Saltar al contenido

Guía de Configuración de SAML de Google

Propósito del Documento

Describir los pasos de configuración necesarios para configurar App Builder utilizar Google como proveedor de seguridad externo SAML para gestionar la autenticación de usuarios.

Introducción

SAML utiliza la terminología de IdP (proveedor de identidad) y SP (proveedor de servicios) para describir los dos sistemas participantes en una configuración SAML. En este caso, Google Workspace es el IdP y el App Builder la instancia es el SP.

La configuración de la autenticación externa requiere la configuración tanto del IdP como del SP. En ambos casos, se requieren derechos administrativos.

Importante

Los valores de ejemplo que se proporcionan en esta guía son representativos, pero ficticios, y no deben utilizarse en configuraciones del mundo real.

Pasos en App Builder

Crear un Proveedor de Seguridad

  1. Inicia sesión App Builder como administrador
  2. Vaya a IDE > Proveedores de seguridad
  3. En la sección Autenticación de usuario, + Autenticación de usuario un nuevo Proveedor de seguridad

  4. Complete los siguientes valores:

    • Nombre: nombre breve y descriptivo del proveedor de seguridad. Lo ideal es evitar los espacios. Esta cadena, en su forma exacta, se convierte en parte de la URL de ACS.
    • Tipo: Autenticación externa > SAML
    • Prioridad: acepta la sugerencia predeterminada o actualiza según tu preferencia
    • Habilitado: Marcar
    • Redireccionamiento en desafío: Marcar
    • Mostrar en el formulario de inicio de sesión: Marcar
    • Aprovisionamiento de usuarios: Marcar
    • Reclamos de la tienda: Marcar. Esta configuración es importante al momento de realizar la configuración inicial y solucionar problemas, pero se puede eliminar más adelante si se desea.

  5. Haga clic en Guardar

Pasos en Google Workspace

Nota

Ten en cuenta que debes ser superadministrador de tu Google Workspace para realizar estos pasos.

Configura Tu Aplicación SAML Personalizada

  1. Inicia sesión en tu consola de Google Admin
  2. Desde la página de inicio de la consola de administración, vaya a Aplicaciones > Aplicaciones web y móviles
  3. Haga clic en Agregar aplicación > Agregar aplicación SAML personalizada

  4. En la página Detalles de la aplicación:

    1. Ingrese el Nombre de la aplicación de la aplicación personalizada. Por ejemplo: App Builder instancia. Normalmente, se especifica Dev, QA o Prod, o el propósito de la instancia, si es diferente, como parte del nombre de la aplicación. Este valor se utiliza únicamente como etiqueta dentro de Google Workspace y no se utiliza en ningún otro lugar.
    2. (Opcional) Sube un ícono de aplicación. Si no subes un ícono, se crea uno con las dos primeras letras del nombre de la aplicación.

    googleSAMLapp.png

    Ejemplo de configuración de aplicación SAML personalizada

  5. Haga clic en Continuar

  6. En la página de detalles del proveedor de identidad de Google, tenga en cuenta la información de configuración que requiere el proveedor de servicios. Estos valores son específicos de la cuenta de Google Workspace y no genéricos:

    • URL SSO: Por ejemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • ID de entidad: Por ejemplo: https://accounts.google.com/o/saml2?idpid=C01D02E032
    • Certificado

  7. Haga clic en Continuar. Puede volver a estos valores más tarde haciendo clic en Descargar metadatos.

  8. En la ventana Detalles del proveedor de servicios, ingrese una URL de ACS y un ID de entidad para su aplicación personalizada. Tenga en cuenta que las partes de la ruta de las siguientes URLs distinguen entre mayúsculas y minúsculas (es decir, la parte que sigue al FQDN).

  9. URL ACS: La URL de la App Builder raíz de la instancia, con lo siguiente adjunto: /signin-<name of service provider>

    • Por ejemplo: https://example.zudy.com/App Builder/signin-GoogleSAML
    • Nota: La URL de ACS debe comenzar con https://

  10. ID de entidad: La raíz de la App Builder instancia. Debe terminar con una barra diagonal. - Por ejemplo: https://example.zudy.com/App Builder/

  11. Marque la casilla Respuesta firmada
  12. El formato predeterminado ID de nombre se puede dejar como está predeterminado ( correo principal).

  13. Puede encontrar información adicional sobre la asignación de ID de nombre aquí: Catálogo de aplicaciones SAML. Si es necesario, también puede crear atributos personalizados, ya sea en la Consola de administración o a través de las APIs del SDK de Google Admin y asignarlos a ellos. Los atributos personalizados deben crearse antes de configurar su aplicación SAML y, por lo general, no son necesarios para App Builder ejemplo de configuración:

    customSAML.png

    Configuración personalizada de la aplicación SAML en Google Workspace

  14. Haga clic en Continuar

  15. En la página Asignación de atributos, tenga en cuenta que se pueden crear asignaciones adicionales si es necesario y haga clic en Finalizar. Si se necesitan asignaciones adicionales, se pueden configurar más tarde. Al configurar asignaciones, los valores de Atributo de la aplicación deben coincidir con los valores de Identificador especificados en App Builder en Tipos de reclamos.
  16. Haga clic en Finalizar
  17. En la página Aplicación (en Aplicaciones web y móviles), haga clic en la flecha hacia abajo en la sección Acceso de usuario

  18. El acceso se puede configurar para grupos, unidades organizativas o para todos los usuarios de la cuenta. Para simplificar, recomendamos activar el acceso para todos. Si solo se debe proporcionar acceso a una cantidad limitada de usuarios, consulte la documentación de Google Workspace para crear y configurar grupos y unidades organizativas y para asignar acceso a la aplicación en ese nivel.

