Aprovisionamiento de usuarios e inicio de sesión único de Microsoft Entra ID (anteriormente Azure AD) B2B

En este documento se explica cómo puedes ampliar el aprovisionamiento de usuarios y el inicio de sesión único de Microsoft Entra ID (anteriormente Azure AD) para habilitar el inicio de sesión único (SSO) en usuarios de colaboración B2B de Microsoft Entra ID.

En este documento se da por hecho que usas Microsoft Office 365 o Microsoft Entra ID en tu organización y que ya has configurado el aprovisionamiento de usuarios y el inicio de sesión único de Microsoft Entra ID, tal como se muestra en el siguiente diagrama.

En este diagrama, los usuarios de proveedores de identidades (IdPs) externos y de otros clientes de Microsoft Entra ID inician sesión en el cliente de Microsoft Entra ID mediante el inicio de sesión B2B.

Objetivos

• Amplía la configuración de aprovisionamiento de usuarios de Microsoft Entra ID para que incluya a los usuarios invitados de Microsoft Entra B2B.
• Amplía la configuración del SSO de Microsoft Entra ID para que incluya a los usuarios invitados de Microsoft Entra B2B.
• Configura Cloud Identity para limitar la duración de las sesiones de los usuarios invitados.

Antes de empezar

Asegúrate de haber configurado el aprovisionamiento de usuarios y el inicio de sesión único de Microsoft Entra ID.

Usuarios invitados de Microsoft Entra B2B

Microsoft Entra ID te permite invitar a usuarios externos como invitados a tu cliente de Microsoft Entra ID. Cuando invitas a un usuario externo, Microsoft Entra ID crea una cuenta de usuario invitado en tu inquilino. Estas cuentas de usuario invitado se diferencian de las cuentas de usuario de Microsoft Entra ID normales en varios aspectos:

• Los usuarios invitados no tienen contraseña. Para iniciar sesión, los usuarios invitados se redirigen automáticamente a su inquilino principal o al proveedor de identidades (IdP) externo desde el que se les ha invitado.
• El nombre principal de usuario (UPN) de la cuenta de usuario invitado usa un prefijo derivado de la dirección de correo del invitado, combinado con el dominio inicial del inquilino. Por ejemplo: prefix#EXT#@tenant.onmicrosoft.com.
• Si invitas a un usuario de otro cliente de Microsoft Entra ID y, más adelante, se elimina al usuario en su cliente principal, la cuenta de usuario invitado permanecerá activa en tu cliente de Microsoft Entra ID.

Estas diferencias afectan a la forma en que configuras el aprovisionamiento de usuarios y el inicio de sesión único:

• Como onmicrosoft.com es un dominio DNS propiedad de Microsoft, no puedes añadir tenant.onmicrosoft.com como dominio secundario a tu cuenta de Cloud Identity o Google Workspace. Esto significa que no puedes usar el UPN del usuario invitado como dirección de correo principal al aprovisionar el usuario en Cloud Identity o Google Workspace.

  Para aprovisionar usuarios invitados en Cloud Identity o Google Workspace, debes configurar una asignación que transforme el UPN del usuario invitado en un dominio utilizado por tu cuenta de Cloud Identity o Google Workspace.

  En este documento, configurará una asignación de UPN tal como se indica en la siguiente tabla.

  	UPN original en Microsoft Entra ID	Dirección de correo principal en Cloud Identity o Google Workspace
  Usuario normal	alice@example.com	alice@example.com
  Invitado de Microsoft Entra ID	charlie@altostrat.com	charlie_altostrat.com@example.com
  Invitado externo	user@hotmail.com	user_hotmail.com@example.com

• Cuando se elimina un usuario en su cliente principal, Microsoft Entra ID no suspenderá al usuario correspondiente en Cloud Identity ni en Google Workspace. Esto supone un riesgo de seguridad: aunque los intentos de usar el inicio de sesión único fallarán para ese usuario, las sesiones de navegador y los tokens de actualización (incluidos los que usa la CLI de Google Cloud) podrían seguir activos durante días o semanas, lo que permitiría al usuario seguir accediendo a los recursos.

