Fecha de actualización: 01-03-2023
En este documento, se muestra cómo agregar servicios de Google y aplicaciones web protegidas con Identity-Aware Proxy (IAP) al portal Mis aplicaciones de Microsoft y cómo habilitar el inicio de sesión automático para estas aplicaciones.
En el documento, se supone que federaste tu cuenta de Cloud Identity o Google Workspace con el ID de Microsoft Entra mediante la configuración del ID de Microsoft Entra para el inicio de sesión único.
Antes de comenzar
Asegúrate de que completaste los pasos para federar tu cuenta de Cloud Identity o Google Workspace con ID de Microsoft Entra.
Comienza el inicio de sesión único desde un portal
Para admitir la autenticación con un proveedor de identidad externo (IdP), como Azure AD, Cloud Identity y Google Workspace, básate en el inicio de sesión iniciado por el proveedor de servicios. Con este tipo de inicio de sesión, la autenticación comienza en el proveedor de servicios, que luego te redirecciona al IdP, por ejemplo:
- Para acceder a un servicio de Google, como la consola de Google Cloud o Looker Studio, abre una URL o favorito. En este caso, Google y sus servicios asumen el rol de proveedor de servicios.
- Aparecerá la pantalla de Acceso con Google, que te pedirá que ingreses la dirección de correo electrónico de tu identidad de Google.
- Se te redireccionará al ID de Microsoft Entra, que funciona como IdP.
- Debe acceder al ID de Microsoft Entra.
- El ID de Microsoft Entra te redirecciona de nuevo al servicio de Google al que intentaste acceder originalmente.
Un beneficio del inicio de sesión iniciado por el proveedor de servicios es que los usuarios pueden acceder directamente a los servicios de Google con solo abrir un vínculo o usar un favorito. Si tu organización usa el ID de Microsoft Entra, puedes usar el portal de Microsoft Mis apps para este propósito. No estar obligado a abrir aplicaciones a través de un portal es conveniente para los usuarios avanzados que agregan como favoritos sitios específicos o que podrían memorizar ciertas URL. Para otros usuarios, puede ser valioso mostrar los vínculos a las aplicaciones relevantes en un portal.
Sin embargo, agregar un vínculo como https://lookerstudio.google.com al portal Mis aplicaciones de Azure AD muestra una breve descripción del proceso de inicio de sesión iniciado por el proveedor de servicios. Aunque un usuario que haga clic en el vínculo en el portal tenga una sesión válida de Azure AD, es posible que aún vea la pantalla de Acceso con Google y se le solicite ingresar su dirección de correo electrónico. Este mensaje de acceso aparentemente redundante aparece cuando el Acceso con Google no conoce la sesión de ID de Microsoft Entra existente.
Para evitar el mensaje adicional de Acceso con Google, utiliza URL especiales cuando configures el portal Mis aplicaciones de Azure AD. Estas URL incorporan una sugerencia sobre qué cuenta de Cloud Identity o Google Workspace se espera que los usuarios utilicen. La información adicional permite que la autenticación se realice de forma silenciosa, lo que mejora la experiencia del usuario.
Agrega vínculos al portal Mis aplicaciones de Microsoft
En la siguiente tabla, se enumeran los servicios de Google comunes, el nombre correspondiente en Azure AD y el vínculo que puedes usar para implementar SSO como se indica en la sección anterior.
Google service (Servicio de Google) | URL | Logo |
---|---|---|
Documentos de Google | https://docs.google.com/a/DOMAIN |
|
Hojas de cálculo de Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Grupos de Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
Para cada servicio de Google que desees agregar al portal Mis aplicaciones de Azure AD, crea una aplicación empresarial nueva:
- En el portal de Azure, ve a Microsoft Entra ID > Enterprise applications.
- Haz clic en New application.
Haz clic en Crea tu propia aplicación y, luego, ingresa lo siguiente:
- ¿Cuál es el nombre de tu aplicación?: Ingresa el nombre del servicio de Google como se indica en la tabla anterior.
- ¿Qué buscas hacer con tu aplicación?: Selecciona Integrar cualquier otra aplicación que no encuentres en la galería (no es de la galería).
Haz clic en Crear.
Selecciona Properties.
Cambia el logotipo al archivo vinculado en la tabla.
Haz clic en Save.
En el menú de la izquierda, selecciona Single sign-on.
Selecciona Linked.
Ingresa la URL que aparece en la tabla, por ejemplo,
http://docs.google.com/a/DOMAIN
.Reemplaza
DOMAIN
con el nombre de dominio principal de tu cuenta de Cloud Identity o Google Workspace, comoexample.com
.Haz clic en Save.
Observa que no debes configurar el SSO basado en SAML en la aplicación. La aplicación que creaste antes para el inicio de sesión único seguirá controlando todas las operaciones de inicio de sesión único.
