Integración del portal Mis aplicaciones de Microsoft

En este documento se explica cómo añadir servicios de Google y aplicaciones web protegidas mediante Identity-Aware Proxy (IAP) al portal Mis aplicaciones de Microsoft y cómo habilitar el inicio de sesión automático en estas aplicaciones.

En este documento se da por hecho que has federado tu cuenta de Cloud Identity o Google Workspace con Microsoft Entra ID mediante la configuración de Microsoft Entra ID para el inicio de sesión único.

Antes de empezar

Asegúrate de haber completado los pasos para federar tu cuenta de Cloud Identity o Google Workspace con Microsoft Entra ID.

Iniciar el inicio de sesión único desde un portal

Para admitir la autenticación con un proveedor de identidades (IdP) externo, como Microsoft Entra ID, Cloud Identity y Google Workspace se basan en el inicio de sesión iniciado por el proveedor de servicios. Con este tipo de inicio de sesión, la autenticación empieza en el proveedor de servicios, que te redirige al proveedor de identidades. Por ejemplo:

1. Accedes a un servicio de Google, como la consola o Looker Studio, abriendo una URL o un marcador.Google Cloud En este caso, Google y sus servicios actúan como proveedor de servicios.
2. Aparecerá la pantalla de inicio de sesión de Google, en la que se te pedirá que introduzcas la dirección de correo de tu identidad de Google.
3. Se te redirige a Microsoft Entra ID, que actúa como proveedor de identidades.
4. Inicias sesión en Microsoft Entra ID.
5. Microsoft Entra ID te redirige al servicio de Google al que intentaste acceder originalmente.

Una de las ventajas del inicio de sesión iniciado por el proveedor de servicios es que los usuarios pueden acceder directamente a los servicios de Google abriendo un enlace o usando un marcador. Si tu organización usa Microsoft Entra ID, puedes usar el portal Microsoft My Apps para ello. No tener que abrir las aplicaciones a través de un portal es una ventaja para los usuarios avanzados que marcan sitios específicos o memorizan determinadas URLs. Para otros usuarios, puede ser útil mostrar los enlaces a las aplicaciones pertinentes en un portal.

Sin embargo, al añadir un enlace como https://lookerstudio.google.com al portal Mis aplicaciones de Microsoft, se revela una deficiencia del proceso de inicio de sesión iniciado por el proveedor de servicios. Aunque un usuario que haga clic en el enlace del portal tenga una sesión válida de Microsoft Entra ID, es posible que vea la pantalla de inicio de sesión de Google y se le pida que introduzca su dirección de correo. Esta petición de inicio de sesión, que parece redundante, se debe a que Inicio de sesión con Google no tiene constancia de la sesión de Microsoft Entra ID.

Puedes evitar la petición adicional de inicio de sesión de Google usando URLs especiales al configurar el portal Mis aplicaciones de Microsoft. Estas URLs insertan una pista sobre qué cuenta de Cloud Identity o Google Workspace deben usar los usuarios. La información adicional permite que la autenticación se realice de forma silenciosa, lo que mejora la experiencia de usuario.

Añadir enlaces al portal Mis aplicaciones de Microsoft

En la siguiente tabla se enumeran los servicios de Google habituales, el nombre correspondiente en Microsoft Entra ID y el enlace que puedes usar para implementar el SSO, tal como se indica en la sección anterior.

Servicio de Google	URL	Logotipo
Google Cloud consola	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Documentos de Google	https://docs.google.com/a/DOMAIN
Hojas de cálculo de Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Grupos de Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

Por cada servicio de Google que quieras añadir al portal Mi aplicaciones de Microsoft, crea una aplicación empresarial:

1. En el portal de Azure, ve a Microsoft Entra ID > Aplicaciones empresariales.
2. Haz clic en Nueva aplicación.

3. Haz clic en Crea tu propia aplicación e introduce lo siguiente:

   • ¿Cuál es el nombre de tu aplicación?: introduce el nombre del servicio de Google tal como se indica en la tabla anterior.
   • ¿Qué quieres hacer con tu aplicación? Selecciona Integrar cualquier otra aplicación que no encuentres en la galería (no de la galería).

4. Haz clic en Crear.

5. Selecciona Propiedades.

6. Cambia el logotipo por el archivo vinculado en la tabla.

7. Haz clic en Guardar.

8. En el menú de la izquierda, selecciona Inicio de sesión único.

9. Selecciona Vinculado.

10. Introduce la URL que aparece en la tabla. Por ejemplo, http://docs.google.com/a/DOMAIN.

    Sustituye DOMAIN por el nombre del dominio principal de tu cuenta de Cloud Identity o Google Workspace, como example.com.

11. Haz clic en Guardar.

Ten en cuenta que no tienes que configurar el SSO basado en SAML en la aplicación. Todas las operaciones de inicio de sesión único seguirán gestionándose mediante la aplicación que hayas creado anteriormente para el inicio de sesión único.