  Con el método que se describe en este documento, puedes mitigar este riesgo aprovisionando usuarios invitados en una unidad organizativa específica de Cloud Identity o Google Workspace y aplicando una política que limite la duración de la sesión a 8 horas. Esta política asegura que las sesiones del navegador y los tokens de actualización se invaliden en un plazo máximo de 8 horas después de que se haya eliminado al usuario en su tenant principal, lo que revoca todo el acceso. Sin embargo, el usuario de Cloud Identity o Google Workspace seguirá activo hasta que elimines al usuario invitado de tu cuenta de Microsoft Entra ID.

Preparar una cuenta de Cloud Identity o Google Workspace

Crea una unidad organizativa en tu cuenta de Cloud Identity o Google Workspace en la que se aprovisionarán todos los usuarios invitados.

1. Abre la consola de administración e inicia sesión con el usuario superadministrador que creaste al registrarte en Cloud Identity o Google Workspace.
2. En el menú, ve a Directorio > Unidades organizativas.
3. Haz clic en Crear unidad organizativa y proporciona un nombre y una descripción para la unidad organizativa:
   1. Nombre de la unidad organizativa: guests
   2. Descripción: Microsoft Entra B2B guest users
4. Haz clic en Crear.

Aplica una política a la unidad organizativa que limite la duración de la sesión a 8 horas. La duración de la sesión no solo se aplica a las sesiones del navegador, sino que también restringe el tiempo de vida de los tokens de actualización de OAuth.

1. En la consola de administración, ve a Seguridad > Control de acceso y de datos > Control de sesión de Google Cloud.

2. Selecciona la unidad organizativa Invitados y aplica los siguientes ajustes:

   • Política de reautenticación: Requerir reautenticación

   • Frecuencia de reautenticación: 8 horas.

     Esta duración refleja el tiempo máximo que un usuario invitado puede seguir accediendo a los recursos Google Cloud después de que se haya suspendido en Microsoft Entra ID.

   • Método de reautenticación: Contraseña.

     Este ajuste asegura que los usuarios tengan que volver a autenticarse con Microsoft Entra ID después de que haya caducado una sesión.

3. Haz clic en Anular.

Configurar el aprovisionamiento de Microsoft Entra ID

Ahora ya puedes ajustar tu configuración de Microsoft Entra ID para admitir el aprovisionamiento de usuarios invitados B2B.

1. En el portal de Azure, ve a Microsoft Entra ID > Aplicaciones empresariales.
2. Selecciona la aplicación empresarial Google Cloud (Provisioning), que utilizas para aprovisionar usuarios.
3. Haz clic en Gestionar > Aprovisionamiento.
4. Haz clic en Editar aprovisionamiento.
5. En Asignaciones, haz clic en Aprovisionar usuarios de Microsoft Entra ID.
6. Selecciona la fila userPrincipalName.

7. En el cuadro de diálogo Editar atributo, aplique los siguientes cambios:

   1. Tipo de asignación: cambie de Directa a Expresión.

   2. Expresión:

      Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )

      Haz los cambios siguientes:

      • TENANT_DOMAIN: el dominio .onmicrosoft.com de tu cliente de Microsoft Entra ID, como tenant.onmicrosoft.com.
      • PRIMARY_DOMAIN: el nombre de dominio principal que se usa en tu cuenta de Cloud Identity o Google Workspace, como example.org.

8. Haz clic en Aceptar.

9. Selecciona Añadir nueva asignación.

10. En el cuadro de diálogo Editar atributo, configura los siguientes ajustes:

    1. Tipo de asignación: Expresión.

    2. Expresión:

       IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")

    3. Atributo de destino: OrgUnitPath

11. Haz clic en Aceptar.

12. Haz clic en Guardar.

13. Haga clic en Sí para confirmar que, al guardar los cambios, los usuarios y los grupos se volverán a sincronizar.

14. Cierra el cuadro de diálogo Asignación de atributos.

Configurar Microsoft Entra ID para el inicio de sesión único

Para asegurarte de que los usuarios invitados puedan autenticarse mediante el inicio de sesión único, ahora debes ampliar tu configuración de Microsoft Entra ID para habilitar el inicio de sesión único para invitados:

