Si tienes previsto federar Cloud Identity u Google Workspace con un proveedor de identidades (IdP) externo, pero aún necesitas consolidar las cuentas de consumidor, este documento te ayudará a comprender y evaluar la interacción entre la federación y la consolidación. En este documento también se explica cómo configurar la federación de forma que no interfiera con tu capacidad de consolidar cuentas de consumidor.
Interacción entre la federación y la consolidación de cuentas de usuario
En una configuración federada, conectas Cloud Identity o Google Workspace a una fuente autorizada externa para que esta pueda aprovisionar automáticamente cuentas de usuario en Cloud Identity o Google Workspace.
Estas invariantes suelen mantenerse en una configuración federada:
- La fuente autorizada es la única fuente de identidades.
- No hay cuentas de usuario en Cloud Identity ni en Google Workspace que no sean las aprovisionadas por la fuente autorizada.
- El proveedor de identidades de SAML no permite el inicio de sesión único de Google para ninguna identidad que no sea aquella para la que la fuente autorizada haya aprovisionado cuentas de usuario.
Aunque estas invariantes reflejan las prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo, provocan problemas cuando quieres migrar cuentas de consumidor:
- Las cuentas de consumidor no proceden de la fuente autorizada. Estas cuentas ya existen y ahora deben vincularse a una identidad conocida por la fuente autorizada.
- Las cuentas de consumidor que se migran a Cloud Identity o Google Workspace son cuentas de usuario que no se han aprovisionado desde la fuente autorizada. La fuente autorizada debe reconocer y "adoptar" estas cuentas migradas.
- Es posible que el proveedor de identidades SAML no conozca las identidades de las cuentas de consumidor, pero aun así se les debe permitir usar el inicio de sesión único.
Para permitir que se consoliden las cuentas de consumidor, debes configurar temporalmente la federación de forma que sea segura para la consolidación de cuentas.
Proteger la federación para la consolidación de cuentas
En la siguiente tabla se indican los requisitos que debes tener en cuenta para que la federación sea segura para la consolidación de cuentas. Si tienes previsto usar un IdP externo, pero necesitas consolidar las cuentas de consumidor que ya tienes, debes asegurarte de que tu configuración cumpla estos requisitos desde el principio. Una vez que hayas completado la migración de las cuentas de consumidor, podrás cambiar la configuración, ya que los requisitos dejarán de aplicarse.
| Requisito | Justificación |
|---|---|
| Permitir el inicio de sesión único para identidades con cuentas de consumidor | Para migrar una cuenta de consumidor, es necesario transferirla. Un administrador de Cloud Identity o Google Workspace inicia la transferencia de la cuenta, pero, para completarla, el propietario de la cuenta de consumidor debe dar su consentimiento. Como administrador, tienes un control limitado sobre cuándo se expresará el consentimiento y, por lo tanto, cuándo se llevará a cabo la transferencia.
Una vez que el propietario haya dado su consentimiento y se haya completado la transferencia, todos los inicios de sesión posteriores estarán sujetos al inicio de sesión único mediante tu IdP externo. Para que el inicio de sesión único se realice correctamente, independientemente de cuándo se complete la transferencia, asegúrate de que tu IdP externo permita el inicio de sesión único para las identidades de todas las cuentas de consumidor que quieras migrar. |
| Impedir el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor | Si aprovisionas una cuenta de usuario para una identidad que ya tiene una cuenta de consumidor, crearás una cuenta en conflicto. Una cuenta en conflicto te impide transferir la propiedad de la cuenta de consumidor, su configuración y los datos asociados a Cloud Identity o Google Workspace.
