Aprovisionamiento de usuarios de Okta e inicio de sesión único

En este documento, se muestra cómo configurar el aprovisionamiento de usuarios y el inicio de sesión único entre una organización de Okta y tu cuenta de Cloud Identity o Google Workspace.

En el documento, se supone que ya usas Okta en tu organización y deseas usarlo para permitir que los usuarios se autentiquen con Google Cloud.

Prepara tu cuenta de Cloud Identity o Google Workspace

Crea un usuario para Okta

Para permitir que Okta acceda a tu cuenta de Cloud Identity o Google Workspace, debes crear un usuario para Okta en tu cuenta de Cloud Identity o de Google Workspace.

El usuario de Okta solo está diseñado para el aprovisionamiento automatizado. Por lo tanto, es mejor mantenerlo separado de otras cuentas de usuario; para ello, colócalo en una unidad organizacional (UO) separada. Usar una UO independiente también garantiza que más adelante puedas inhabilitar el inicio de sesión único para el usuario de Okta.

  1. Sigue estos pasos para crear una UO nueva:

    1. Abre la Consola del administrador y accede con el usuario administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
    2. En el menú, ve a Directorio > Unidades organizacionales.
    3. Haz clic en Crear unidad organizativa y proporciona un nombre y una descripción para la UO:
      • Nombre: Automation
      • Descripción: Automation users
    4. Haz clic en Crear.

  2. Crea una cuenta de usuario para Okta y colócala en la UO Automation. Para obtener instrucciones detalladas, consulta Cómo agregar una cuenta para un usuario nuevo o Cómo agregar una cuenta para varios usuarios (beta).

    1. Cuando crees la cuenta, proporciona un nombre y una dirección de correo electrónico adecuados, como los siguientes:

      • Nombre: Okta
      • Apellido: Provisioning
      • Dirección de correo electrónico principal: okta-provisioning

      Conserva el dominio principal de la dirección de correo electrónico.

    2. Para la cuenta de usuario, establece la unidad organizativa en la UO Automation que creaste anteriormente. Para obtener más información, consulta Cómo trasladar usuarios a una unidad organizativa.

    3. Configura una contraseña:

      • Si la opción de contraseña está disponible en la página, asegúrate de que Generar una contraseña nueva automáticamente no esté seleccionada y, luego, ingresa una contraseña. Asegúrate de que la opción Solicitar un cambio de contraseña en el siguiente inicio de sesión no esté seleccionada.
      • Si la opción de contraseña no está disponible en la página, guarda la cuenta del usuario nuevo y, luego, restablece la contraseña del usuario.

Asigna privilegios a Okta

Para permitir que Okta cree, enumere y suspenda usuarios y grupos en tu cuenta de Cloud Identity o Google Workspace, debes convertir al usuario okta-provisioning en un administrador avanzado:

  1. Ubica el usuario recién creado en la lista y haz clic en el nombre del usuario para abrir la página de su cuenta.
  2. En Admin roles and privileges, haz clic en Asignar funciones.
  3. Habilita la función de administrador avanzado.
  4. Haz clic en Guardar.

Configura el aprovisionamiento de Okta

Ahora estás listo para conectar Okta a tu cuenta de Cloud Identity o Google Workspace mediante la configuración de la aplicación Google Workspace desde el catálogo de Okta.

La aplicación de Google Workspace puede controlar el aprovisionamiento de usuarios y el inicio de sesión único. Usa esta aplicación incluso si usas Cloud Identity y solo planeas configurar el inicio de sesión único para Google Cloud.

Crea una aplicación

Para configurar la aplicación de Google Workspace, haz lo siguiente:

  1. Abre el panel de administración de Okta y accede como un usuario con privilegios de administrador avanzado.
  2. En el menú, ve a Applications > Applications.
  3. Haz clic en Browse app catalog.
  4. Busca Google Workspace y selecciona la aplicación de Google Workspace.
  5. Haz clic en Agregar integración.

  6. En la página General settings, establece lo siguiente:

    • Application label: Google Cloud
    • Your Google Apps company domain: el nombre de dominio principal que usa tu cuenta de Cloud Identity o de Google Workspace.

    • Muestra los siguientes vínculos:

      • Establece la Account en enabled.
      • Configura otros vínculos como enabled si usas Google Workspace, de lo contrario, configura otros vínculos como disabled.

