Inicio de sesión único de Active Directory

Last reviewed 2024-04-30 UTC

En este artículo, se muestra cómo configurar el inicio de sesión único entre el entorno de Active Directory y tu cuenta de Cloud Identity o Google Workspace mediante los Servicios de federación de Active Directory (AD FS) de Microsoft y la Federación de SAML.

En este artículo, se supone que comprendes cómo se puede extender la administración de identidades de Active Directory a Google Cloud y que ya configuraste el aprovisionamiento de usuarios. También se supone que tienes un servidor de AD FS 4.0 que se ejecuta en Windows Server 2016 o una versión posterior de Windows Server.

Para seguir esta guía, se requieren conocimientos de Active Directory Domain Services y AD FS. También necesitas un usuario en Cloud Identity o Google Workspace que tenga privilegios de administrador avanzado y un usuario en Active Directory que tenga acceso de administrador a tu servidor AD FS.

Objetivos

  • Configura tu servidor AD FS de modo que Cloud Identity o Google Workspace puedan usarlo como proveedor de identidad.
  • Crea una política de emisión de reclamos que coincida con las identidades entre Active Directory y Cloud Identity o Google Workspace.
  • Configura tu cuenta de Cloud Identity o Google Workspace para que delegue la autenticación a AD FS.

Costos

Si usas la edición gratuita de Cloud Identity, en este artículo no usarás componentes facturables de Google Cloud.

Antes de comenzar

  1. Verifica que el servidor de AD FS ejecute Windows Server 2016 o una versión posterior. Si bien también puedes configurar el inicio de sesión único mediante versiones anteriores de Windows Server y AD FS, los pasos de configuración necesarios pueden ser diferentes de los descritos en este artículo.
  2. Asegúrate de comprender cómo se puede extender la administración de identidades de Active Directory a Google Cloud.
  3. Configura el aprovisionamiento de los usuarios entre Active Directory y Cloud Identity o Google Workspace.
  4. Considera establecer AD FS en una configuración del conjunto de servidores a modo de evitar que se convierta en un punto único de fallo. Después de habilitar el inicio de sesión único, la disponibilidad de AD FS determina si los usuarios pueden acceder a la consola de Google Cloud.

Información sobre el inicio de sesión único

Mediante Google Cloud Directory Sync, ya automatizaste la creación y el mantenimiento de los usuarios, y vinculaste su ciclo de vida a los usuarios en Active Directory.

Aunque GCDS aprovisiona los detalles de las cuentas de usuario, no sincroniza las contraseñas. Siempre que un usuario necesite autenticarse en Google Cloud, la autenticación se debe delegar a Active Directory; esto se hace mediante AD FS y el protocolo de lenguaje de marcado para confirmaciones de seguridad (SAML). Esta configuración garantiza que solo Active Directory tenga acceso a las credenciales de usuario y que se apliquen todas las políticas o mecanismos de autenticación de varios factores (MFA) correspondientes. Además, establece una experiencia de inicio de sesión único entre tu entorno local y Google.

Para obtener más detalles sobre el inicio de sesión único, consulta la página Inicio de sesión único.

Crea un perfil de SAML

Para configurar el inicio de sesión único con AD FS, primero debes crear un perfil de SAML en tu cuenta de Cloud Identity o Google Workspace. El perfil de SAML contiene la configuración relacionada con tu instancia de AD FS, incluida su URL y su certificado de firma.

Más adelante, asignarás el perfil de SAML a ciertos grupos o unidades organizativas.

Para crear un perfil de SAML nuevo en tu cuenta de Cloud Identity o Google Workspace, haz lo siguiente:

  1. En la Consola del administrador, ve a SSO con IdP de terceros.

    Ir al SSO con IdP de terceros

  2. Haz clic en Perfiles de SSO de terceros > Agregar perfil de SAML.

  3. En la página SAML SSO profile, ingresa la siguiente configuración:

    • Nombre: AD FS

    • ID de entidad del IDP:

      https://ADFS/adfs/services/trust

    • URL de la página de acceso:

      https://ADFS/adfs/ls/

    • URL de la página de salida:

      https://ADFS/adfs/ls/?wa=wsignout1.0

    • URL de cambio de contraseña:

      https://ADFS/adfs/portal/updatepassword/

    En todas las URLs, reemplaza ADFS por el nombre de dominio completamente calificado de tu servidor de AD FS.

