Saltar al contenido principal

Configura el inicio de sesión único con Google Workspace

Con un mínimo esfuerzo de configuración, este conector permite la integración con Microsoft Entra ID para SSO empresarial.

tip

Para obtener más información sobre SSO y cómo configurar SSO en Logto, por favor consulta la documentación de SSO empresarial (SAML & OIDC) para comenzar.

Paso 1: Crea un nuevo proyecto en Google Cloud Platform

Antes de poder usar Google Workspace como un proveedor de autenticación, debes configurar un proyecto en la Google API Console para obtener credenciales de OAuth 2.0. Si ya tienes un proyecto, puedes omitir este paso. De lo contrario, crea un nuevo proyecto bajo tu organización de Google.

Paso 2: Configura la pantalla de consentimiento para tu aplicación

Para crear una nueva credencial OIDC, necesitas configurar la pantalla de consentimiento para tu aplicación.

  1. Navega a la página de pantalla de consentimiento de OAuth y selecciona el tipo de usuario Interno. Esto hará que la aplicación OAuth solo esté disponible para usuarios dentro de tu organización.

Google Workspace consent screen user type.webp

  1. Completa la configuración de la Pantalla de consentimiento (Consent Screen) siguiendo las instrucciones en la página. Necesitas proporcionar la siguiente información mínima:
  • Nombre de la aplicación: El nombre de tu aplicación. Se mostrará en la pantalla de consentimiento.
  • Correo electrónico de soporte: El correo electrónico de soporte de tu aplicación. Se mostrará en la pantalla de consentimiento.

Google Workspace consent screen settings.webp

  1. Establece los Alcances (Scopes) para tu aplicación. Para recuperar correctamente la información de identidad del usuario y la dirección de correo electrónico del IdP, los conectores SSO de Logto necesitan otorgar los siguientes alcances del IdP:

Google Workspace consent screen scopes.webp

  • openid: Este alcance es necesario para la autenticación OIDC. Se utiliza para recuperar el Token de ID y obtener acceso al endpoint userInfo del IdP.
  • profile: Este alcance es necesario para acceder a la información básica del perfil del usuario.
  • email: Este alcance es necesario para acceder a la dirección de correo electrónico del usuario.

Haz clic en el botón Guardar para guardar la configuración de la pantalla de consentimiento.

Paso 3: Crea una nueva credencial OAuth

Navega a la página de Credenciales y haz clic en el botón Crear credenciales. Selecciona la opción ID de cliente de OAuth del menú desplegable para crear una nueva credencial OAuth para tu aplicación.

Google Workspace create credentials.webp

Continúa configurando la credencial OAuth completando la siguiente información:

Google Workspace credentials config.webp

  1. Selecciona Aplicación web como el tipo de aplicación.
  2. Completa el Nombre de tu aplicación cliente, Logto SSO Connector por ejemplo. Esto te ayudará a identificar las credenciales en el futuro.
  3. Completa los URIs de redirección autorizados con el URI de callback de Logto. Este es el URI al que Google redirigirá el navegador del usuario después de una autenticación exitosa. Después de que un usuario se autentique exitosamente con el IdP, el IdP redirige el navegador del usuario de vuelta a este URI designado junto con un código de autorización. Logto completará el proceso de autenticación basado en el código de autorización recibido de este URI.
  4. Completa los Orígenes de JavaScript autorizados con el origen del URI de callback de Logto. Esto asegura que solo tu aplicación Logto pueda enviar solicitudes al servidor OAuth de Google.
  5. Haz clic en el botón Crear para crear la credencial OAuth.

Paso 4: Configura el conector de Logto con las credenciales del cliente

Después de crear exitosamente la credencial OAuth, recibirás un modal emergente con el ID de cliente y el secreto de cliente.

Google Workspace client credentials.webp

Copia el ID de cliente y el secreto de cliente y completa los campos correspondientes en la pestaña Conexión del conector SSO de Logto.

Ahora has configurado exitosamente un conector SSO de Google Workspace en Logto.

Paso 5: Alcances adicionales (Opcional)

Usa el campo Alcance (Scope) para agregar alcances adicionales a tu solicitud OAuth. Esto te permitirá solicitar más información del servidor OAuth de Google. Por favor, consulta la documentación de Alcances de Google OAuth para más información.

Independientemente de la configuración de alcances personalizados, Logto siempre enviará los alcances openid, profile y email al IdP. Esto es para asegurar que Logto pueda recuperar correctamente la información de identidad del usuario y la dirección de correo electrónico.

Paso 6: Establece dominios de correo electrónico y habilita el conector SSO

Proporciona los dominios de correo electrónico de tu organización en la pestaña Experiencia SSO del conector de Logto. Esto habilitará el conector SSO como un método de autenticación para esos usuarios.

Los usuarios con direcciones de correo electrónico en los dominios especificados serán redirigidos para usar tu conector SSO como su único método de autenticación.

Para más información sobre el conector SSO de Google Workspace, por favor consulta Google OpenID Connector.