En esta guía, se muestra cómo configurar el inicio de sesión único (SSO) entre Keycloak y tu cuenta de Cloud Identity o de Google Workspace mediante Federación de SAML. En el documento, se supone que instalaste y usas Keycloak.
Objetivos
- Configura tu servidor de Keycloak, de manera que se pueda utilizar Cloud Identity o Google Workspace como un proveedor de identidad (IdP).
- Configura tu cuenta de Cloud Identity o de Google Workspace a fin de que use Keycloak para SSO.
Antes de comenzar
- Si no tienes una cuenta de Cloud Identity, regístrate para obtener una.
- Asegúrate de que tu cuenta de Cloud Identity tenga privilegios de administrador avanzado.
- Si tu servidor de Keycloak se usa a fin de administrar más de un dominio, decide qué dominio quieres usar para la federación.
- Asegúrate de tener acceso de administrador al dominio seleccionado.
Crea un perfil de SAML
Para configurar el inicio de sesión único con Keycloak, primero debes crear un perfil de SAML en tu cuenta de Cloud Identity o Google Workspace. El perfil de SAML contiene la configuración relacionada con tu servidor de Keycloak, incluida su URL y su certificado de firma.
Luego, asignarás el perfil de SAML a ciertos grupos o unidades organizativas.
Para crear un nuevo perfil de SAML en tu cuenta de Cloud Identity o Google Workspace, haz lo siguiente:
En la Consola del administrador, ve a Seguridad > Autenticación > SSO con IdP de terceros.
Haz clic en Perfiles de SSO de terceros > Agregar perfil de SAML.
En la página Perfil de SSO de SAML, ingresa la siguiente configuración:
- Nombre:
Keycloak
ID de entidad del IDP:
Keycloak 17 o una versión posterior
https://KEYCLOAK/realms/REALM
Keycloak 16 o versiones anteriores
https://KEYCLOAK/auth/realms/REALM
URL de la página de acceso:
Keycloak 17 o una versión posterior
https://KEYCLOAK/realms/REALM/protocol/saml
Keycloak 16 o versiones anteriores
https://KEYCLOAK/auth/realms/REALM/protocol/saml
URL de la página de cierre de sesión:
Keycloak 17 o una versión posterior
https://KEYCLOAK/realms/REALM/protocol/openid-connect/logout
Keycloak 16 o versiones anteriores
https://KEYCLOAK/auth/realms/REALM/protocol/openid-connect/logout?redirect_uri=https://KEYCLOAK/auth/realms/REALM/account/
URL de cambio de contraseña:
Keycloak 17 o una versión posterior
https://KEYCLOAK/realms/REALM/account
Keycloak 16 o versiones anteriores
https://KEYCLOAK/auth/realms/REALM/account
En todas las URL, reemplaza lo siguiente:
KEYCLOAK
: El nombre de dominio completamente calificado de tu servidor KeycloakREALM
: El nombre del dominio seleccionado
No subas un certificado de verificación todavía.
- Nombre:
Haz clic en Guardar.
La página Perfil de SSO de SAML que aparece contiene dos URLs:
- ID de entidad
- URL de ACS
Necesitarás estas URLs en la siguiente sección cuando configures Keycloak.
Configura Keycloak
Para configurar tu servidor de Keycloak, crea un cliente.
Crea un cliente
Crea un cliente de SAML nuevo en Keycloak:
- Accede a Keycloak y abre la Consola del administrador.
- Selecciona el dominio que deseas usar para la federación.
- En el menú, selecciona Clients.
- Haz clic en Crear cliente.
Establece la siguiente configuración para el cliente:
Keycloak 19 o una versión posterior
- Tipo de cliente: SAML
- ID de cliente: URL de entidad de tu perfil de SSO.
- Nombre:
Google Cloud
Keycloak 18 o versiones anteriores
- ID de cliente: URL de entidad de tu perfil de SSO.
- Client Protocol: saml
- Client SAML Endpoint: Deja este campo en blanco.
Haz clic en Guardar.