Para asignar la aplicación a los usuarios, haz lo siguiente:
- En el menú de la izquierda, selecciona Properties.
- Configura User assignment required como Yes.
- Haz clic en Save.
- En el menú de la izquierda, haz clic en Manage > Users and groups.
- Haz clic en Agregar usuario.
- Selecciona Users.
- Selecciona los usuarios o grupos que deseas aprovisionar. Si seleccionas un grupo, se aprovisionan todos los miembros del grupo.
- Haga clic en Select.
- Haz clic en Assign.
Pueden pasar varios minutos antes de que aparezca un vínculo en el portal Mis aplicaciones.
Controle el acceso
La asignación de usuarios y grupos a aplicaciones individuales en el ID de Microsoft Entra controla la visibilidad del vínculo, pero no controla el acceso a un servicio. Si el usuario abre la URL correcta, es posible que un servicio que no sea visible en el portal Mis aplicaciones de un usuario siga estando disponible. Para controlar qué usuarios y grupos pueden acceder a un servicio, también debes activar o desactivar el servicio en la Consola del administrador de Google.
Puedes simplificar el proceso de controlar la visibilidad y el acceso mediante grupos:
- Para cada servicio de Google, crea un grupo de seguridad en el ID de Microsoft Entra, por ejemplo,
Looker Studio users
yGoogle Drive users
. - Asigna los grupos a la aplicación empresarial de ID de Microsoft Entra adecuada, como se describe en la sección anterior. Por ejemplo, asigna
Looker Studio users
a la aplicación Looker Studio yGoogle Drive users
a la aplicación Google Drive. - Configura los grupos que se aprovisionarán en tu cuenta de Cloud Identity o de Google Workspace.
- En la Consola del administrador, activa el servicio respectivo para cada grupo.
Por ejemplo, activa Looker Studio para el grupo
Looker Studio users
y Google Drive para el grupoGoogle Drive users
. Desactiva el servicio para todos los demás.
Ahora controlas el acceso y la visibilidad en un solo paso mediante la adición y la eliminación de miembros en estos grupos.
Aplicaciones web protegidas con IAP
Si usas Identity-Aware Proxy (IAP) para proteger tus aplicaciones web, puedes agregar vínculos hacia estas aplicaciones al portal Mis aplicaciones de Azure AD y habilitar una experiencia de inicio de sesión único.
Agrega vínculos al portal Mis aplicaciones de Microsoft
El proceso para agregar un vínculo al portal Mis aplicaciones de Azure AD es el mismo que se usa con los servicios de Google, pero debes usar la URL de tu aplicación web protegida con IAP.
Al igual que con los servicios de Google, puedes evitar que los usuarios vean una pantalla de Acceso con Google después de seguir un vínculo a una aplicación web protegida con IAP en el portal, pero el proceso es diferente. En lugar de usar una URL especial, debes configurar IAP a fin de que use siempre una cuenta específica de Cloud Identity o de Google Workspace para la autenticación:
En la consola de Google Cloud, activa Cloud Shell.
Inicializa una variable de entorno:
PRIMARY_DOMAIN=primary-domain
Reemplaza
primary-domain
con el dominio principal de tu cuenta de Cloud Identity o de Google Workspace, por ejemplo,example.com
.Crea un archivo de configuración temporal que le indique a IAP que use siempre el dominio principal de tu cuenta de Cloud Identity o Google Workspace para la autenticación:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF
Aplica la configuración a todos los recursos web de IAP del proyecto:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Quita el archivo de configuración temporal:
rm iap-settings.yaml
Controle el acceso
La asignación de usuarios y grupos a aplicaciones individuales en Azure AD controla la visibilidad del vínculo para tu aplicación web protegida con IAP, pero no controla el acceso a la aplicación. A fin de controlar el acceso, también debes personalizar la política de IAM de la aplicación web protegida con IAP.
Al igual que con los servicios de Google, puedes simplificar el proceso de controlar la visibilidad y el acceso mediante grupos:
- Para cada aplicación, crea un grupo de seguridad en el ID de Microsoft Entra, por ejemplo,
Payroll application users
. - Asigna el grupo a la aplicación empresarial de ID de Microsoft Entra correspondiente.
- Configura el grupo que se aprovisionará en tu cuenta de Cloud Identity o de Google Workspace.
- Actualiza la política de IAM de la aplicación web protegida con IAP para otorgar la función de Usuario de aplicación web protegida con IAP al grupo
Payroll application users
a la vez que se inhabilita el acceso para otros usuarios.
Si agregas y quitas miembros al grupo Payroll application users
, controlas el acceso y la visibilidad en un solo paso.
¿Qué sigue?
- Obtén más información sobre cómo federar Google Cloud con el ID de Microsoft Entra.
- Lee acerca de las prácticas recomendadas a fin de planificar cuentas y organizaciones y las prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.
- Obtén más información sobre Identity-Aware Proxy.