    Aún no subas un certificado de verificación.

  4. Haz clic en Guardar.

    La página Perfil de SSO de SAML que aparece contiene dos URLs:

    • ID de entidad
    • URL de ACS

    Necesitarás estas URLs en la siguiente sección cuando configures AD FS.

Configura AD FS

Para configurar tu servidor de AD FS, crea una relación de confianza con la parte autenticada.

Crea una relación de confianza con la parte autenticada

Crea una nueva relación de confianza con la parte autenticada:

  1. Conéctate a tu servidor AD FS y abre el complemento AD FS Management de MMC.
  2. Selecciona AD FS > Relaciones de confianza con la parte autenticada.
  3. En el panel Acciones, haz clic en Agregar relación de confianza con la parte autenticada.
  4. En la primera página Bienvenida, selecciona Compatible con notificaciones y haz clic en Comenzar.
  5. En la página Seleccionar fuente de datos, selecciona Ingresar manualmente los datos sobre la parte de confianza y haz clic en Siguiente.
  6. En la página Especificar nombre visible, ingresa un nombre como Google Cloud y haz clic en Siguiente.
  7. En la página Configurar certificado, haz clic en Siguiente.

  8. En la página Configurar URL, selecciona Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO y, luego, ingresa la URL de ACS de tu perfil de SAML. Luego, haga clic en Siguiente.

    Habilita la compatibilidad con el protocolo SAML 2.0 WebSSO.

  9. En la página Configurar identificadores, agrega el ID de entidad de tu perfil de SAML.

    Identificadores de relación de confianza con la parte autenticada

    Luego, haga clic en Next.

  10. En la página Elige una política de control de acceso, elige una política de acceso adecuada y haz clic en Siguiente.

  11. En la página Listo para agregar confianza, revisa tu configuración y, luego, haz clic en Siguiente.

  12. En la página final, limpia la casilla de verificación Configurar política emisión de reclamos y cierra el asistente.

    En la lista de relaciones de confianza con la parte autenticada, verás una entrada nueva.

Configura la URL de cierre de sesión

Cuando habilitas a los usuarios a usar inicio de sesión único en varias aplicaciones, es importante permitirles salir de varias aplicaciones:

  1. Abre la relación de confianza con la parte autenticada que acabas de crear.
  2. Selecciona la pestaña Extremos.

  3. Haz clic en Agregar SAML y configura los siguientes parámetros:

    1. Endpoint type (Tipo de extremo): SAML Logout (Cierre de sesión de SAML)
    2. Binding (Vinculación): POST

    3. URL de confianza:

      https://ADFS/adfs/ls/?wa=wsignout1.0

      Reemplaza ADFS por el nombre de dominio completamente calificado del servidor de AD FS.

      Agrega un extremo

  4. Haz clic en Aceptar (OK).

  5. Haz clic en Aceptar para cerrar el cuadro de diálogo.

Configura la asignación de reclamos

Después de que AD FS autentica a un usuario, emite una aserción de SAML. Esta aserción sirve como prueba de que la autenticación se realizó de forma correcta. La aserción debe identificar quién se autenticó, que es el propósito del reclamo de NameID.

Para permitir que el Acceso con Google asocie el NameID con un usuario, el NameID debe contener la dirección de correo electrónico principal de ese usuario. Según cómo asignes usuarios entre Active Directory y Cloud Identity o Google Workspace, NameID debe contener el UPN o la dirección de correo electrónico del usuario de Active Directory, con las sustituciones de dominio aplicadas según sea necesario.

UPN

  1. En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
  2. Haz clic en Agregar regla.
  3. En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.

  4. En la página Configurar regla de reclamación, establece la siguiente configuración:

    • Nombre de la regla de reclamación: Name Identifier.
    • Tipo de reclamación entrante: UPN
    • Tipo de reclamación saliente: ID de nombre
    • Formato de ID de nombre saliente: Correo electrónico

  5. Selecciona Pasar todos los valores de la reclamación y haz clic en Finalizar.

  6. Haz clic en Aceptar para cerrar el cuadro de diálogo de la política de emisión de reclamaciones.

UPN: sustitución de dominio

  1. En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
  2. Haz clic en Agregar regla.
  3. En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.