    • Application visibility: Configurado como enabled si usas Google Workspace, pero disabled en caso contrario

    • Browser plugin auto-submit: configurado como disabled

  7. Haz clic en Siguiente.

  8. En la página Sign-in options, configura lo siguiente:

    • Sign on methods: selecciona SAML 2.0.
    • Estado de transmisión predeterminado: déjalo vacío
    • Advanced Sign-on Settings > RPID: déjalo vacío

  9. Decide cómo deseas propagar la dirección de correo electrónico principal para los usuarios en Cloud Identity o Google Workspace. La dirección de correo electrónico principal de un usuario debe usar el dominio principal de tu cuenta de Cloud Identity o Google Workspace, o uno de sus dominios secundarios.

    Nombre de usuario de Okta

    Para usar el nombre de usuario de Okta del usuario como dirección de correo electrónico principal, usa la siguiente configuración:

    • Application username format: Nombre de usuario de Okta
    • Update application username on: Create and update.

    Correo electrónico

    Para usar el nombre de usuario de Okta del usuario como dirección de correo electrónico principal, usa la siguiente configuración:

    • Application username format: Email
    • Update application username on: Create and update.

  10. Haz clic en Listo.

Configura el aprovisionamiento de usuarios

En esta sección, configurarás Okta para aprovisionar usuarios y grupos de forma automática enGoogle Cloud.

  1. En la página de configuración de la aplicación de Google Cloud, abre la pestaña Provisioning.

  2. Haz clic en Configure API Integration y configura lo siguiente:

    • Enable API integration: configúrala como habilitada
    • Import Groups: Configurado como disabled, a menos que tengas grupos existentes en Cloud Identity o Google Workspace, que desees importar a Okta

  3. Haz clic en Authenticate with Google Workspace.

  4. Accede con el usuario okta-provisioning@DOMAIN que creaste antes, en el que DOMAIN es el dominio principal de tu cuenta de Cloud Identity o Google Workspace.

  5. Revisa las Condiciones del Servicio y la Política de Privacidad de Google. Si estás de acuerdo con los términos, haz clic en I understand.

  6. Para confirmar el acceso a la API de Cloud Identity, haz clic en Permitir.

  7. Haz clic en Guardar.

Okta está conectado a tu cuenta de Cloud Identity o de Google Workspace, pero el aprovisionamiento sigue inhabilitado. Para habilitar el aprovisionamiento, haz lo siguiente:

  1. En la página de configuración de la aplicación de Google Cloud, abre la pestaña Provisioning.

  2. Haz clic en Edit y configura lo siguiente:

    • Create users: Configurado como enabled
    • Update user attributes: Configurado como enabled
    • Deactivate users: Configurado como enabled
    • Sync password: Configurado como disabled
    .

  3. De manera opcional, haz clic en Go to profile editor para personalizar las asignaciones de atributos.

    Si usas asignaciones personalizadas, debes asignar userName, nameGivenName y nameFamilyName. Todas las demás asignaciones de atributos son opcionales.

  4. Haz clic en Guardar.

Configura la asignación de usuarios

En esta sección, debes configurar qué usuarios de Okta aprovisionar para Cloud Identity o Google Workspace:

  1. En la página de configuración de la aplicación de Google Cloud, abre la pestaña Assignments.
  2. Haz clic en Assign >Assing to people o Assign > Assing to groups.
  3. Selecciona un usuario o grupo y haz clic en Assign.
  4. En el cuadro de diálogo de la asignación que aparece, mantén la configuración predeterminada y haz clic en Save and go back.
  5. Haz clic en Listo.

Repite los pasos de esta sección para cada usuario o grupo que desees aprovisionar. Para aprovisionar todos los usuarios en Cloud Identity o Google Workspace, asigna el grupo Everyone.

Configura la asignación de grupos

De manera opcional, puedes permitir que Okta aprovisione grupos a Cloud Identity o Google Workspace. En lugar de seleccionar grupos de forma individual, es mejor configurar Okta para aprovisionar grupos en función de una convención de nombres.

Por ejemplo, para permitir que Okta aprovisione todos los grupos que comienzan con google-cloud, haz lo siguiente:

  1. En la página de configuración para la aplicación de Google Cloud, abre la pestaña Push groups.
  2. Haz clic en Push groups > Find groups by role.

