En este documento, se muestra cómo configurar el aprovisionamiento de usuarios y el inicio de sesión único entre una organización de Okta y tu cuenta de Cloud Identity o Google Workspace.
En el documento, se supone que ya usas Okta en la organización y deseas usarlo para permitir que los usuarios se autentiquen con Google Cloud.
Objetivos
- Configura Okta para aprovisionar a los usuarios de forma automática y, de manera opcional, grupos, a Cloud Identity o Google Workspace.
- Configura el inicio de sesión único para permitir que los usuarios accedan a Google Cloud mediante una cuenta de usuario de Okta.
Costos
Si usas la edición gratuita de Cloud Identity, configurar la federación con Okta no usará ningún componente facturable de Google Cloud.
Consulta la página de precios de Okta para conocer las tarifas que podrían aplicarse por el uso de Okta.
Antes de comenzar
- Regístrate en Cloud Identity, si aún no tienes una cuenta.
- Si usas la edición gratuita de Cloud Identity y pretendes aprovisionar más de 50usuarios, solicita un aumento de la cantidad total de usuarios gratuitos de Cloud Identity a través del contacto de asistencia.
- Si sospechas que los empleados podrían haber usado alguno de los dominios que planeas usar para Cloud Identity a fin de registrar cuentas personales, considera migrar estas cuentas de usuario. Para obtener más detalles, consulta Evalúa cuentas de usuario existentes.
Prepara tu cuenta de Cloud Identity o Google Workspace
Crea un usuario para Okta
Para permitir que Okta acceda a tu cuenta de Cloud Identity o Google Workspace, debes crear un usuario para Okta en tu cuenta de Cloud Identity o de Google Workspace.
El usuario de Okta solo está diseñado para el aprovisionamiento automatizado. Por lo tanto, es mejor mantenerlo separado de otras cuentas de usuario; para ello, colócalo en una unidad organizacional (UO) separada. Usar una UO independiente también garantiza que más adelante puedas inhabilitar el inicio de sesión único para el usuario de Okta.
Para crear una UO nueva, haz lo siguiente:
- Abre la Consola del administrador y accede con el usuario administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
- En el menú, ve a Directorio > Unidades organizacionales.
- Haz clic en Crear unidad organizativa y proporciona un nombre y una descripción para la UO:
- Nombre:
Automation
- Descripción:
Automation users
- Nombre:
- Haz clic en Crear.
Crea una cuenta de usuario de Okta y colócala en la UO Automation
:
- En el menú, ve a Directorio > Usuarios y haz clic en Add new user para crear un usuario nuevo.
Proporciona un nombre y una dirección de correo electrónico adecuados, como los siguientes:
- Nombre:
Okta
- Apellido:
Provisioning
Dirección de correo electrónico principal:
okta-provisioning
Conserva el dominio principal de la dirección de correo electrónico.
- Nombre:
Haz clic en Administrar la contraseña, la unidad organizativa y la foto de perfil del usuario, y establece la siguiente configuración:
- Unidad organizacional: selecciona la UO
Automation
que creaste antes. - Contraseña: Selecciona Crear contraseña y, luego, ingresa una contraseña.
- Solicitar el cambio de la contraseña durante el siguiente acceso: Inabilitado.
- Unidad organizacional: selecciona la UO
Haz clic en Agregar usuario nuevo.
Haz clic en Listo.
Asigna privilegios a Okta
Para permitir que Okta cree, enumere y suspenda usuarios y grupos en tu cuenta de Cloud Identity o Google Workspace, debes convertir al usuario okta-provisioning
en un administrador avanzado:
- Ubica el usuario recién creado en la lista y haz clic en el nombre del usuario para abrir la página de su cuenta.
- En Admin roles and privileges, haz clic en Asignar funciones.
- Habilita la función de administrador avanzado.
- Haz clic en Guardar.
Configura el aprovisionamiento de Okta
Ahora estás listo para conectar Okta a tu cuenta de Cloud Identity o Google Workspace mediante la configuración de la aplicación Google Workspace desde el catálogo de Okta.
La aplicación de Google Workspace puede controlar el aprovisionamiento de usuarios y el inicio de sesión único. Usa esta aplicación incluso si usas Cloud Identity y solo planeas configurar el inicio de sesión único para Google Cloud.
Crea una aplicación
Para configurar la aplicación de Google Workspace, haz lo siguiente:
- Abre el panel de administración de Okta y accede como un usuario con privilegios de administrador avanzado.
- En el menú, ve a Applications > Applications.
- Haz clic en Browse app catalog.
- Busca
Google Workspace
y selecciona la aplicación de Google Workspace. - Haz clic en Agregar integración.
En la página General settings, establece lo siguiente:
- Application label:
Google Cloud
- Your Google Apps company domain: el nombre de dominio principal que usa tu cuenta de Cloud Identity o de Google Workspace.
Muestra los siguientes vínculos:
- Establece la Account en enabled.
- Configura otros vínculos como enabled si usas Google Workspace, de lo contrario, configura otros vínculos como disabled.