  4. En la página Configurar regla de reclamación, establece la siguiente configuración:

    • Nombre de la regla de reclamación: Name Identifier.
    • Tipo de reclamación entrante: UPN
    • Tipo de reclamación saliente: ID de nombre
    • Formato de ID de nombre saliente: Correo electrónico

  5. Selecciona Reemplazar sufijo del correo electrónico de la reclamación entrante con un nuevo sufijo de correo electrónico y configura el siguiente ajuste:

    • Nuevo sufijo de correo electrónico: Un nombre de dominio que usa tu cuenta de Cloud Identity o Google Workspace.

  6. Haz clic en Finalizar y, luego, en Aceptar.

Correo electrónico

  1. En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
  2. Agrega una regla para buscar la dirección de correo electrónico:
    1. En el cuadro de diálogo, haz clic en Agregar regla.
    2. Selecciona Enviar atributos LDAP como notificaciones y haz clic en Siguiente.
    3. En la siguiente página, aplica la configuración que se indica debajo:
      1. Nombre de la regla de reclamación: Email address.
      2. Almacén de atributos: Active Directory
    4. Agrega una fila a la lista de asignaciones de atributos de LDAP:
      1. Atributo LDAP: E-Mail-Addresses
      2. Tipo de reclamación saliente: Dirección de correo electrónico
    5. Haz clic en Finalizar.

  3. Agrega otra regla para configurar NameID:

    1. Haz clic en Agregar regla.
    2. En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.

    3. En la página Configurar regla de reclamación, establece la siguiente configuración:

      • Nombre de la regla de reclamación: Name Identifier.
      • Tipo de reclamación entrante: Dirección de correo electrónico
      • Tipo de reclamación saliente: ID de nombre
      • Formato de ID de nombre saliente: Correo electrónico

    4. Selecciona Pasar todos los valores de la reclamación y haz clic en Finalizar.

    5. Haz clic en Aceptar para cerrar el cuadro de diálogo de la política de emisión de reclamaciones.

Correo electrónico: sustitución de dominio

  1. En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
  2. Agrega una regla para buscar la dirección de correo electrónico:
    1. En el cuadro de diálogo, haz clic en Agregar regla.
    2. Selecciona Enviar atributos LDAP como notificaciones y haz clic en Siguiente.
    3. En la siguiente página, aplica la configuración que se indica debajo:
      1. Nombre de la regla de reclamación: Email address.
      2. Almacén de atributos: Active Directory
    4. Agrega una fila a la lista de asignaciones de atributos de LDAP:
      1. Atributo LDAP: E-Mail-Addresses
      2. Tipo de reclamación saliente: Dirección de correo electrónico
    5. Haz clic en Finalizar.

  3. Agrega otra regla para establecer el valor NameID:

    1. Haz clic en Agregar regla.
    2. En la página Elige un tipo de regla del asistente Agregar regla de reclamación de transformación, selecciona Transforma una reclamación entrante y, luego, haz clic en Siguiente.

    3. En la página Configurar regla de reclamación, establece la siguiente configuración:

      • Nombre de la regla de reclamación: Name Identifier.
      • Tipo de reclamación entrante: Dirección de correo electrónico
      • Tipo de reclamación saliente: ID de nombre
      • Formato de ID de nombre saliente: Correo electrónico

  4. Selecciona Reemplazar sufijo del correo electrónico de la reclamación entrante con un nuevo sufijo de correo electrónico y configura el siguiente ajuste:

    • Nuevo sufijo de correo electrónico: Un nombre de dominio que usa tu cuenta de Cloud Identity o Google Workspace.

  5. Haz clic en Finalizar y, luego, en Aceptar.single-sign-on

Exporta el certificado de firma de tokens de AD FS

Una vez que AD FS autentica a un usuario, pasa una aserción SAML a Cloud Identity o a Google Workspace. Para habilitar Cloud Identity y Google Workspace a fin de verificar la integridad y la autenticidad de esa aserción, AD FS firma la aserción con una clave de firma de token especial y proporciona un certificado que habilita Cloud Identity o Google Workspace para verificar la firma.

