Acerca del SSO

Cuando el SSO está configurado, los usuarios que inician sesión en su IdP externo pueden acceder a las aplicaciones de Google sin necesidad de realizar verificaciones adicionales, con las siguientes excepciones:

• Aunque los usuarios hayan iniciado sesión en su IdP, en algunas ocasiones Google les pedirá que verifiquen su identidad como medida de seguridad adicional. Para obtener más información (e instrucciones detalladas sobre cómo inhabilitar este tipo de verificación, si fuera necesario), consulta el artículo Funcionamiento del inicio de sesión seguro basado en SAML.
• Además del SSO, puedes aplicar la verificación en dos pasos de forma que solo se requiera cuando los usuarios accedan a servicios de Google. Normalmente, este tipo de verificación se omite cuando el SSO está activado. Consulta más información en el apartado Habilitar la verificación de la identidad con SSO.

En la Figura 1 se muestra el proceso por el que un usuario inicia sesión en una aplicación de Google, como Gmail, a través de un servicio de SSO basado en SAML gestionado por un partner. En la lista numerada que sigue a la imagen se detalla cada paso.

Importante: Para que se pueda realizar este proceso, el partner debe facilitar a Google la URL para su servicio de SSO, así como la clave pública que Google debería usar para verificar las respuestas SAML.

Figura 1: El proceso de inicio de sesión en Google mediante un servicio de SSO basado en SAML. 

En esta imagen se describen los pasos siguientes.

1. El usuario intenta acceder a una aplicación alojada en Google, como Gmail, Google Calendar u otro servicio de Google.
2. Google genera una solicitud de autenticación SAML, que se codifica y se inserta en la URL del servicio de SSO del partner. El parámetro RelayState, que contiene la URL codificada de la aplicación de Google a la que el usuario intenta acceder, también está insertado en la URL de SSO. Este parámetro es un identificador opaco que se devuelve sin modificaciones ni inspecciones.
3. Google envía un redireccionamiento al navegador del usuario. La URL de redireccionamiento incluye la solicitud de autenticación SAML codificada que debería enviarse al servicio de inicio de sesión único del partner.
4. El navegador redirige a la URL de SSO.
5. El partner descodifica la solicitud SAML y extrae la URL del servicio de consumidor de aserciones (Assertion Consumer Service, ACS) de Google y la URL de destino del usuario (parámetro RelayState). 
6. A continuación, el partner autentica al usuario. Los partners pueden autenticar a los usuarios solicitando credenciales de acceso válidas o comprobando que existen cookies de sesión correctas.
7. El partner genera una respuesta SAML que contiene el nombre de usuario del usuario autenticado. Según las especificaciones de la versión 2.0 de SAML, esta respuesta se firma digitalmente con las claves DSA/RSA públicas y privadas del partner.
8. El partner codifica la respuesta SAML y el parámetro RelayState y, a continuación, devuelve esa información al navegador del usuario. El partner ofrece un mecanismo para que el navegador pueda reenviar esa información al servicio de ACS de Google. Por ejemplo, el partner podría insertar la respuesta SAML y la URL de destino en un formulario y facilitar un botón para que el usuario pueda hacer clic en él y enviar el formulario a Google. El partner también podría incluir JavaScript en la página para que se envíe el formulario a Google.
9. El navegador envía una respuesta a la URL ACS. El servicio ACS de Google verifica la respuesta SAML usando la clave pública del partner. Si la respuesta se verifica correctamente, el servicio ACS redirige al usuario a la URL de destino. 
10. El usuario ha iniciado sesión en la aplicación de Google.