haz clic en Edit.

  2. Borra todos los reclamos enumerados en Additional claims. Para borrar registros, haz clic en el botón y selecciona Borrar.

    La lista de atributos y reclamaciones ahora se ve de la siguiente manera:

    Diálogo Atributos y reclamos del usuario

  3. Haz clic en Unique User Identifier (Name ID) para cambiar la asignación de reclamaciones.

  4. Configura Fuente como Transformación y configura la siguiente transformación:

    • Transformación: ExtractMailPrefix()
    • Parámetro 1: user.userPrincipalName

  5. Selecciona Agregar transformación y configura la siguiente transformación:

    • Transformación: Join()
    • Separador: @
    • Parámetro 2: ingresa el nombre de dominio sustituto.

    Debes usar el mismo nombre de dominio sustituto para el aprovisionamiento de usuarios y el inicio de sesión único. Si el nombre de dominio no aparece en la lista, es posible que debas verificarlo primero .

  6. Haz clic en Agregar.

  7. Haz clic en Guardar.

  8. Para cerrar el cuadro de diálogo, haz clic en X.

Dirección de correo electrónico

  1. En la tarjeta User Attributes & Claims, haz clic en Edit.
  2. Selecciona la fila etiquetada Unique User Identifier (Name ID).
  3. Cambia el atributo de origen a user.mail.
  4. Haz clic en Guardar.

  5. Borra todos los reclamos enumerados en Additional claims. Para borrar todos los registros, haz clic en y, luego, en Borrar.

    Diálogo Atributos y reclamos del usuario

  6. Haz clic en  para descartar el diálogo.

Configura Cloud Identity o Google Workspace para el inicio de sesión único

Ahora que preparaste Microsoft Entra ID para el inicio de sesión único, puedes habilitar el inicio de sesión único en tu cuenta de Cloud Identity o Google Workspace:

  1. Abre la Consola del administrador y accede con un usuario administrador avanzado.
  2. En el menú, haz clic en Mostrar más y ve a Seguridad > Autenticación > SSO con IdP de terceros.

  3. Haga clic en Agregar perfil de SSO.

  4. Configura Configurar SSO con un proveedor de identidad de terceros como habilitado.

  5. Ingresa las opciones de configuración siguientes:

    1. URL de la página de acceso: ingresa la URL de acceso de Microsoft Entra ID. La URL de acceso se encuentra en la tarjeta Configura Google Cloud del portal de Azure, en URL de configuración > URL de acceso.
    2. URL de la página de cierre de sesión: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    3. Change password URL: https://account.activedirectory.windowsazure.com/changepassword.aspx

  6. En Certificado de verificación, haz clic en Subir certificado y, luego, elige el certificado de firma de token que descargaste antes.

  7. Haz clic en Guardar.

Actualiza la configuración de SSO para la UO Automation a fin de inhabilitar el inicio de sesión único:

  1. En Administrar asignaciones de perfiles de SSO, haz clic en Comenzar.
  2. Expande Unidades organizacionales y selecciona la UO Automation.
  3. Cambia la asignación del perfil de SSO del perfil de SSO de terceros de la organización a Ninguno.
  4. Haz clic en Anular.

El certificado de firma de token de Microsoft Entra ID es válido durante un período limitado y debes rotar el certificado antes de que venza. Para obtener más información, consulta Rota un certificado de inicio de sesión único más adelante en este documento.

Considera configurar Microsoft Entra ID para enviarte correos electrónicos de notificación antes del vencimiento del certificado a fin de evitar que el vencimiento afecte a los usuarios.

Prueba el inicio de sesión único

Ahora que completaste la configuración del inicio de sesión único en Microsoft Entra ID y en Cloud Identity o Google Workspace, puedes acceder a Google Cloud de dos maneras:

Para verificar que la segunda opción funciona según lo previsto, ejecuta la siguiente prueba:

  1. Elige un usuario de Microsoft Entra ID que se haya aprovisionado a Cloud Identity o Google Workspace y que no tenga privilegios de administrador avanzado asignados. Los usuarios con privilegios de administrador avanzado siempre deben acceder con credenciales de Google y, por lo tanto, no son adecuados para probar el inicio de sesión único.
  2. Abre una ventana del navegador nueva y ve a https://console.cloud.google.com/.

