Aprovisionamiento de usuarios e inicio de sesión único de Okta

Preparar una cuenta de Cloud Identity o Google Workspace

Crear un usuario para Okta

Para permitir que Okta acceda a tu cuenta de Cloud Identity o Google Workspace, debes crear un usuario para Okta en tu cuenta de Cloud Identity o Google Workspace.

El usuario de Okta solo está pensado para el aprovisionamiento automatizado. Por lo tanto, es mejor mantenerla separada de otras cuentas de usuario colocándola en una unidad organizativa (UO) independiente. Si usas una unidad organizativa independiente, también podrás inhabilitar el inicio de sesión único del usuario de Okta más adelante.

Para crear una unidad organizativa, sigue estos pasos:

1. Abre la consola de administración e inicia sesión con el usuario superadministrador que creaste al registrarte en Cloud Identity o Google Workspace.
2. En el menú, ve a Directorio > Unidades organizativas.
3. Haz clic en Crear unidad organizativa y proporciona un nombre y una descripción para la unidad organizativa:
   • Nombre: Automation
   • Descripción: Automation users
4. Haz clic en Crear.

Crea una cuenta de usuario para Okta y colócala en la unidad organizativa Automation:

1. En el menú, ve a Directorio > Usuarios y haz clic en Añadir usuario para crear un usuario.

2. Proporciona un nombre y una dirección de correo adecuados, como los siguientes:

   • Nombre: Okta
   • Apellidos: Provisioning

   • Correo principal: okta-provisioning

     Mantener el dominio principal de la dirección de correo.

3. Haz clic en Gestionar contraseña, unidad organizativa y foto de perfil del usuario y configura los siguientes ajustes:

   • Unidad organizativa: selecciona la Automation unidad organizativa que hayas creado anteriormente.
   • Contraseña: selecciona Crear contraseña e introduce una contraseña.
   • Solicitar un cambio de contraseña la próxima vez que se inicie sesión: Inhabilitado.

4. Haz clic en Añadir usuario nuevo.

5. Haz clic en Listo.

Asignar privilegios a Okta

Para permitir que Okta cree, liste y suspenda usuarios y grupos en tu cuenta de Cloud Identity o Google Workspace, debes convertir al usuario okta-provisioning en superadministrador:

1. Busca el usuario que acabas de crear en la lista y haz clic en su nombre para abrir la página de su cuenta.
2. En Privilegios y roles de administrador, haz clic en Asignar roles.
3. Habilita el rol de superadministrador.
4. Haz clic en Guardar.

Configurar el aprovisionamiento de Okta

Ahora puedes conectar Okta a tu cuenta de Cloud Identity o Google Workspace configurando la aplicación Google Workspace del catálogo de Okta.

La aplicación Google Workspace puede gestionar tanto el aprovisionamiento de usuarios como el inicio de sesión único. Usa esta aplicación aunque utilices Cloud Identity y solo tengas previsto configurar el inicio de sesión único para Google Cloud.

Crear una aplicación

Para configurar la aplicación Google Workspace, sigue estos pasos:

1. Abre el panel de control de administrador de Okta e inicia sesión como usuario con privilegios de superadministrador.
2. En el menú, ve a Aplicaciones > Aplicaciones.
3. Haz clic en Consultar catálogo de aplicaciones.
4. Busca Google Workspace y selecciona la aplicación Google Workspace.
5. Haz clic en Añadir integración.

6. En la página Ajustes generales, configure lo siguiente:

   • Etiqueta de la aplicación: Google Cloud
   • El dominio de empresa de Google Apps: el nombre de dominio principal que usa tu cuenta de Cloud Identity o Google Workspace.

   • Muestra los siguientes enlaces:

     • Asigna el valor enabled a Account.
     • Define el resto de los enlaces como habilitados si usas Google Workspace y como inhabilitados en caso contrario.

   • Visibilidad de la aplicación: habilitada si usas Google Workspace y inhabilitada en caso contrario.

   • Envío automático de complementos del navegador: inhabilitado

7. Haz clic en Siguiente.

8. En la página Opciones de inicio de sesión, configure lo siguiente:

   • Métodos de inicio de sesión: selecciona SAML 2.0.
   • Estado de retransmisión predeterminado: déjelo vacío.
   • Ajustes avanzados de inicio de sesión > RPID: déjalo vacío

9. Decide cómo quieres rellenar la dirección de correo principal de los usuarios de Cloud Identity o Google Workspace. La dirección de correo principal de un usuario debe usar el dominio principal de tu cuenta de Cloud Identity o Google Workspace, o bien uno de sus dominios secundarios.

