Saltar al contenido principal

Configura el inicio de sesión único con Google Workspace

Con un mínimo esfuerzo de configuración, este conector permite la integración con Microsoft Entra ID para SSO empresarial.

tip:

Para obtener más información sobre SSO y cómo configurar SSO en Logto, por favor consulta la documentación de SSO empresarial (SAML & OIDC) para comenzar.

Paso 1: Crea un nuevo proyecto en Google Cloud Platform

Antes de que puedas usar Google Workspace como un proveedor de autenticación, debes configurar un proyecto en la Google API Console para obtener credenciales de OAuth 2.0. Si ya tienes un proyecto, puedes omitir este paso. De lo contrario, crea un nuevo proyecto bajo tu organización de Google.

Para crear una nueva credencial OIDC, necesitas configurar la pantalla de consentimiento para tu aplicación.

  1. Navega a la página de pantalla de consentimiento de OAuth y selecciona el tipo de usuario Interno. Esto hará que la aplicación OAuth solo esté disponible para usuarios dentro de tu organización.

Google Workspace consent screen user type.webp

  1. Completa la configuración de la Pantalla de consentimiento (Consent Screen) siguiendo las instrucciones en la página. Necesitas proporcionar la siguiente información mínima:
  • Nombre de la aplicación: El nombre de tu aplicación. Se mostrará en la pantalla de consentimiento.
  • Correo electrónico de soporte: El correo electrónico de soporte de tu aplicación. Se mostrará en la pantalla de consentimiento.

Google Workspace consent screen settings.webp

  1. Establece los Alcances (Scopes) para tu aplicación. Para recuperar correctamente la información de identidad y la dirección de correo electrónico del usuario desde el IdP, los conectores SSO de Logto necesitan otorgar los siguientes alcances del IdP:

Google Workspace consent screen scopes.webp

  • openid: Este alcance es necesario para la autenticación OIDC. Se utiliza para recuperar el Token de ID y obtener acceso al endpoint userInfo del IdP.
  • profile: Este alcance es necesario para acceder a la información básica del perfil del usuario.
  • email: Este alcance es necesario para acceder a la dirección de correo electrónico del usuario.

Haz clic en el botón Guardar para guardar la configuración de la pantalla de consentimiento.

Paso 3: Crea una nueva credencial OAuth

Navega a la página de Credenciales y haz clic en el botón Create Credentials. Selecciona la opción OAuth client ID del menú desplegable para crear una nueva credencial OAuth para tu aplicación.

Google Workspace create credentials.webp

Continúa configurando la credencial OAuth completando la siguiente información:

Google Workspace credentials config.webp

  1. Selecciona Web application como el tipo de aplicación.
  2. Completa el Name de tu aplicación cliente, por ejemplo, Logto SSO Connector. Esto te ayudará a identificar las credenciales en el futuro.
  3. Completa los Authorized redirect URIs con el URI de callback de Logto. Este es el URI al que Google redirigirá el navegador del usuario después de una autenticación exitosa. Después de que un usuario se autentique exitosamente con el IdP, el IdP redirige el navegador del usuario de vuelta a este URI designado junto con un código de autorización. Logto completará el proceso de autenticación basado en el código de autorización recibido de este URI.
  4. Completa los Authorized JavaScript origins con el origen del URI de callback de Logto. Esto asegura que solo tu aplicación Logto pueda enviar solicitudes al servidor OAuth de Google.
  5. Haz clic en el botón Create para crear la credencial OAuth.

Paso 4: Configura el conector de Logto con las credenciales del cliente

Después de crear con éxito la credencial de OAuth, recibirás un modal emergente con el client ID y el client secret.

Google Workspace client credentials.webp

Copia el Client ID y el Client secret y rellena los campos correspondientes en la pestaña Connection del conector SSO de Logto.

Ahora has configurado con éxito un conector SSO de Google Workspace en Logto.

Paso 5: Alcances adicionales (Opcional)

Usa el campo Scope para añadir alcances adicionales a tu solicitud de OAuth. Esto te permitirá solicitar más información del servidor OAuth de Google. Por favor, consulta la documentación de Google OAuth Scopes para más información.

Independientemente de la configuración de alcances personalizados, Logto siempre enviará los alcances openid, profile y email al IdP. Esto es para asegurar que Logto pueda recuperar correctamente la información de identidad del usuario y la dirección de correo electrónico.

Paso 6: Establece dominios de correo electrónico y habilita el conector SSO

Proporciona los dominios de correo electrónico de tu organización en la pestaña de experiencia SSO del conector de Logto. Esto habilitará el conector SSO como un método de autenticación para esos usuarios.

Los usuarios con direcciones de correo electrónico en los dominios especificados serán redirigidos para usar tu conector SSO como su único método de autenticación.

Para obtener más información sobre el conector SSO de Google Workspace, por favor consulta Google OpenID Connector.