Para exportar el certificado de firma desde AD FS, haz lo siguiente:

  1. En la Consola del administrador de AD FS, haz clic en Servicio > Certificados.
  2. Haz clic con el botón derecho en el certificado que está en la lista en Firma de token y haz clic en Ver certificado.
  3. Seleccione la pestaña Detalles.
  4. Haz clic en Copiar a archivo para abrir el asistente de exportación de certificados.
  5. En el Asistente de bienvenida al exportación de certificados, haz clic en Siguiente.
  6. En la página Exportar clave privada, selecciona No, no exportar la clave privada.
  7. En la página Formato del archivo de exportación, selecciona X.509 con codificación en Base64 (.CER) y haz clic en Siguiente.
  8. En la página Archivo a exportar, proporciona un nombre de archivo local y haz clic en Siguiente.
  9. Haz clic en Finalizar para cerrar el cuadro de diálogo.
  10. Copia el certificado exportado en tu computadora local.

Completa el perfil de SAML

Usa el certificado de firma para completar la configuración de tu perfil de SAML:

  1. Regresa a la Consola del administrador y ve a Seguridad > Autenticación > SSO con IdP de terceros.

    Ir al SSO con IdP de terceros

  2. Abre el perfil de SAML AD FS que creaste antes.

  3. Haz clic en la sección Detalles de la IDP para editar la configuración.

  4. Haz clic en Subir certificado y elige el certificado de firma de tokens que exportaste de AD FS.

  5. Haz clic en Guardar.

Tu perfil de SAML está completo, pero aún debes asignarlo.

Asigna el perfil de SAML

Selecciona los usuarios para los que se debe aplicar el nuevo perfil de SAML:

  1. En la Consola del administrador, en la página SSO con IDP de terceros, haz clic en Administrar asignaciones de perfiles de SSO > Administrar.

    Ve a Administrar asignaciones de perfiles de SSO.

  2. En el panel izquierdo, selecciona el grupo o la unidad organizativa para la que quieres aplicar el perfil de SSO. Para aplicar el perfil a todos los usuarios, selecciona la unidad organizativa raíz.

  3. En el panel derecho, selecciona Otro perfil de SSO.

  4. En el menú, selecciona el perfil de SSO de AD FS - SAML que creaste antes.

  5. Haz clic en Guardar.

Repite los pasos para asignar el perfil de SAML a otro grupo o unidad organizativa.

Prueba el inicio de sesión único

Completaste la configuración de inicio de sesión único. Puedes verificar si el SSO funciona según lo previsto.

  1. Elige un usuario de Active Directory que cumpla con los siguientes criterios:

    • El usuario se aprovisionó en Cloud Identity o Google Workspace.

    • El usuario de Cloud Identity no tiene privilegios de administrador avanzado.

      Las cuentas de usuario que tienen privilegios de administrador avanzado siempre deben acceder mediante credenciales de Google, por lo que no son adecuadas para probar el inicio de sesión único.

  2. Abre una ventana del navegador nueva y ve a https://console.cloud.google.com/.

  3. En la página de Acceso con Google que aparece, ingresa la dirección de correo electrónico del usuario y haz clic en Next (Siguiente). Si usas la sustitución de dominio, debes aplicarla a la dirección de correo electrónico.

    Ingresa la dirección de correo electrónico del usuario.

    Se te redireccionará a AD FS. Si configuraste AD FS para que use autenticación basada en formularios, verás la página de acceso.

  4. Ingresa el UPN y la contraseña para el usuario de Active Directory y haz clic en Sign in (Acceder).

    Ingresa el UPN y la contraseña para el usuario de Active Directory.

  5. Después de una autenticación correcta, AD FS te redirecciona a la consola de Google Cloud. Debido a que es el primer acceso de este usuario, se te pide que aceptes las Condiciones del Servicio y la Política de Privacidad de Google.

  6. Si estás de acuerdo con los términos, haz clic en Aceptar.

  7. Se te redireccionará a la consola de Google Cloud, que te pedirá que confirmes las preferencias y que aceptes las Condiciones del Servicio de Google Cloud. Si estás de acuerdo con las Condiciones del Servicio, haz clic en y, luego, en Aceptar y continuar.