El comportamiento predeterminado de muchos IdPs externos es crear de forma proactiva cuentas de usuario en Cloud Identity o Google Workspace. Este comportamiento puede provocar que se creen cuentas en conflicto por error. Al impedir el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor, evitas crear cuentas en conflicto por error y te aseguras de que las cuentas de consumidor se puedan transferir correctamente. |
Si has identificado cuentas de consumidor sin una identidad coincidente en el proveedor de identidades externo que consideras legítimas y que quieres migrar a Cloud Identity o Google Workspace, debes asegurarte de que tu configuración de federación no interfiera con tu capacidad para migrar esas cuentas de consumidor.
| Requisito | Justificación |
|---|---|
| Impedir la eliminación de cuentas migradas sin una identidad coincidente en el IdP externo | Si tienes una cuenta de usuario en Cloud Identity o Google Workspace que no tiene una identidad coincidente en tu proveedor de identidades externo, es posible que tu proveedor de identidades considere que esta cuenta de usuario está huérfana y la suspenda o elimine.
Si evitas que tu proveedor de identidades externo suspenda o elimine cuentas migradas sin que coincida la identidad en el proveedor de identidades externo, no perderás la configuración ni los datos asociados a las cuentas afectadas y podrás conciliar las cuentas manualmente. |
Proteger la federación de Microsoft Entra ID (antes Azure AD) para consolidar cuentas
Si tienes pensado federar Cloud Identity o Google Workspace con Microsoft Entra ID (antes Azure AD), puedes usar la aplicación de galería de Google Workspace.
Cuando habilitas el aprovisionamiento, Microsoft Entra ID ignora las cuentas de Cloud Identity o Google Workspace que no tienen una cuenta equivalente en Microsoft Entra ID, por lo que siempre se cumple el requisito de evitar que se eliminen las cuentas migradas que no tengan una identidad coincidente en el IdP externo.
En función de cómo configures la aplicación de galería, debes asegurarte de hacer lo siguiente:
- Permitir el inicio de sesión único para identidades con cuentas de consumidor.
- Evitar el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
Hay varias formas de cumplir estos requisitos. Cada enfoque tiene sus ventajas e inconvenientes.
Opción 1: No configurar el aprovisionamiento
Con este método, configuras la aplicación de galería para que gestione el inicio de sesión único, pero no configuras el aprovisionamiento automático de usuarios. Si no configuras el aprovisionamiento de usuarios, evitarás que se aprovisionen automáticamente las identidades con cuentas de consumidor.
Para permitir el inicio de sesión único para identidades con cuentas de consumidor, asigna la aplicación a todas las identidades que puedan necesitar acceso a los servicios de Google, aunque sus cuentas de consumidor aún estén sujetas a migración.
Si un usuario ya tiene una cuenta de consumidor, se creará automáticamente la cuenta de usuario de Cloud Identity o Google Workspace correspondiente cuando se acepte la solicitud de transferencia. Ese usuario podrá usar el inicio de sesión único inmediatamente.
En el caso de los usuarios que no tengan una cuenta de usuario en Cloud Identity o Google Workspace, tendrás que crearla manualmente.
Aunque este método cumple los requisitos y es el menos complejo de configurar, tiene la limitación de que los cambios de atributos o las suspensiones de usuarios que se realicen en Microsoft Entra ID no se propagarán a Cloud Identity ni a Google Workspace.
Opción 2: Dos aplicaciones con asignación manual
Con este método, se supera la limitación de tener que crear manualmente cuentas de usuario en Google Workspace o Cloud Identity para los usuarios que no tienen una cuenta. La idea es usar dos aplicaciones de galería, una para el aprovisionamiento y otra para el inicio de sesión único:
- La primera aplicación se usa exclusivamente para aprovisionar usuarios y grupos, y tiene inhabilitado el inicio de sesión único. Al asignar usuarios a esta aplicación, puedes controlar qué cuentas se aprovisionan en Cloud Identity o Google Workspace.
- La segunda aplicación se usa exclusivamente para el inicio de sesión único y no tiene autorización para aprovisionar usuarios. Al asignar usuarios a esta aplicación, puedes controlar qué usuarios tienen permiso para iniciar sesión.