  3. En la página Push groups by rule, configura la siguiente regla:

    • Rule name: Es el nombre del rol, por ejemplo, Google Cloud.
    • Group name: comienza con google-cloud

  4. Haz clic en Crear regla.

Soluciona problemas

Para solucionar problemas de aprovisionamiento de usuarios o grupos, haz clic en View logs en la página de configuración de la aplicación de Google Cloud.

Para permitir que Okta vuelva a intentar el aprovisionamiento de usuarios, haz lo siguiente:

  1. Ve a Dashboard > Tasks.
  2. Busca la tarea con errores y abre los detalles.
  3. En la página de detalles, haz clic en Retry selected.

Configura Okta para el inicio de sesión único

Si seguiste los pasos para configurar el aprovisionamiento de Okta, todos los usuarios relevantes de Okta se aprovisionan de forma automática en Cloud Identity o Google Workspace. Para permitir que estos usuarios accedan, configura el inicio de sesión único:

  1. En la página de configuración de la aplicación de Google Cloud, abre la pestaña Sign on.
  2. Haz clic en SAML 2.0 > More details.
  3. Haz clic en Download para descargar el certificado de firma.
  4. Observa los valores de URL de inicio de sesión, URL de cierre de sesión y Emisor, los necesitarás en uno de los siguientes pasos.

Crea un perfil de SAML

Crea un perfil de SAML en tu cuenta de Cloud Identity o Google Workspace:

  1. Regresa a la Consola del administrador y ve a SSO con IdP de terceros.

    Ir al SSO con IdP de terceros

  2. Haz clic en Perfiles de SSO de terceros > Agregar perfil de SAML.

  3. En la página Perfil de SSO de SAML, ingresa la siguiente configuración:

    • Nombre: Okta
    • ID de entidad del IdP: Ingresa el emisor del panel de administración de Okta.
    • URL de la página de acceso: Ingresa la URL de acceso del panel de administración de Okta.
    • URL de la página de cierre de sesión:: Ingresa la URL de cierre de sesión del panel de administrador de Okta.
    • Cambia la URL de contraseña: https://ORGANIZATION.okta.com/enduser/settings, en el que ORGANIZATION es el nombre de tu organización de Okta.

  4. En Certificado de verificación, haz clic en Subir certificado y, luego, elige el certificado de firma de token que descargaste antes.

  5. Haz clic en Guardar.

    La página Perfil de SSO de SAML que aparece contiene un ID de entidad en el formato https://accounts.google.com/samlrp/RPID, donde RPID es un ID único.

    Anota el valor de RPID. La necesitarás en el próximo paso.

Asigna el perfil de SAML

Selecciona los usuarios a los que se debe aplicar el nuevo perfil de SAML:

  1. En la Consola del administrador, en la página SSO con IdP de terceros, haz clic en Administrar asignaciones de perfiles de SSO > Administrar.

    Ir a Administrar asignaciones de perfiles de SSO

  2. En el panel de la izquierda, selecciona el grupo o la unidad organizativa para los que deseas aplicar el perfil de SSO. Para aplicar el perfil a todos los usuarios, selecciona la unidad organizativa raíz.

  3. En el panel derecho, en el menú, selecciona el perfil de SSO Okta - SAML que creaste antes.

  4. Haz clic en Guardar.

Para asignar el perfil de SAML a otro grupo o unidad organizativa, repite los pasos anteriores.

Actualiza la configuración de SSO para la UO Automation a fin de inhabilitar el inicio de sesión único:

  1. En el panel izquierdo, selecciona la UO Automation.
  2. Cambia la asignación del perfil de SSO a Ninguno.
  3. Haz clic en Anular.

Completa la configuración del SSO en Okta

Regresa a Okta y completa la configuración del SSO:

  1. En el panel de administración de Okta, en la página de configuración de la aplicación de Google Cloud, abre la pestaña Sign on.

  2. Haz clic en Editar y actualiza la siguiente configuración:

    • Advanced Sign-on Settings > RPID: Ingresa el RPID que copiaste de la Consola del administrador.

  3. Haz clic en Guardar.

Opcional: Configura las verificaciones de identidad

Es posible que el acceso con Google les solicite a los usuarios una verificación adicional cuando accedan desde dispositivos desconocidos o cuando su intento de acceso parezca sospechoso por otros motivos. Estos desafíos de acceso ayudan a mejorar la seguridad, por lo que te recomendamos que los dejes habilitados.