  8. Arriba a la izquierda, haz clic en el ícono del avatar y haz clic en Salir.

    Se te redireccionará a una página de AD FS que confirma que saliste con éxito.

Si tienes problemas para acceder, es posible que encuentres información adicional en el registro de administrador de AD FS.

Ten en cuenta que los usuarios con privilegios de administrador avanzado están exentos del inicio de sesión único, por lo que aún puedes usar la Consola del administrador para verificar o cambiar la configuración.

Opcional: Configura redireccionamientos para URLs de servicios específicas del dominio

Cuando vinculas a la consola de Google Cloud desde portales o documentos internos, puedes mejorar la experiencia del usuario con las URLs de servicio específicas del dominio.

A diferencia de las URLs de servicios normales, como https://console.cloud.google.com/, las URLs de servicios específicos del dominio incluyen el nombre de tu dominio principal. Los usuarios no autenticados que hacen clic en un vínculo a una URL de servicio específico de dominio se redireccionan de inmediato a AD FS en lugar de que se les muestre primero una página de acceso de Google.

Estos son algunos ejemplos de URLs de servicios específicas del dominio:

Servicio de Google URL Logotipo
Consola de Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logotipo de Google Cloud
Documentos de Google https://docs.google.com/a/DOMAIN Logotipo de Documentos de Google
Hojas de cálculo de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logotipo de Hojas de cálculo de Google
Sitios de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logotipo de Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logotipo de Google Drive
Gmail https://mail.google.com/a/DOMAIN Logotipo de Gmail
Grupos de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logotipo de Grupos de Google
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logotipo de Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logotipo de Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logotipo de YouTube

Para configurar las URLs de servicio específicas del dominio de modo que redireccionen a AD FS, haz lo siguiente:

  1. En la Consola del administrador, en la página SSO con IdP de terceros, haz clic en URLs de servicio específicas del dominio > Editar.

    Ir a las URLs de servicio específicas del dominio

  2. Configura Redirecciona automáticamente a los usuarios a un IdP externo en el siguiente perfil de SSO como habilitado.

  3. Establece perfil de SSO en AD FS.

  4. Haz clic en Guardar.

Opcional: Configura las verificaciones de identidad

Es posible que el Acceso con Google solicite a los usuarios una verificación adicional cuando accedan desde dispositivos desconocidos o cuando su intento de acceso parezca sospechoso por otros motivos. Estos desafíos de acceso ayudan a mejorar la seguridad, por lo que te recomendamos que los dejes habilitados.

Si consideras que los desafíos de acceso causan demasiados inconvenientes, puedes inhabilitarlos. Para ello, haz lo siguiente:

  1. En la Consola del administrador, ve a Seguridad > Autenticación > Desafíos de acceso.
  2. En el panel izquierdo, selecciona una unidad organizativa para la que quieras inhabilitar los desafíos de acceso. Para inhabilitar los desafíos de acceso para todos los usuarios, selecciona la unidad organizativa raíz.
  3. En Configuración para usuarios que acceden con otros perfiles de SSO, selecciona No solicites a los usuarios verificaciones adicionales de Google.
  4. Haz clic en Guardar.

Limpia

Si no deseas mantener el inicio de sesión único habilitado para tu organización, sigue estos pasos a fin de inhabilitar el inicio de sesión único en Cloud Identity o Google Workspace:

  1. En la Consola del administrador, ve a Administrar la asignación de perfiles de SSO.

    Ve a Administrar asignaciones de perfiles de SSO.

  2. Para cada asignación de perfil, haz lo siguiente:

    1. Abre el perfil.
    2. Si ves el botón Heredar, haz clic en Heredar. Si no ves el botón Heredar, selecciona Ninguno y haz clic en Guardar.

  3. Regresa a la página SSO con IdP de terceros y abre el perfil de SAML de AD FS.

  4. Haz clic en Borrar.

Para limpiar la configuración en AD FS, sigue estos pasos:

  1. Conéctate a tu servidor AD FS y abre el complemento AD FS de MMC.
  2. En el menú a la izquierda, haz clic derecho sobre la carpeta relaciones de confianza con la parte autenticada.
  3. En la lista de relaciones de confianza, haz clic con el botón derecho en la relación de confianza que creaste y, luego, en Borrar.
  4. Confirma la eliminación con un clic en .

¿Qué sigue?