Para especificar los detalles del cliente, establece la siguiente configuración:
Keycloak 19 o una versión posterior
En la pestaña Configuración, haz lo siguiente:
- URI de redireccionamiento válidos: URL de ACS de tu perfil de SSO
- Name ID Format: email
- Force Name ID Format: on
- Firmar documentos: off
- Sign Assertions: on
En la pestaña Keys, haz lo siguiente:
- Client Signature Required: off
Keycloak 18 o versiones anteriores
- Nombre: Un nombre como
Google Cloud
- Sign Assertions: on
- Client Signature Required: off
- Force Name ID Format: on
- Name ID Format: email
- URI de redireccionamiento válidos: URL de ACS de tu perfil de SSO
Mantén los valores predeterminados para el resto de las opciones de configuración.
Haz clic en Guardar.
Exporta el certificado de firma
Después de que Keycloak autentica a un usuario, pasa una aserción SAML a Cloud Identity o a Google Workspace. Para habilitar Cloud Identity y Google Workspace a fin de verificar la integridad y la autenticidad de esa aserción, Keycloak firma la aserción con una clave de firma de token especial y proporciona un certificado que habilita Cloud Identity o Google Workspace para verificar la firma.
Ahora, exportarás el certificado de firma desde Keycloak:
- En el menú, selecciona Realm settings.
- Selecciona la pestaña Keys.
Busca la fila para Algorithm: RS256. Si hay más de una fila, usa la que tiene Use: SIG. Luego, selecciona Certificado.
Aparecerá un diálogo que contiene un certificado codificado en base64.
Copia el valor del certificado codificado en base64 en el portapapeles.
Antes de que puedas usar el certificado de firma, debes convertirlo al formato PEM mediante la adición de un encabezado y un pie de página.
- Abre un editor de texto, como el Bloc de notas o vim.
Pega el siguiente encabezado seguido de un salto de línea:
-----BEGIN CERTIFICATE-----
Pega el certificado codificado en base64 desde el portapapeles.
Agrega una línea nueva y pega el siguiente pie de página:
-----END CERTIFICATE-----
Después del cambio, el archivo se verá similar al siguiente:
-----BEGIN CERTIFICATE----- MIICmzCCAYMCBgF7v8/V1TANBgkq... -----END CERTIFICATE-----
Guarda el archivo en una ubicación temporal en tu computadora.
Completa el perfil de SAML
Usas el certificado de firma para completar la configuración de tu perfil de SAML:
Regresa a la Consola del administrador y ve a Seguridad > Autenticación > SSO con IdP de terceros.
Abre el perfil de
Keycloak
SAML que creaste antes.Haz clic en la sección Detalles del IDP para editar la configuración.
Haz clic en Subir certificado y elige el certificado de firma de token que descargaste antes.
Haz clic en Guardar.
Tu perfil de SAML está completo, pero aún debes asignarlo.
Asigna el perfil de SAML
Selecciona los usuarios a los que se debe aplicar el nuevo perfil de SAML:
En la Consola del administrador, en la página SSO con IdP de terceros, haz clic en Administrar asignaciones de perfiles de SSO > Administrar.
En el panel izquierdo, selecciona el grupo o la unidad organizativa para los que deseas aplicar el perfil de SSO. Para aplicar el perfil a todos los usuarios, selecciona la unidad organizativa raíz.
En el panel derecho, selecciona Otro perfil de SSO.
En el menú, selecciona el perfil de SSO
Keycloak - SAML
que creaste antes.Haz clic en Guardar.
Repite los pasos para asignar el perfil de SAML a otro grupo o unidad organizativa.
Prueba el inicio de sesión único
Completaste la configuración de inicio de sesión único. Ahora puedes verificar si el SSO funciona según lo previsto.
Elige un usuario de Keycloak que cumpla con los siguientes criterios:
- El usuario tiene una dirección de correo electrónico.
- La dirección de correo electrónico corresponde a la dirección de correo electrónico principal de un usuario existente en tu cuenta de Cloud Identity o Google Workspace.
El usuario de Cloud Identity no tiene privilegios de administrador avanzado.