   Nombre de usuario de Okta

   Para usar el nombre de usuario de Okta como dirección de correo principal, utiliza los siguientes ajustes:

   • Formato del nombre de usuario de la aplicación: nombre de usuario de Okta
   • Actualizar el nombre de usuario de la aplicación en: Crear y actualizar.

   Correo electrónico

   Para usar el nombre de usuario de Okta como dirección de correo principal, utiliza los siguientes ajustes:

   • Formato del nombre de usuario de la aplicación: Correo electrónico
   • Actualizar el nombre de usuario de la aplicación en: Crear y actualizar.

10. Haz clic en Listo.

Configurar el aprovisionamiento de usuarios

En esta sección, configurará Okta para que aprovisione automáticamente usuarios y grupos enGoogle Cloud.

1. En la página de configuración de la aplicación Google Cloud, abre la pestaña Aprovisionamiento.

2. Haga clic en Configurar integración de API y configure lo siguiente:

   • Habilitar integración de API: habilitada
   • Importar grupos: debe estar inhabilitado, a menos que tengas grupos en Cloud Identity o Google Workspace que quieras importar a Okta.

3. Haz clic en Autenticar con Google Workspace.

4. Inicia sesión con el okta-provisioning@DOMAIN usuario que has creado antes, donde DOMAIN es el dominio principal de tu cuenta de Cloud Identity o Google Workspace.

5. Lee los Términos del Servicio y la Política de Privacidad de Google. Si aceptas los términos, haz clic en Entendido.

6. Confirma el acceso a la API de Cloud Identity haciendo clic en Permitir.

7. Haz clic en Guardar.

Okta está conectado a tu cuenta de Cloud Identity o Google Workspace, pero el aprovisionamiento sigue inhabilitado. Para habilitar el aprovisionamiento, haz lo siguiente:

1. En la página de configuración de la aplicación Google Cloud, abre la pestaña Aprovisionamiento.

2. Haga clic en Editar y configure lo siguiente:

   • Crear usuarios: habilitado
   • Actualizar atributos de usuario: habilitado
   • Desactivar usuarios: se establece en habilitado
   • Sincronizar contraseña: desactivado
   (Cómo hacer que la federación de Okta sea segura para la consolidación de cuentas).

3. También puedes hacer clic en Ir al editor de perfiles para personalizar las asignaciones de atributos.

   Si usas asignaciones personalizadas, debes asignar userName, nameGivenName y nameFamilyName. El resto de las asignaciones de atributos son opcionales.

4. Haz clic en Guardar.

Configurar la asignación de usuarios

En esta sección, configura qué usuarios de Okta quieres aprovisionar en Cloud Identity o Google Workspace:

1. En la página de configuración de la aplicación Google Cloud, abre la pestaña Tareas.
2. Haz clic en Asignar > Asignar a personas o Asignar > Asignar a grupos.
3. Selecciona un usuario o un grupo y haz clic en Asignar.
4. En el cuadro de diálogo de asignación que aparece, mantenga la configuración predeterminada y haga clic en Guardar y volver.
5. Haz clic en Listo.

Repite los pasos de esta sección con cada usuario o grupo que quieras aprovisionar. Para proporcionar acceso a todos los usuarios a Cloud Identity o Google Workspace, asigna el grupo Todos.

Configurar la asignación de grupos

También puedes permitir que Okta aprovisione grupos en Cloud Identity o Google Workspace. En lugar de seleccionar grupos individualmente, es mejor configurar Okta para que aprovisione grupos en función de una convención de nomenclatura.

Por ejemplo, para permitir que Okta aprovisione todos los grupos que empiecen por google-cloud, haz lo siguiente:

1. En la página de configuración de la aplicación Google Cloud, abre la pestaña Grupos de inserción.
2. Haz clic en Enviar grupos > Buscar grupos por rol.

3. En la página Enviar grupos por regla, configura la siguiente regla:

   • Nombre de la regla: nombre del rol (por ejemplo, Google Cloud).
   • Nombre del grupo: empieza por google-cloud

4. Haz clic en Crear regla.

Solución de problemas

Para solucionar problemas de aprovisionamiento de usuarios o grupos, haz clic en Ver registros en la página de configuración de la aplicación Google Cloud.