Application visibility: Configurado como enabled si usas Google Workspace, pero disabled en caso contrario
Browser plugin auto-submit: configurado como disabled
- Application label:
Haz clic en Siguiente.
En la página Sign-in options, configura lo siguiente:
- Sign on methods: selecciona SAML 2.0.
- Estado de transmisión predeterminado: déjalo vacío
- Advanced Sign-on Settings > RPID: déjalo vacío
Decide cómo deseas propagar la dirección de correo electrónico principal para los usuarios en Cloud Identity o Google Workspace. La dirección de correo electrónico principal de un usuario debe usar el dominio principal de tu cuenta de Cloud Identity o Google Workspace, o uno de sus dominios secundarios.
Nombre de usuario de Okta
Para usar el nombre de usuario de Okta del usuario como dirección de correo electrónico principal, usa la siguiente configuración:
- Application username format: Nombre de usuario de Okta
- Update application username on: Create and update.
Correo electrónico
Para usar el nombre de usuario de Okta del usuario como dirección de correo electrónico principal, usa la siguiente configuración:
- Application username format: Email
- Update application username on: Create and update.
Haz clic en Listo.
Configura el aprovisionamiento de usuarios
En esta sección, configurarás Okta para aprovisionar usuarios y grupos de forma automática en Google Cloud.
- En la página de configuración de la aplicación de Google Cloud, abre la pestaña Provisioning.
Haz clic en Configure API Integration y configura lo siguiente:
- Enable API integration: configúrala como habilitada
- Import Groups: Configurado como disabled, a menos que tengas grupos existentes en Cloud Identity o Google Workspace, que desees importar a Okta
Haz clic en Authenticate with Google Workspace.
Accede con el usuario
okta-provisioning@DOMAIN
que creaste antes, en el queDOMAIN
es el dominio principal de tu cuenta de Cloud Identity o Google Workspace.Revisa las Condiciones del Servicio y la Política de Privacidad de Google. Si estás de acuerdo con los términos, haz clic en I understand.
Para confirmar el acceso a la API de Cloud Identity, haz clic en Permitir.
Haz clic en Guardar.
Okta está conectado a tu cuenta de Cloud Identity o de Google Workspace, pero el aprovisionamiento sigue inhabilitado. Para habilitar el aprovisionamiento, haz lo siguiente:
- En la página de configuración de la aplicación de Google Cloud, abre la pestaña Provisioning.
Haz clic en Edit y configura lo siguiente:
- Create users: Configurado como enabled
- Update user attributes: Configurado como enabled
- Deactivate users: Configurado como enabled
- Sync password: Configurado como disabled
De manera opcional, haz clic en Go to profile editor para personalizar las asignaciones de atributos.
Si usas asignaciones personalizadas, debes asignar
userName
,nameGivenName
ynameFamilyName
. Todas las demás asignaciones de atributos son opcionales.Haz clic en Guardar.
Configura la asignación de usuarios
En esta sección, debes configurar qué usuarios de Okta aprovisionar para Cloud Identity o Google Workspace:
- En la página de configuración de la aplicación de Google Cloud, abre la pestaña Assignments.
- Haz clic en Assign >Assing to people o Assign > Assing to groups.
- Selecciona un usuario o grupo y haz clic en Assign.
- En el cuadro de diálogo de la asignación que aparece, mantén la configuración predeterminada y haz clic en Save and go back.
- Haz clic en Listo.
Repite los pasos de esta sección para cada usuario o grupo que desees aprovisionar. Para aprovisionar todos los usuarios en Cloud Identity o Google Workspace, asigna el grupo Everyone.
Configura la asignación de grupos
De manera opcional, puedes permitir que Okta aprovisione grupos a Cloud Identity o Google Workspace. En lugar de seleccionar grupos de forma individual, es mejor configurar Okta para aprovisionar grupos en función de una convención de nombres.
Por ejemplo, para permitir que Okta aprovisione todos los grupos que comienzan con google-cloud
, haz lo siguiente:
- En la página de configuración para la aplicación de Google Cloud, abre la pestaña Push groups.
- Haz clic en Push groups > Find groups by role.
En la página Push groups by rule, configura la siguiente regla:
- Rule name: Es el nombre del rol, por ejemplo,
Google Cloud
. - Group name: comienza con
google-cloud
- Rule name: Es el nombre del rol, por ejemplo,
Haz clic en Crear regla.
Soluciona problemas
Para solucionar problemas de aprovisionamiento de usuarios o grupos, haz clic en View logs en la página de configuración de la aplicación de Google Cloud.
Para permitir que Okta vuelva a intentar el aprovisionamiento de usuarios, haz lo siguiente:
- Ve a Dashboard > Tasks.
- Busca la tarea con errores y abre los detalles.
- En la página de detalles, haz clic en Retry selected.
Configura Okta para el inicio de sesión único
Si seguiste los pasos para configurar el aprovisionamiento de Okta, todos los usuarios relevantes de Okta se aprovisionan de forma automática en Cloud Identity o Google Workspace. Para permitir que estos usuarios accedan, configura el inicio de sesión único:
- En la página de configuración de la aplicación de Google Cloud, abre la pestaña Sign on.
- Haz clic en SAML 2.0 > More details.