Con estas dos aplicaciones, asigna usuarios de la siguiente manera:
- Asigna todas las identidades que necesiten acceder a los servicios de Google a la aplicación de inicio de sesión único. Incluye las identidades con cuentas de consumidor para permitir el inicio de sesión único en identidades con cuentas de consumidor.
- Al asignar identidades a la aplicación de aprovisionamiento, incluye las identidades que necesiten acceder a los servicios de Google, pero excluye todas las identidades que sepas que tienen una cuenta de consumidor. De esta forma, evitas el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
Opción 3: Dos aplicaciones con la creación de usuarios inhabilitada
Al configurar el aprovisionamiento, debes autorizar a Microsoft Entra ID para que acceda a Cloud Identity o Google Workspace mediante una cuenta de Cloud Identity o Google Workspace. Normalmente, es mejor usar una cuenta de superadministrador específica para este fin, ya que estas cuentas están exentas del inicio de sesión único (es decir, no se les aplica ninguna configuración de SSO y seguirán usando contraseñas para iniciar sesión).
Sin embargo, en este caso, puedes hacer que Microsoft Entra ID use una cuenta más restringida para la migración, una que no permita que Microsoft Entra ID cree usuarios. De esta forma, evitas que Azure aprovisione automáticamente cuentas de usuario para identidades con cuentas de consumidor, independientemente de los usuarios que se asignen a la aplicación de aprovisionamiento.
Una cuenta de usuario de administrador restringido en Cloud Identity o Google Workspace solo debe tener los siguientes privilegios:
- Unidades organizativas > Lectura
- Usuarios > Lectura
- Usuarios > Actualizar
- Grupos
Una desventaja de este método es que, en el caso de los usuarios que no tengan cuentas no gestionadas, debes crear manualmente cuentas en Cloud Identity o Google Workspace.
Federación con Microsoft Entra ID: comparación
En la siguiente tabla se resumen los enfoques.
| Permitir el inicio de sesión único para identidades con cuentas de consumidor | Impedir el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor | Impedir la eliminación de cuentas migradas sin una identidad coincidente en el IdP externo | Aprovisionar automáticamente cuentas nuevas | Actualizar automáticamente las cuentas migradas | |
|---|---|---|---|---|---|
| Método 1: Sin aprovisionamiento | ✅ | ✅ | ✅ | X | X |
| Opción 2: Dos aplicaciones con asignación manual | ✅ | Propenso a errores manuales | ✅ | ✅ | ✅ |
| Opción 3: Dos aplicaciones con la creación de usuarios inhabilitada | ✅ | ✅ | ✅ | X | ✅ |
Proteger la federación de Active Directory de una cuenta
Si tienes previsto federar Cloud Identity o Google Workspace con Active Directory, puedes usar Google Cloud Directory Sync (GCDS) y Active Directory Federation Services (AD FS). Cuando configures GCDS y AD FS, debes asegurarte de hacer lo siguiente:
- Permitir el inicio de sesión único para identidades con cuentas de consumidor.
- Evitar el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
- Evita que se eliminen cuentas migradas sin una identidad coincidente en el proveedor de identidades externo.
Hay varias formas de cumplir estos requisitos. Cada enfoque tiene sus ventajas e inconvenientes.
Opción 1: Inhabilitar GCDS
Con este método, configura el inicio de sesión único con AD FS, pero no habilita GCDS hasta que haya terminado de migrar las cuentas de usuario no gestionadas. Si inhabilitas GCDS, evitarás el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
Para permitir el inicio de sesión único para identidades con cuentas de consumidor, crea una política de control de acceso personalizada en AD FS y asigna todas las identidades que puedan necesitar acceso a los servicios de Google, aunque sus cuentas de consumidor estén sujetas a migración.
Si un usuario ya tiene una cuenta de consumidor, se creará automáticamente la cuenta de usuario de Cloud Identity o Google Workspace correspondiente cuando se acepte la solicitud de transferencia. Si usas la política de control de acceso personalizado, te aseguras de que el usuario pueda usar el inicio de sesión único inmediatamente.