Las cuentas de usuario que tienen privilegios de administrador avanzado siempre deben acceder mediante credenciales de Google, por lo que no son adecuadas para probar el inicio de sesión único.
Abre una nueva ventana del navegador y ve a la consola deGoogle Cloud .
En la página de Acceso con Google, ingresa la dirección de correo electrónico de la cuenta de usuario y, luego, haz clic en Siguiente (Next).
Se te redireccionará a Keycloak.
Ingresa tus credenciales de Keycloak y, luego, haz clic en Sign in.
Después de realizar una autenticación exitosa, Keycloak te redirecciona a laGoogle Cloud consola. Debido a que es el primer acceso de este usuario, se te pide que aceptes las Condiciones del Servicio y la Política de Privacidad de Google.
Si estás de acuerdo con los términos, haz clic en Aceptar.
Se te redireccionará a la Google Cloud consola, que te pedirá que confirmes las preferencias y que aceptes las Google Cloud condiciones del servicio. Si estás de acuerdo con las Condiciones del Servicio, haz clic en Sí y, luego, en Aceptar y continuar.
Haz clic en el ícono del avatar y, luego, en Salir.
Se te redireccionará a Keycloak.
Si tienes problemas para acceder, ten en cuenta que las cuentas de usuario con privilegios de administrador avanzado pueden omitir el SSO, por lo que aún puedes usar la Consola del administrador para verificar o cambiar la configuración.
Opcional: Configura redireccionamientos para las URLs del servicio específicas del dominio
Cuando vinculas la consola de Google Cloud desde portales o documentos internos, puedes mejorar la experiencia del usuario con URLs de servicio específicas del dominio.
A diferencia de las URLs de servicio normales, como https://console.cloud.google.com/
, las URLs de servicio específicas del dominio incluyen el nombre de tu dominio principal. Los usuarios no autenticados que hacen clic en un vínculo a una URL de servicio específica del dominio se redireccionan de inmediato a Keycloak en lugar de que se les muestre primero una página de acceso de Google.
Estos son algunos ejemplos de URLs del servicio específicas del dominio:
Servicio de Google | URL | Logotipo |
---|---|---|
Consola deGoogle Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ |
![]() |
Documentos de Google | https://docs.google.com/a/DOMAIN |
![]() |
Hojas de cálculo de Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
|
![]() |
Sitios de Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ |
![]() |
Google Drive | https://drive.google.com/a/DOMAIN |
![]() |
Gmail | https://mail.google.com/a/DOMAIN |
![]() |
Grupos de Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ |
![]() |
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
|
![]() |
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ |
![]() |
YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
![]() |
Para configurar URLs de servicio específicas del dominio de modo que redireccionen a Keycloak, haz lo siguiente:
En la Consola del administrador, en la página SSO con IdP de terceros, haz clic en URLs de servicio específicas del dominio > Editar.
Configura Redirecciona automáticamente a los usuarios al IdP externo en el siguiente perfil de SSO como habilitado.
Establece Perfil de SSO en
Keycloak
.Haz clic en Guardar.
Opcional: Configura las verificaciones de identidad
Es posible que el acceso con Google solicite a los usuarios una verificación adicional cuando accedan desde dispositivos desconocidos o cuando su intento de acceso parezca sospechoso por otros motivos. Estas verificaciones de acceso ayudan a mejorar la seguridad, por lo que te recomendamos que las dejes habilitadas.
Si crees que los desafíos de acceso causan demasiada fricción, puedes inhabilitarlos de la siguiente manera:
- En la Consola del administrador, ve a Seguridad > Autenticación > Desafíos de acceso.
- En el panel izquierdo, selecciona una unidad organizativa para la que quieras inhabilitar los desafíos de acceso. Para inhabilitar los desafíos de acceso para todos los usuarios, selecciona la unidad organizativa raíz.
- En Configuración para usuarios que acceden con otros perfiles de SSO, selecciona No solicites a los usuarios verificaciones adicionales de Google.
- Haz clic en Guardar.
¿Qué sigue?
- Obtén más información sobre la administración de identidades y accesos (IAM).
- Lee sobre las prácticas recomendadas para configurar una organización empresarial en Google Cloud.