- Haz clic en Download para descargar el certificado de firma.
- Observa la URL de inicio de sesión y la URL de cierre de sesión, necesitarás estas URLs en uno de los próximos pasos.
Después de preparar el Okta para el inicio de sesión único, puedes habilitar el inicio de sesión único en tu cuenta de Cloud Identity o Google Workspace:
- Abre la Consola del administrador y accede con un usuario administrador avanzado.
- En el menú, haz clic en Mostrar más y ve a Seguridad > Autenticación > SSO con IdP de terceros.
Haga clic en Agregar perfil de SSO.
Configura Configurar SSO con un proveedor de identidad de terceros como habilitado.
Ingresa las opciones de configuración siguientes:
- URL de la página de acceso: ingresa la URL de acceso que copiaste de la página de configuración de Okta.
- URL de la página de cierre de sesión: ingresa la URL de cierre de sesión que copiaste de la página de configuración de Okta.
- Cambia la URL de contraseña:
https://ORGANIZATION.okta.com/enduser/settings
, en el queORGANIZATION
es el nombre de tu organización de Okta.
En Certificado de verificación, haz clic en Subir certificado y, luego, elige el certificado de firma de token que descargaste antes.
Haz clic en Guardar.
Actualiza la configuración de SSO para la UO Automation
a fin de inhabilitar el inicio de sesión único:
- En Administrar asignaciones de perfiles de SSO, haz clic en Comenzar.
- Expande Unidades organizacionales y selecciona la UO
Automation
. - Cambia la asignación del perfil de SSO del perfil de SSO de terceros de la organización a Ninguno.
- Haz clic en Anular.
Agrega la consola de Google Cloud y otros servicios de Google al panel de la app
Para agregar la consola de Google Cloud y, de forma opcional, otros servicios de Google al panel de la app de Okta de los usuarios, haz lo siguiente:
- En el panel de administración de Okta, selecciona Applications > Applications.
- Haz clic en Browse app catalog.
- Busca
Bookmark app
y selecciona la aplicación Bookmark app. - Haz clic en Agregar integración.
En la página General settings, establece lo siguiente:
- Application label:
Google Cloud console
- URL:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
, y reemplazaPRIMARY_DOMAIN
por el nombre de dominio principal que usa la cuenta de Cloud Identity o Google Workspace.
- Application label:
Haz clic en Listo.
Cambia el logotipo de la aplicación por el logotipo de Google Cloud.
Abre la pestaña Sign on.
Haz clic en User authentication > Edit y configura lo siguiente:
- Authentication policy: Configurada como Okta dashboard
Haz clic en Guardar.
Abre la pestaña Assignment y asigna uno o más usuarios. Los usuarios asignados ven el vínculo de la consola de Google Cloud en su panel de usuario.
De manera opcional, repite los pasos anteriores para cualquier servicio de Google adicional que desees incluir en los paneles de usuarios. La siguiente tabla contiene las URLs y los logotipos de los servicios de Google de uso más común:
Google service (Servicio de Google) | URL | Logo |
---|---|---|
Consola de Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Documentos de Google | https://docs.google.com/a/DOMAIN |
|
Hojas de cálculo de Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Grupos de Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
Prueba el inicio de sesión único
Después de completar la configuración de inicio de sesión único en Okta y Cloud Identity o Google Workspace, puedes acceder a Google Cloud de dos maneras:
- A través de la lista en el panel de usuario de Okta
- De forma directa a través de https://console.cloud.google.com/.
Para verificar que la segunda opción funciona según lo previsto, ejecuta la siguiente prueba:
- Elige un usuario de Okta que se haya aprovisionado a Cloud Identity o Google Workspace y que no tenga privilegios de administrador avanzado asignados. Los usuarios con privilegios de administrador avanzado siempre deben acceder con credenciales de Google y, por lo tanto, no son adecuados para probar el inicio de sesión único.
- Abre una ventana del navegador nueva y ve a https://console.cloud.google.com/.
- En la página de Acceso con Google que aparece, ingresa la dirección de correo electrónico del usuario y haz clic en Siguiente.
Se te redireccionará a Okta y verás otro mensaje de acceso. Ingresa tu dirección de correo electrónico del usuario y sigue los pasos para autenticarte.
Después de una autenticación exitosa, Okta debería redireccionarte al Acceso con Google. Como es la primera vez que accedes con este usuario, se te solicitará que aceptes la Política de Privacidad y las Condiciones del Servicio de Google.
Si estás de acuerdo con los términos, haz clic en I understand.
Serás redireccionado a la consola de Google Cloud, que te pedirá que confirmes las preferencias y que aceptes las Condiciones del Servicio de Google Cloud.
Si aceptas las condiciones, selecciona Sí y haz clic en Aceptar y continuar.
Haz clic en el ícono del avatar en la esquina superior izquierda de la página y, luego, haz clic en Salir.
Se te redireccionará a una página de Okta que confirma que saliste con éxito.
Ten en cuenta que los usuarios con privilegios de administrador avanzado están exentos del inicio de sesión único, por lo que aún puedes usar la Consola del administrador para verificar o cambiar la configuración.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.