1. En el portal de Azure, ve a Microsoft Entra ID > Aplicaciones empresariales.
2. Selecciona la aplicación empresarial Google Cloud, que utilizas para el inicio de sesión único.
3. Haz clic en Gestionar > Inicio de sesión único.
4. En la pantalla de votación, haz clic en la tarjeta SAML.
5. En la tarjeta Atributos y reclamaciones de usuario, haga clic en Editar.
6. Seleccione la fila Identificador de usuario único (ID de nombre).
7. Selecciona Condiciones de reclamación.
8. Añade una reclamación condicional para los invitados externos:
   • Tipo de usuario: Invitados externos
   • Fuente: Transformación
   • Transformación: RegexReplace()
   • Parámetro 1: atributo
   • Atributo: user.userprincipalname
   • Patrón de expresión regular: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$
   • Patrón de sustitución: {username}@PRIMARY_DOMAIN, sustituye PRIMARY_DOMAIN por el nombre del dominio principal que usa tu cuenta de Cloud Identity o Google Workspace.
9. Haz clic en Añadir.

10. Añade una reclamación condicional para los invitados de Microsoft Entra ID de diferentes clientes:

    • Tipo de usuario: Invitados de Microsoft Entra
    • Fuente: Transformación
    • Transformación: RegexReplace()
    • Parámetro 1: atributo

    • Atributo: user.localuserprincipalname

    • Patrón de expresión regular: (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$

    • Patrón de sustitución: {username}@PRIMARY_DOMAIN, sustituye PRIMARY_DOMAIN por el nombre del dominio principal que usa tu cuenta de Cloud Identity o Google Workspace.

11. Haz clic en Añadir.

12. Añade una reclamación condicional para los usuarios habituales de Microsoft Entra ID:

    • Tipo de usuario: Miembros
    • Fuente: Atributo
    • Valor: user.userprincipalname

13. Haz clic en Guardar.

Probar el inicio de sesión único

Para verificar que la configuración funciona correctamente, necesitas tres usuarios de prueba en tu cliente de Microsoft Entra ID:

• Un usuario normal de Microsoft Entra ID.
• Un usuario invitado de Microsoft Entra ID. Se trata de un usuario que ha recibido una invitación de otro cliente de Microsoft Entra ID.
• Un usuario invitado externo. Se trata de un usuario que se ha invitado con una dirección de correo que no es de Microsoft Entra ID, como una dirección @hotmail.com.

Con cada usuario, realiza la siguiente prueba:

1. Abre una nueva ventana del navegador en modo incógnito y ve a https://console.cloud.google.com/.

2. En la página de inicio de sesión de Google que aparece, introduce la dirección de correo del usuario tal como se muestra en la columna Dirección de correo principal en Cloud Identity o Google Workspace de la tabla anterior. Consulta esa tabla para ver cómo se deriva la dirección de correo de Cloud Identity o Google Workspace del nombre principal de usuario.

   Se te redirigirá a Microsoft Entra ID, donde verás otra petición de inicio de sesión.

3. En la petición de inicio de sesión, introduce el UPN del usuario y sigue las instrucciones para autenticarte.

   Una vez que se haya completado la autenticación, Microsoft Entra ID te redirigirá a la página de inicio de sesión de Google. Como es la primera vez que inicias sesión con este usuario, se te pide que aceptes los Términos del Servicio y la Política de Privacidad de Google.

4. Si estás de acuerdo con los términos, haz clic en Aceptar.

   Se te redirigirá a la Google Cloud consola, donde se te pedirá que confirmes las preferencias y aceptes los Google Cloud Términos del Servicio.

5. Si aceptas los términos, elige Sí y, a continuación, haz clic en Aceptar y continuar.

6. Haz clic en el icono del avatar y, a continuación, en Cerrar sesión.

   Se te redirigirá a una página de Microsoft Entra ID que confirma que has cerrado sesión correctamente.

Siguientes pasos

• Más información sobre la federación Google Cloud con Microsoft Entra ID
• Consulta las prácticas recomendadas para planificar cuentas y organizaciones y las prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.

Colaboradores

Autor: Johannes Passing | Arquitecto de soluciones en la nube