Conectar Google Workspace con SAML 2.0

Conecta FoxIDs como proveedor de identidad externo para Google Workspace con SAML 2.0.

Al configurar un método de autenticación OpenID Connect y Google Workspace como una aplicación SAML 2.0, FoxIDs se convierte en un puente entre OpenID Connect y SAML 2.0 y convierte automáticamente las reclamaciones JWT (OAuth 2.0) en reclamaciones SAML 2.0.

Configurar Google Workspace

Esta guía describe cómo configurar FoxIDs como proveedor de identidad externo para Google Workspace. Los usuarios se conectan con su dirección de correo electrónico y deben existir previamente en Google Workspace.

1 - Comienza configurando un certificado en FoxIDs Control Client

Debes subir los metadatos SAML 2.0 de FoxIDs a Google Workspace. Por lo tanto, es necesario usar un certificado de larga duración en FoxIDs, por ejemplo válido durante 3 años.

1. Selecciona la pestaña Certificates
2. Haz clic en Change Container type
3. Busca Self-signed or your certificate y haz clic en Change to this container type
4. El certificado autofirmado es válido por 3 años, y opcionalmente puedes subir tu propio certificado

2 - Luego comienza a crear una aplicación SAML 2.0 en FoxIDs Control Client

1. Selecciona la pestaña Applications
2. Haz clic en New application
3. Haz clic en Web application (SAML 2.0)
4. Introduce el Name, por ejemplo Google Workspace
5. En el panel de la derecha, haz clic en Show more en la sección The application will have the following information
6. Guarda la información de la aplicación para usarla más tarde en Google Workspace:
   • Copia el IdP Issuer
   • Copia la Single Sign-On URL
   • En IdP Signing Certificate, haz clic en Download certificate
7. Mantén abierta la UI de la aplicación FoxIDs para usarla más adelante

3 - Luego ve al portal de Google Workspace

1. Abre la Admin console e inicia sesión si se solicita
2. Navega a Security > Authentication > SSO with third party IdP
3. En la sección Third-party SSO profiles, haz clic en ADD SAML PROFILE
4. Introduce un SSO profile name
5. En Autofill email, selecciona Send email address in the URL as the login_hint parameter
6. Busca la sección IDP details
7. Establece IDP entity ID en el valor IdP Issuer de la aplicación FoxIDs que copiaste
8. Establece Sign-in page URL en el valor Single Sign-On URL de la aplicación FoxIDs que copiaste
9. (Opcional) Establece Sign-out page URL en la página donde los usuarios deben aterrizar después de cerrar sesión. Google Workspace no admite single logout, por lo que FoxIDs no se invoca durante el cierre de sesión.
10. Haz clic en UPLOAD CERTIFICATE y sube el IdP Signing Certificate que descargaste de FoxIDs
11. Haz clic en Save
12. En la sección SP details, guarda la información para usarla más tarde en FoxIDs:
    • Copia el EntityID Issuer
    • Copia la ACS URL

4 - Luego continúa creando la aplicación SAML 2.0 en FoxIDs Control Client

1. Vuelve a la UI de la aplicación FoxIDs que dejaste abierta
2. Establece Application issuer en el valor EntityID Issuer de Google Workspace que copiaste
3. Establece Assertion consumer service (ACS) URL en el valor ACS URL de Google Workspace que copiaste
4. Haz clic en Create
5. Haz clic en Change application para abrir la aplicación en modo edición
6. Selecciona la pestaña Claims Transform
7. Haz clic en Add claim transform, elige Map, y añade una reclamación NameID con la dirección de correo electrónico del usuario que coincida con el correo del usuario de Google Workspace.
8. Establece New claim en http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier - que es el URI de la reclamación NameID
9. Establece Select claim en http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
10. Haz clic en Update

Debes activar el single sign-on para los usuarios en Google Workspace. Consulta la documentación de Google Workspace para más información.