  3. En la página de Acceso con Google que aparece, ingresa la dirección de correo electrónico del usuario y haz clic en Siguiente. Si usas la sustitución de dominio, esta dirección debe ser la dirección de correo electrónico en la que se aplicó la sustitución.

    Diálogo de acceso con Google

  4. Serás redireccionado a Microsoft Entra ID y verás otro mensaje de acceso. Ingresa la dirección de correo electrónico del usuario (sin cambio de dominio) y haz clic en Siguiente.

    Diálogo del acceso con Microsoft Entra ID

  5. Después de ingresar tu contraseña, se te preguntará si quieres permanecer conectado o no. Por ahora, elige No.

    Después de una autenticación exitosa, Microsoft Entra ID debería redireccionarte al Acceso con Google. Como es la primera vez que accedes con este usuario, se te solicitará que aceptes la Política de Privacidad y las Condiciones del Servicio de Google.

  6. Si estás de acuerdo con los términos, haz clic en Comprendo.

    Serás redireccionado a la consola de Google Cloud, que te pedirá que confirmes las preferencias y que aceptes las Condiciones del Servicio de Google Cloud.

  7. Si aceptas las condiciones, selecciona y haz clic en Aceptar y continuar.

  8. Haz clic en el ícono del avatar en la esquina superior izquierda de la página y, luego, haz clic en Salir.

    Se te redireccionará a una página de Microsoft Entra ID que confirma que saliste correctamente.

Ten en cuenta que los usuarios con privilegios de administrador avanzado están exentos del inicio de sesión único, por lo que aún puedes usar la Consola del administrador para verificar o cambiar la configuración.

Rota un certificado de inicio de sesión único

El certificado de firma de token de Microsoft Entra ID es válido solo durante varios meses y debes reemplazar el certificado antes de que venza.

Para rotar un certificado de firma, agrega un certificado adicional a la aplicación de Microsoft Entra ID:

  1. En Azure Portal, ve a Microsoft Entra ID > Aplicaciones empresariales y abre la aplicación que creaste. para el inicio de sesión único.
  2. En el menú de la izquierda, haz clic en Administrar > Inicio de sesión único.

  3. En la tarjeta SAML Signing Certificate, haz clic en Edit.

    Verás una lista de uno o más certificados. Uno de ellos estará marcado como activo.

  4. Haz clic en New certificate.

  5. Mantén la configuración de firma predeterminada y haz clic en Save.

    El certificado se agrega a la lista de certificados y se marca como inactivo.

  6. Selecciona el certificado nuevo y haz clic en > Descargar el certificado de Base64.

    Mantén abierta la ventana del navegador y no cierres el cuadro de diálogo.

Para usar el certificado nuevo, haz lo siguiente:

  1. Abra una nueva pestaña o ventana del navegador.
  2. Abre la Consola del administrador y accede con un usuario administrador avanzado.
  3. En el menú, haz clic en Mostrar más y ve a Seguridad > Autenticación > SSO con IdP de terceros.
  4. Haz clic en SSO profile for your organization.

  5. Haz clic en Replace certificate y selecciona el certificado nuevo que descargaste antes.

  6. Haz clic en Guardar.

  7. Regresa al portal de Microsoft Entra ID y al diálogo Certificado de firma de SAML.

  8. Selecciona el certificado nuevo y haz clic en > Make certificate active.

  9. Haz clic en Yes para activar el certificado.

    Microsoft Entra ID ahora usa el nuevo certificado de firma.

  10. Prueba que el SSO aún funcione como se espera. Para obtener más información, consulta Prueba el inicio de sesión único.

Realiza una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Para inhabilitar el inicio de sesión único en tu cuenta de Cloud Identity o Google Workspace, sigue estos pasos:

  • Abre la Consola del administrador y accede con el usuario de administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
  • En el menú, ve a Seguridad > Configuración.
  • Haz clic en Set up single sign-on (SSO) with a third party IdP.
  • Asegúrate de que la opción Configurar SSO con un proveedor de identidad de terceros esté inhabilitada.

Puedes quitar el inicio de sesión único y la configuración de aprovisionamiento en Microsoft Entra ID de la siguiente manera:

  • En Azure Portal, ve a Microsoft Entra ID > Aplicaciones empresariales.
  • En la lista de aplicaciones, elige Google Cloud.
  • En el menú de la izquierda, haz clic en Administrar > Inicio de sesión único.
  • Haz clic en Borrar.
  • Confirma la eliminación con un clic en .

¿Qué sigue?