En el caso de los usuarios que no tengan una cuenta de usuario en Cloud Identity o Google Workspace, tendrás que crearla manualmente.
Aunque este método cumple los requisitos y es el menos complejo de configurar, tiene la limitación de que los cambios de atributos o las suspensiones de usuarios que se realicen en Active Directory no se propagarán a Cloud Identity ni a Google Workspace.
Método 2: GCDS con asignación manual
Con este método, se supera la limitación de tener que crear manualmente cuentas de usuario en Cloud Identity o Google Workspace para los usuarios que no tienen una cuenta:
Al igual que en el método 1, permite el inicio de sesión único para identidades con cuentas de consumidor creando una política de control de acceso personalizada en AD FS y asignando todas las identidades que puedan necesitar acceso a los servicios de Google, aunque sus cuentas de consumidor estén sujetas a una migración.
Crea un grupo en Active Directory que refleje las cuentas de usuario que quieras aprovisionar automáticamente en GCDS. En la lista de miembros, incluye las identidades que necesiten acceder a los servicios de Google, pero excluye todas las identidades que tengan una cuenta de consumidor.
Configura GCDS para que aprovisione cuentas de usuario solo para las identidades que sean miembros de este grupo. De esta forma, evitas el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
Una limitación importante de este enfoque es que no puedes evitar que se eliminen las cuentas migradas si no hay una identidad coincidente en el IdP externo. Por lo tanto, este método solo se puede aplicar si no tienes cuentas de consumidor sin una identidad coincidente en el IdP externo.
Opción 3: No permitir que GCDS cree usuarios
Al configurar el aprovisionamiento, debes autorizar a GCDS para que acceda a Cloud Identity o Google Workspace. Normalmente, lo mejor es usar una cuenta de superadministrador específica para este fin, ya que estas cuentas están exentas del inicio de sesión único (es decir, no se les aplica ninguna configuración de SSO y seguirán usando contraseñas para iniciar sesión).
Sin embargo, en este caso, puedes hacer que GCDS use una cuenta más restringida para la migración, una que no le permita crear usuarios. De esta forma, evitas que GCDS aprovisione automáticamente cuentas de usuario para identidades con cuentas de consumidor y que elimine cuentas migradas sin una identidad coincidente en el IdP externo.
Una cuenta de usuario de administrador restringido de Cloud Identity o Google Workspace solo debe tener los siguientes privilegios:
- Unidades organizativas
- Usuarios > Lectura
- Usuarios > Actualizar
- Grupos
- Administración de esquemas
- Gestión de dominios
Una desventaja de este método es que, en el caso de los usuarios que no tengan cuentas no gestionadas, debes crear manualmente cuentas en Cloud Identity o Google Workspace.
Federación con Active Directory: comparación
En la siguiente tabla se resumen los enfoques.
| Permitir el inicio de sesión único para identidades con cuentas de consumidor | Impedir el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor | Impedir la eliminación de cuentas migradas sin una identidad coincidente en el IdP externo | Aprovisionar automáticamente cuentas nuevas | Actualizar automáticamente las cuentas migradas | |
|---|---|---|---|---|---|
| Opción 1: No configurar el aprovisionamiento | ✅ | ✅ | ✅ | X | X |
| Método 2: GCDS con asignación manual | ✅ | Propenso a errores manuales | X | ✅ | ✅ |
| Opción 3: No permitir que GCDS cree usuarios | ✅ | ✅ | ✅ | X | ✅ |
Proteger la federación de Okta para la consolidación de cuentas
Para federar Cloud Identity o Google Workspace con Okta, puedes usar la aplicación Google Workspace del catálogo de aplicaciones de Okta. Esta aplicación puede gestionar el inicio de sesión único y aprovisionar usuarios y grupos en Cloud Identity o Google Workspace.