Para permitir que Okta vuelva a intentar aprovisionar usuarios, haz lo siguiente:

1. Ve a Panel de control > Tareas.
2. Busca la tarea que ha fallado y abre los detalles.
3. En la página de detalles, haz clic en Volver a intentar con los seleccionados.

Configurar Okta para el inicio de sesión único

Si has seguido los pasos para configurar el aprovisionamiento de Okta, ahora se aprovisionan automáticamente todos los usuarios de Okta pertinentes en Cloud Identity o Google Workspace. Para permitir que estos usuarios inicien sesión, configura el inicio de sesión único:

1. En la página de configuración de la aplicación Google Cloud, abre la pestaña Inicio de sesión.
2. Haz clic en SAML 2.0 > Más detalles.
3. Haz clic en Descargar para descargar el certificado de firma.
4. Anota los valores de URL de inicio de sesión, URL de cierre de sesión y Emisor, ya que los necesitarás en uno de los pasos siguientes.

Crear un perfil SAML

Crea un perfil SAML en tu cuenta de Cloud Identity o Google Workspace:

1. Vuelve a la consola de administración y ve a SSO con un proveedor de identidades de terceros.

   Ir a SSO con proveedor externo de identidades

2. Haz clic en Perfiles de SSO de terceros > Añadir perfil de SAML.

3. En la página Perfil de SSO de SAML, introduce los siguientes ajustes:

   • Nombre: Okta
   • ID de entidad del proveedor de identidades: introduce el emisor del panel de control de administración de Okta.
   • URL de la página de inicio de sesión: introduce la URL de inicio de sesión del panel de control de administrador de Okta.
   • URL de la página de cierre de sesión: introduce la URL de cierre de sesión del panel de control de administrador de Okta.
   • URL de cambio de contraseña:: https://ORGANIZATION.okta.com/enduser/settings donde ORGANIZATION es el nombre de tu organización de Okta.

4. En Certificado de verificación, haz clic en Subir certificado y, a continuación, elige el certificado de firma de token que descargaste anteriormente.

5. Haz clic en Guardar.

   En la página Perfil de SSO de SAML que aparece, se muestra un ID de entidad con el formato https://accounts.google.com/samlrp/RPID, donde RPID es un ID único.

   Anota el valor de RPID. Necesitarás estos datos en el siguiente paso.

Asigna el perfil de SAML

Selecciona los usuarios a los que se debe aplicar el nuevo perfil de SAML:

1. En la consola de administración, en la página SSO con IDP externos, haz clic en Gestionar asignaciones de perfil de SSO > Gestionar.

   Ir a Gestionar asignaciones de perfil de SSO

2. En el panel de la izquierda, selecciona el grupo o la unidad organizativa a los que quieras aplicar el perfil de SSO. Para aplicar el perfil a todos los usuarios, selecciona la unidad organizativa raíz.

3. En el panel de la derecha, en el menú, selecciona el perfil de Okta - SAML SSO que has creado antes.

4. Haz clic en Guardar.

Para asignar el perfil de SAML a otro grupo o unidad organizativa, repite los pasos anteriores.

Actualiza la configuración del SSO de la unidad organizativa Automation para inhabilitar el inicio de sesión único:

1. En el panel de la izquierda, selecciona la Automation unidad organizativa.
2. Cambia la asignación de perfil de SSO a Ninguno.
3. Haz clic en Anular.

Completar la configuración del SSO en Okta

Vuelve a Okta y completa la configuración del SSO:

1. En el panel de control de administrador de Okta, en la página de configuración de la aplicación Google Cloud, abre la pestaña Inicio de sesión.

2. Haga clic en Editar y actualice los siguientes ajustes:

   • Configuración avanzada de inicio de sesión > RPID: introduce el RPID que has copiado de la consola de administración.

3. Haz clic en Guardar.

Opcional: Configurar métodos de verificación de la identidad

Es posible que se pida a los usuarios que hagan una verificación adicional cuando inicien sesión desde dispositivos desconocidos o cuando su intento de inicio de sesión parezca sospechoso por otros motivos. Estas pruebas de verificación de la identidad ayudan a mejorar la seguridad, por lo que te recomendamos que las dejes habilitadas.

