Habilitar SSO para aplicaciones en la nube

Problema empresarial

Las empresas usan apps en la nube cada vez más. Con la extensión del inicio de sesión único (SSO) a las apps en la nube, los empleados pueden usar sus credenciales corporativas para acceder a apps de software como servicio (SaaS) o apps locales alojadas en la nube.

SSO proporciona un punto único de autenticación a través de un proveedor de identidad (IdP). Los usuarios pueden acceder a apps de terceros en la nube, pero sus credenciales no se almacenan en ellas. En muchos casos, las credenciales para las apps de terceros no existen.

Tu empresa quiere aumentar la seguridad mediante el SSO, a la vez que proporciona la comodidad del SSO a sus usuarios. Un IdP debe autenticar el acceso a todas las apps en la nube de tu empresa.

Soluciones

A fin de otorgar a los usuarios el acceso basado en el SSO a las apps en la nube seleccionadas, Cloud Identity, como tu IdP, admite los protocolos OpenID Connect (OIDC) y el lenguaje de marcado para confirmaciones de seguridad 2.0 (SAML).

Cloud Identity tiene un extenso catálogo de apps SAML. Los usuarios de G Suite pueden obtener apps OIDC en G Suite Marketplace. Si bien la mayoría de las apps en la nube solo admiten uno de estos protocolos, solo unas pocas admiten ambos.

Apps del catálogo SAML

Ventajas

  • SAML está bien establecido a nivel empresarial.
  • Solo los administradores pueden instalar las apps, por lo que ellos controlan cuáles están disponibles para los empleados.
  • El proveedor de SaaS de terceros y Google trabajan en conjunto en el conector, y Google valida las apps del catálogo.
  • La instalación es rápida y fácil.

Desventajas

  • Configurar una app SAML es un poco más difícil que configurar una app OIDC.
  • No todas las apps empresariales admiten SAML, y algunas cobran más por las funciones de SAML.

Apps OIDC de G Suite Marketplace

Ventajas

  • OIDC es un protocolo más liviano y moderno que SAML.
  • Los administradores y los usuarios pueden instalar las apps, pero los usuarios solo pueden instalar las que los administradores incluyen en la lista blanca.
  • Las apps de G Suite Marketplace amplían las funciones de G Suite. Dado que las apps usan la API principal de los servicios de Google, se integran bien a los productos de Google. Se revisan las apps para verificar que cumplan los requisitos de G Suite Marketplace.

Desventaja

  • OIDC no se ha adoptado ampliamente en las apps empresariales.

Recomendaciones

Explora los catálogos de G Suite Marketplace y SAML. Algunas apps aparecen en ambos. En ese caso, si eres cliente de G Suite y tu política de TI empresarial admite OIDC, te recomendamos la app de G Suite Marketplace.

Si la app que quieres no está en ningún catálogo y admite SAML, instálala como una app SAML personalizada. Ten en cuenta que, dado que las apps SAML personalizadas se configuran para la organización que las instala, no están disponibles en el catálogo general de SAML.

Instala las apps que necesiten las diferentes organizaciones de tu empresa y, luego, asigna cada app solo a las organizaciones pertinentes.

Proveedores de identidad de terceros

Si tienes un IdP de terceros, también puedes configurar el SSO en apps de terceros del catálogo de Cloud Identity. La autenticación de usuarios se lleva a cabo en el IdP de terceros, y Cloud Identity administra las apps en la nube.

Si deseas usar Cloud Identity para el SSO, tus usuarios deben tener cuentas de Cloud Identity. Deben acceder a través del IdP de terceros o usar una contraseña en sus cuentas de Cloud Identity.

Ejemplo

Además de las apps de la línea de negocios, los empleados de la empresa A usan varios tipos de apps en la nube en su trabajo cotidiano:

  • Paquete de colaboración
  • Mensajería y comunicación
  • Conferencias
  • Administración de relaciones con clientes (CRM)
  • Recursos humanos (HR)
  • Atención al cliente

La empresa A usó un IdP local que ella misma alojó. Para mejorar la seguridad, impulsar la escalabilidad y disminuir los costos de asistencia, quieren cambiarse a Cloud Identity como su IdP principal. Los empleados quieren tener la comodidad de usar un solo conjunto de credenciales de acceso para todas sus apps en la nube. Piensan autenticar todas las apps en la nube mediante Google Identity mediante SAML y OIDC.

El equipo de TI configura sus apps en la nube para el SSO:

  • Crea una lista de las apps en la nube que los empleados usan.
  • Ubica estas apps en los catálogos de G Suite Marketplace o SAML.
  • Activa las apps una por una para configurar el SSO.
  • Asigna las apps adecuadas a organizaciones específicas, por ejemplo:
    • Establece las apps de mensajería, HR (RR.HH.) y colaboración en el nivel superior de la organización (para que todos las tengan)
    • CRM para la organización de ventas
    • App de asistencia al cliente a Asistencia

La aplicación de las llaves de seguridad varía según la organización.

Los empleados acceden a Cloud Identity. A través del SSO, pueden acceder a las apps en la nube que necesitan mediante sus credenciales de Cloud Identity.

Accede a apps en la nube mediante SSO.