Cuando usas la aplicación Google Workspace para el aprovisionamiento, Okta ignora a los usuarios de Cloud Identity o Google Workspace que no tengan una cuenta correspondiente en Okta, por lo que siempre se cumple el requisito de evitar que se eliminen las cuentas migradas que no tengan una identidad correspondiente en el proveedor de identidades externo.
En función de cómo configures Okta, debes hacer lo siguiente:
- Permitir el inicio de sesión único para identidades con cuentas de consumidor.
- Evitar el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
Hay varias formas de cumplir estos requisitos. Cada enfoque tiene sus ventajas e inconvenientes.
Opción 1: No configurar el aprovisionamiento
En este enfoque, se configura la aplicación de Google Workspace para que gestione el inicio de sesión único, pero no se configura el aprovisionamiento. Si no configuras el aprovisionamiento de usuarios, evitarás que se aprovisionen automáticamente las identidades con cuentas de consumidor.
Para permitir el inicio de sesión único para identidades con cuentas de consumidor, asigna la aplicación a todas las identidades que puedan necesitar acceso a los servicios de Google, aunque sus cuentas de consumidor aún estén sujetas a migración. Los iconos de Google Workspace o Google Cloud aparecen en la página principal de Okta de todas las identidades que se han asignado a la aplicación. Sin embargo, no se podrá iniciar sesión a menos que exista una cuenta de usuario correspondiente en Google.
Si un usuario ya tiene una cuenta de consumidor, se creará automáticamente la cuenta de usuario de Cloud Identity o Google Workspace correspondiente cuando se acepte la solicitud de transferencia. Ese usuario podrá usar el inicio de sesión único inmediatamente.
Aunque este método cumple los requisitos y es el menos complejo de configurar, tiene la limitación de que los cambios de atributos o las suspensiones de usuarios que se realicen en Okta no se propagarán a Cloud Identity ni a Google Workspace. Otro inconveniente de este método es que debes crear manualmente cuentas en Cloud Identity o Google Workspace para todos los usuarios que no tengan una cuenta de consumidor.
Método 2: Aprovisionamiento con asignación manual
Con este método, configuras la aplicación Google Workspace para que gestione el inicio de sesión único y el aprovisionamiento, pero solo habilitas las siguientes funciones de aprovisionamiento:
- Crear usuarios
- Actualizar atributos de usuario
- Desactivar usuarios
Cuando asignes identidades a la aplicación, incluye las identidades que necesiten acceder a los servicios de Google, pero excluye todas las identidades que sepas que tienen una cuenta de consumidor. De esta forma, evitas el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
En cuanto un usuario acepte una solicitud de transferencia, asígnale la aplicación para que pueda usar el inicio de sesión único y acceder a Google Workspace oGoogle Cloud.
Una de las desventajas de este método es que cualquier error que cometas al asignar puede provocar que se cree una cuenta en conflicto de inmediato, lo que hace que este método sea mucho más arriesgado que otros.
Otro inconveniente de este método es que provoca bloqueos temporales de las cuentas migradas. Después de aceptar una solicitud de transferencia, el usuario debe iniciar sesión a través de Okta. Estos intentos de inicio de sesión fallarán hasta que asignes el usuario a la aplicación en Okta.
Opción 3: Aprovisionar con la creación de usuarios inhabilitada
Con este método, configura Google Workspace para que gestione el inicio de sesión único y el aprovisionamiento, pero solo habilita las siguientes funciones de aprovisionamiento:
- Actualizar atributos de usuario
- Desactivar usuarios
Deja inhabilitada la opción Crear usuarios y asigna a la aplicación todas las identidades que necesiten acceder a los servicios de Google. Incluye las identidades con cuentas de consumidor para permitir el inicio de sesión único para las identidades con cuentas de consumidor.
Si no permites que Okta cree cuentas, evitarás que Okta aprovisione automáticamente cuentas de usuario para identidades con cuentas de consumidor. Al mismo tiempo, esta configuración permite que Okta propague los cambios en los atributos y las suspensiones de usuarios a Cloud Identity o Google Workspace para aquellos usuarios que tengan una cuenta de Google correspondiente.