Para asignar la aplicación a los usuarios, sigue estos pasos:

1. En el menú de la izquierda, selecciona Propiedades.
2. Seleccione Sí en Asignación de usuarios obligatoria.
3. Haz clic en Guardar.
4. En el menú de la izquierda, haz clic en Gestionar > Usuarios y grupos.
5. Haz clic en Añadir usuario.
6. Selecciona Usuarios.
7. Selecciona los usuarios o grupos que quieras aprovisionar. Si seleccionas un grupo, se aprovisionarán todos los miembros del grupo.
8. Haz clic en Seleccionar.
9. Haz clic en Asignar.

Un enlace puede tardar varios minutos en aparecer en el portal Mis aplicaciones.

Controlar accesos

Al asignar usuarios y grupos a aplicaciones concretas en Microsoft Entra ID, se controla la visibilidad del enlace, pero no el acceso a un servicio. Es posible que se pueda acceder a un servicio que no se vea en el portal Mis aplicaciones de un usuario si este abre la URL correcta. Para controlar qué usuarios y grupos pueden acceder a un servicio, también debes activar o desactivar el servicio en la consola de administración de Google.

Puedes simplificar el proceso de controlar la visibilidad y el acceso mediante grupos:

1. Crea un grupo de seguridad en Microsoft Entra ID para cada servicio de Google. Por ejemplo, Looker Studio users y Google Drive users.
2. Asigna los grupos a la aplicación empresarial de Microsoft Entra ID correspondiente, tal como se indica en la sección anterior. Por ejemplo, asigna Looker Studio users a la aplicación Looker Studio y Google Drive users a la aplicación Google Drive.
3. Configura los grupos que se van a aprovisionar en tu cuenta de Cloud Identity o Google Workspace.
4. En la consola de administración, activa el servicio correspondiente para cada grupo. Por ejemplo, activa Looker Studio para el grupo Looker Studio users y Google Drive para el grupo Google Drive users. Desactiva el servicio para el resto de los usuarios.

Al añadir y quitar miembros de estos grupos, ahora puedes controlar el acceso y la visibilidad en un solo paso.

Aplicaciones web protegidas mediante IAP

Si usas IAP para proteger tus aplicaciones web, puedes añadir enlaces a estas aplicaciones al portal Microsoft Mis aplicaciones y habilitar una experiencia de inicio de sesión único para ellas.

Añadir enlaces al portal Mis aplicaciones de Microsoft

El proceso para añadir un enlace al portal Microsoft My Apps es el mismo que para los servicios de Google, pero debes usar la URL de tu aplicación web protegida por IAP.

Al igual que con los servicios de Google, puedes evitar que los usuarios vean una pantalla de inicio de sesión de Google después de seguir un enlace a una aplicación web protegida por IAP en el portal, pero el proceso es diferente. En lugar de usar una URL especial, puedes configurar IAP para que siempre use una cuenta de Cloud Identity o Google Workspace específica para la autenticación:

1. En la Google Cloud consola, activa Cloud Shell.

   Activar Cloud Shell

2. Inicializa una variable de entorno:

   PRIMARY_DOMAIN=primary-domain

   Sustituye primary-domain por el dominio principal de tu cuenta de Cloud Identity o Google Workspace. Por ejemplo, example.com.

3. Crea un archivo de configuración temporal que indique a IAP que siempre use el dominio principal de tu cuenta de Cloud Identity o Google Workspace para la autenticación:

   cat << EOF > iap-settings.yaml
   accessSettings:
     oauthSettings:
       loginHint: "$PRIMARY_DOMAIN"
   EOF
   

4. Aplica el ajuste a todos los recursos web de IAP del proyecto:

   gcloud iap settings set iap-settings.yaml --resource-type=iap_web

5. Elimina el archivo de configuración temporal:

   rm iap-settings.yaml

Controlar accesos

Asignar usuarios y grupos a aplicaciones concretas en Microsoft Entra ID controla la visibilidad del enlace a tu aplicación web protegida por IAP, pero no controla el acceso a la aplicación. Para controlar el acceso, también debes personalizar la política de Gestión de Identidades y Accesos (IAM) de la aplicación web protegida por IAP.

Al igual que con los servicios de Google, puedes simplificar el proceso de controlar la visibilidad y el acceso mediante grupos:

1. Crea un grupo de seguridad en Microsoft Entra ID para cada aplicación. Por ejemplo, Payroll application users.
2. Asigna el grupo a la aplicación empresarial de Microsoft Entra ID correspondiente.
3. Configura el grupo para que se aprovisione en tu cuenta de Cloud Identity o Google Workspace.
4. Actualiza la política de gestión de identidades y accesos de la aplicación web protegida mediante IAP para asignar el rol Usuario de aplicaciones web protegidas mediante IAP al grupo Payroll application users y, al mismo tiempo, denegar el acceso a otros usuarios.

Si añades o quitas miembros del grupo Payroll application users, puedes controlar el acceso y la visibilidad en un solo paso.

Siguientes pasos

• Más información sobre la federación Google Cloud con Microsoft Entra ID
• Consulta las prácticas recomendadas para planificar cuentas y organizaciones y las prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.
• Consulta más información sobre Identity-Aware Proxy.

Colaboradores

Autor: Johannes Passing | Arquitecto de soluciones en la nube