    Nota

    Cuando se configura el acceso por primera vez, Google Workspace informa que este cambio puede tardar hasta 24 horas en propagarse a todos los usuarios. Al realizar pruebas, si se recibe un error que indica que el usuario no tiene acceso a la aplicación o que no está habilitado para él, asegúrese de que haya pasado suficiente tiempo después de la configuración antes de volver a realizar la prueba.

  19. Esto completa los pasos en Google Workspace. Para obtener información adicional, consulte: https://support.google.com/a/answer/6087519

Pasos en App Builder

Configurar las Propiedades del Proveedor de Seguridad y los Tipos de Reclamaciones

  1. Regrese a la página de configuración del proveedor de servicios creado en los pasos 1 a 5 de la App Builder configuración descrita anteriormente
  2. En la sección Propiedades, + Propiedad y Guardar las siguientes propiedades con los siguientes valores especificados:
    • Audiencia: la raíz de la App Builder instancia. Por ejemplo: https://example.zudy.com/App Builder/
      • Nota: esto coincidirá con el ID de entidad configurado en Google Workspace
    • Destinatario: coincidirá con la URL de ACS configurada en Google Workspace y consta de la URL de App Builder raíz de la instancia, con lo siguiente adjunto: /signin-<name of service provider>
      • Por ejemplo: https://example.zudy.com/App Builder/signin-GoogleSAML
    • RequestRedirectEndpoint: esta es la URL de SSO de Google Workspace, consulte el paso 6 de los pasos de configuración de Google. Por ejemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • SigningCertificate: Esta es la cadena de texto larga del paso 6. Al copiar el certificado, asegúrese de excluir BEGIN y END y elimine los saltos de línea o los espacios iniciales o finales.

      • Ejemplo de contenido de certificado que debe copiarse:

        MIIDdDCCAlygAwIBAgIGAXy6QtfkMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ bmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZHb29nbGUxGDAWBgNVBAsTD0dv b2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEwHhcNMjExMDI2 MDE0MTU0WhcNMjYxMDI1MDE0MTU0WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMN TW91bnRhaW4gVmlIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEAlwzhMrwH3WO1rbv5Ftkkg7USOhE6bBl7xVPyy3o6HCq1Rcnh/T5zsvmNyLQ3n7GL Q7AomWFRTa8sriXQPqz8xT67fVq5tWpl3t0CiJ36XxM8AUd1u9juaxSTdYFDRQf5JCvE/RK1aqR/ qVIqU/keehoozfhMM9jlrxqNfcwKPiKb3583jHGpu6TvSet4Dmg5NzE0y28ZFDaB2NBa0fE9euEq o3Ulf2uqY2RSGw8x92d8YMLX/1qZtp+/xkYmAQaIUNGe0PhHpLoDhjxNN6RVRESiA/Jkcyc6ZCUd Wn+6B5ZNq0X4OZkdfgkjfgdskrTTSRFASSF3333fgfsg/LZNPSDlbwJId2SX48ejzbcNpGBWCPPKNeSwIDAQABMA0GCSqGSIb3DQEBCwUA A4IBAQBzokabj8aD6/DStvpzuUPn0P/EIu4fKEx8MwsDnKzGC0s/3EcWZuiutKmaTdLbWY2BJhZmaj 5mg8Xs+EtGAQqZ2DxFJDeyWruGMKW3S5NMMtZC+w8fj7kdHRByBTVgEqAGfehCoP7zjf7jAQfLe/ wjeehVlc8Q0nNzueNNrPQABgdyAuknS5Syzkjl8Wmd611uUjMXlBsoLY3gBvSuF8WNzqQXYOUQuL OIJXJ2K/o8dBNRQC015ygcRi57nHaBMTh3BL22jMX

Configurar los Tipos de Reclamaciones del Proveedor de Seguridad (opcional)

  1. Regrese a la página de configuración del Proveedor de servicios o minimice el panel Propiedades
  2. En la sección Reclamos, + Reclamo y Guardar el siguiente Tipo de reclamo. Esto es opcional, pero garantizará que el atributo Dirección de Correo del App Builder los datos del usuario se completarán cuando éste inicie sesión. App Builder utilizando el proveedor de autenticación externo.

  3. Haga clic en + Reclamar y utilice los siguientes valores:

    • Identificador: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
    • Uso: Dirección de correo electrónico
    • Nombre: etiqueta descriptiva. Por ejemplo: Dirección de Correo

  4. Haga clic en Guardar

Prueba

En este punto, la configuración está lista para probarse. Se recomienda que todas las pruebas se realicen desde nuevas ventanas del navegador en modo incógnito o privado, o en un navegador alternativo.

Pasos de Prueba

  1. En Google Workspace, en Aplicaciones web y móviles, haga clic en PROBAR INICIO DE SESIÓN SAML y revise el resultado

  2. Vaya a la página de inicio de sesión del App Builder instancia y:

    1. Confirme que el nuevo método de autenticación se muestra correctamente
    2. Intente iniciar sesión con el nuevo método de autenticación y revise el resultado. Esto debe hacerse con un inicio de sesión diferente al que se utilizó para administrar App Builder.

  3. Si se informan errores, revise toda la configuración y confirme que los elementos necesarios para la coincidencia sean correctos (distinga entre mayúsculas y minúsculas y que el / final coincida, etc.).

  4. Si recibe un error de una página de Google que indica que la aplicación no está habilitada para el usuario, confirme que se completaron los pasos 17 y 18 y que ha transcurrido un tiempo para permitir que el acceso se propague por todo Google Workspace.
  5. Si todas las configuraciones están presentes y parecen correctas, pero la autenticación externa sigue sin funcionar, comuníquese con App Builder apoyo.