En el caso de las identidades que no tienen una cuenta de usuario correspondiente en Cloud Identity o Google Workspace, es posible que Okta muestre un mensaje de error en la consola de administración de Okta:
Si un usuario ya tiene una cuenta de consumidor, se creará automáticamente la cuenta de usuario de Cloud Identity o Google Workspace correspondiente cuando se acepte la solicitud de transferencia. Ese usuario podrá usar el inicio de sesión único inmediatamente. Aunque la cuenta de usuario funciona en este momento, es posible que Okta aún no muestre un icono en la página principal del usuario y que, en su lugar, siga mostrando el mensaje de error en la interfaz de administrador. Para solucionar este problema, vuelve a intentar asignar la tarea en el panel de control de administrador de Okta.
Con este método, se evita que Okta aprovisione automáticamente cuentas de usuario para identidades con cuentas de consumidor, pero se sigue permitiendo el inicio de sesión único para identidades con cuentas de consumidor. Además, este método es menos propenso a errores de configuración accidentales que el segundo. Sin embargo, los usuarios que no tengan cuentas de consumidor deberán crear manualmente cuentas de usuario en Cloud Identity o Google Workspace.
Opción 4: Dos aplicaciones con asignación manual
Puedes superar algunas de las desventajas de los enfoques anteriores usando dos aplicaciones: una para el aprovisionamiento y otra para el inicio de sesión único:
- Configura una instancia de la aplicación Google Workspace para que solo gestione el aprovisionamiento. No se utiliza la función de inicio de sesión único de la aplicación. Al asignar usuarios a esta aplicación, puedes controlar qué cuentas se aprovisionan en Cloud Identity o Google Workspace. Para asegurarte de que esta aplicación se oculta de forma eficaz a tus usuarios, habilita la opción No mostrar el icono de la aplicación a los usuarios.
- Configura otra instancia de la aplicación Google Workspace solo para el inicio de sesión único. Al asignar usuarios a esta aplicación, controlas quién tiene permiso para iniciar sesión.
Con estas dos aplicaciones, asigna usuarios de la siguiente manera:
- Asigna todas las identidades que necesiten acceder a los servicios de Google a la aplicación de inicio de sesión único. Incluye las identidades con cuentas de consumidor para permitir el inicio de sesión único en identidades con cuentas de consumidor.
Al asignar identidades a la aplicación de aprovisionamiento, incluye las identidades que necesiten acceder a los servicios de Google, pero excluye todas las identidades que sepas que tienen una cuenta de consumidor. De esta forma, evitas el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor.
Cada vez que un usuario acepte una solicitud de transferencia, asígnale también la aplicación.
Federación con Okta: comparación
En la siguiente tabla se resumen los enfoques.
| Permitir el inicio de sesión único para identidades con cuentas de consumidor | Impedir el aprovisionamiento automático de usuarios para identidades con cuentas de consumidor | Impedir la eliminación de cuentas migradas sin una identidad coincidente en el IdP externo | Aprovisionar automáticamente cuentas nuevas | Actualizar automáticamente las cuentas migradas | |
|---|---|---|---|---|---|
| Método 1: Sin aprovisionamiento | ✅ | ✅ | ✅ | X | X |
| Método 2: Aprovisionamiento con asignación manual | X | Arriesgado | ✅ | ✅ | ✅ |
| Opción 3: Aprovisionar con la creación de usuarios inhabilitada | ✅ | ✅ | ✅ | X | ✅ |
| Opción 4: Dos aplicaciones con asignación manual | ✅ | Arriesgado | ✅ | ✅ | ✅ |
Siguientes pasos
- Consulta cómo puedes configurar la federación con Active Directory o Microsoft Entra ID.
- Para iniciar el proceso de incorporación, prepara cuentas de Cloud Identity o Google Workspace.