Si las verificaciones de la identidad te resultan demasiado incómodas, puedes inhabilitarlas siguiendo estos pasos:

1. En la consola de administración, ve a Seguridad > Autenticación > Procedimientos de verificación de la identidad.
2. En el panel de la izquierda, selecciona la unidad organizativa en la que quieras inhabilitar los métodos de verificación de la identidad. Para inhabilitar las verificaciones de inicio de sesión para todos los usuarios, selecciona la unidad organizativa raíz.
3. En Configuración de los usuarios que inician sesión con otros perfiles de SSO, selecciona No solicita a los usuarios verificaciones adicionales de Google.
4. Haz clic en Guardar.

Añadir la consola Google Cloud y otros servicios de Google al panel de control de la aplicación

Para añadir la consola y, opcionalmente, otros servicios de Google al panel de aplicaciones de Okta de tus usuarios, haz lo siguiente: Google Cloud

1. En el panel de control de administrador de Okta, selecciona Aplicaciones > Aplicaciones.
2. Haz clic en Consultar catálogo de aplicaciones.
3. Busca Bookmark app y selecciona la aplicación Marcador.
4. Haz clic en Añadir integración.

5. En la página Ajustes generales, configure lo siguiente:

   • Etiqueta de la aplicación: Google Cloud console
   • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, sustituyendo PRIMARY_DOMAIN por el nombre de dominio principal que utiliza tu cuenta de Cloud Identity o Google Workspace.

6. Haz clic en Listo.

7. Cambia el logotipo de la aplicación por el Google Cloud .

8. Abre la pestaña Inicio de sesión.

9. Haga clic en Autenticación de usuario > Editar y configure lo siguiente:

   • Política de autenticación: panel de control de Okta

10. Haz clic en Guardar.

11. Abre la pestaña Asignación y asigna uno o varios usuarios. Los usuarios asignados verán el Google Cloud enlace a la consola en su panel de control de usuario.

Si quieres, repite los pasos anteriores con todos los servicios de Google que quieras incluir en los paneles de control de los usuarios. En la tabla que se incluye más abajo se muestran las URLs y los logotipos de los servicios de Google que se usan con frecuencia:

Servicio de Google	URL	Logotipo
Google Cloud consola	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Documentos de Google	https://docs.google.com/a/DOMAIN
Hojas de cálculo de Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Grupos de Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

Probar el inicio de sesión único

Una vez que hayas completado la configuración del inicio de sesión único en Okta y en Cloud Identity o Google Workspace, podrás acceder de dos formas: Google Cloud

• A través de la lista del panel de control de usuario de Okta.
• Directamente abriendo https://console.cloud.google.com/.

Para comprobar que la segunda opción funciona correctamente, haz la siguiente prueba:

1. Elige un usuario de Okta que se haya aprovisionado en Cloud Identity o Google Workspace y que no tenga asignados privilegios de superadministrador. Los usuarios con privilegios de superadministrador siempre tienen que iniciar sesión con credenciales de Google, por lo que no son adecuados para probar el inicio de sesión único.
2. Abre una nueva ventana del navegador y ve a https://console.cloud.google.com/.
3. En la página de inicio de sesión de Google que aparece, introduce la dirección de correo del usuario y haz clic en Siguiente.

4. Se te redirigirá a Okta y verás otra petición de inicio de sesión. Introduce la dirección de correo del usuario y sigue los pasos para autenticarte.

   Una vez que se haya autenticado correctamente, Okta debería redirigirte de nuevo a Inicio de sesión con Google. Como es la primera vez que inicias sesión con este usuario, se te pide que aceptes los Términos del Servicio y la Política de Privacidad de Google.

5. Si aceptas los términos, haz clic en Entendido.

   Se te redirigirá a la Google Cloud consola, donde se te pedirá que confirmes tus preferencias y aceptes los Términos del Servicio de Google Cloud.

6. Si aceptas los términos, elige Sí y haz clic en Aceptar y continuar.

7. Haz clic en el icono de avatar situado en la parte superior izquierda de la página y, a continuación, en Cerrar sesión.

   Se te redirigirá a una página de Okta que confirma que has cerrado sesión correctamente.

Ten en cuenta que los usuarios con privilegios de superadministrador están exentos del inicio de sesión único, por lo que puedes seguir usando la consola de administración para verificar o cambiar la configuración.