Si crees que los desafíos de acceso causan demasiados inconvenientes, puedes inhabilitarlos de la siguiente manera:

  1. En la Consola del administrador, ve a Seguridad > Autenticación > Desafíos de acceso.
  2. En el panel izquierdo, selecciona una unidad organizativa para la que quieras inhabilitar los desafíos de acceso. Para inhabilitar los desafíos de acceso para todos los usuarios, selecciona la unidad organizativa raíz.
  3. En Configuración para usuarios que acceden con otros perfiles de SSO, selecciona No solicites a los usuarios verificaciones adicionales de Google.
  4. Haz clic en Guardar.

Agrega la Google Cloud consola y otros servicios de Google al panel de la app

Para agregar la consola de Google Cloud y, de forma opcional, otros servicios de Google al panel de la app de Okta de los usuarios, haz lo siguiente:

  1. En el panel de administración de Okta, selecciona Applications > Applications.
  2. Haz clic en Browse app catalog.
  3. Busca Bookmark app y selecciona la aplicación Bookmark app.
  4. Haz clic en Agregar integración.

  5. En la página General settings, establece lo siguiente:

    • Application label: Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, y reemplaza PRIMARY_DOMAIN por el nombre de dominio principal que usa la cuenta de Cloud Identity o Google Workspace.

  6. Haz clic en Listo.

  7. Cambia el logotipo de la aplicación por el logotipo deGoogle Cloud .

  8. Abre la pestaña Sign on.

  9. Haz clic en User authentication > Edit y configura lo siguiente:

    • Authentication policy: Configurada como Okta dashboard

  10. Haz clic en Guardar.

  11. Abre la pestaña Assignment y asigna uno o más usuarios. Los usuarios asignados ven el vínculo de la consola de Google Cloud en su panel de usuario.

De manera opcional, repite los pasos anteriores para cualquier servicio de Google adicional que desees incluir en los paneles de usuarios. La siguiente tabla contiene las URLs y los logotipos de los servicios de Google de uso más común:

Google service (Servicio de Google) URL Logotipo
Consola deGoogle Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Logotipo de Google Cloud
Documentos de Google https://docs.google.com/a/DOMAIN Logotipo de Documentos de Google
Hojas de cálculo de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Logotipo de Hojas de cálculo de Google
Sitios de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Logotipo de Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logotipo de Google Drive
Gmail https://mail.google.com/a/DOMAIN Logotipo de Gmail
Grupos de Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Logotipo de Grupos de Google
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Logotipo de Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Logotipo de Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logotipo de YouTube

Prueba el inicio de sesión único

Después de completar la configuración del inicio de sesión único en Okta y Cloud Identity o Google Workspace, puedes acceder a Google Cloud de dos maneras:

Para verificar que la segunda opción funciona según lo previsto, ejecuta la siguiente prueba:

  1. Elige un usuario de Okta que se haya aprovisionado a Cloud Identity o Google Workspace y que no tenga privilegios de administrador avanzado asignados. Los usuarios con privilegios de administrador avanzado siempre deben acceder con credenciales de Google y, por lo tanto, no son adecuados para probar el inicio de sesión único.
  2. Abre una nueva ventana del navegador y ve a https://console.cloud.google.com/.
  3. En la página de Acceso con Google que aparece, ingresa la dirección de correo electrónico del usuario y haz clic en Siguiente.

  4. Se te redireccionará a Okta y verás otro mensaje de acceso. Ingresa tu dirección de correo electrónico del usuario y sigue los pasos para autenticarte.

    Después de una autenticación exitosa, Okta debería redireccionarte al Acceso con Google. Como es la primera vez que accedes con este usuario, se te solicitará que aceptes la Política de Privacidad y las Condiciones del Servicio de Google.

  5. Si estás de acuerdo con los términos, haz clic en Comprendo.

    Se te redireccionará a la Google Cloud consola, que te pedirá que confirmes las preferencias y que aceptes las Condiciones del Servicio de Google Cloud.

  6. Si aceptas las condiciones, selecciona y haz clic en Aceptar y continuar.

  7. Haz clic en el ícono del avatar en la esquina superior izquierda de la página y, luego, haz clic en Salir.

    Se te redireccionará a una página de Okta que confirma que saliste con éxito.

Ten en cuenta que los usuarios con privilegios de administrador avanzado están exentos del inicio de sesión único, por lo que aún puedes usar la Consola del administrador para verificar o cambiar la configuración.