Saltar al contenido principal
Al conectar tu aplicación de Auth0 a Google Workspace, tus usuarios pueden iniciar sesión con sus credenciales de Google. Para ello, primero debes registrar tu aplicación en Google y, después, configurar una conexión empresarial de Google Workspace en Auth0.

Requisitos previos

Antes de comenzar, necesita lo siguiente:
  • Haber registrado su aplicación en Auth0.
    • Seleccione un Tipo de aplicación adecuado.
    • Agregue una URL de callback permitida de {https://yourApp/callback}.
    • Asegúrese de que los tipos de concesión de su aplicación incluyan los flujos adecuados.
  • Una cuenta válida de Google Workspace y su propia organización de Google Workspace.
  • Privilegios de administrador en la organización de Google Workspace.

Registra tu aplicación en Google

Para permitir que los usuarios inicien sesión con Google Workspace, debes registrar tu aplicación en la consola de Google Cloud.
Si tu aplicación solicita alcances sensibles de OAuth, puede estar sujeta a revisión por parte de Google.
Sigue la documentación de Google sobre Configurar OAuth 2.0 y usa la siguiente configuración:
  • En la pantalla de consentimiento de , en Dominios autorizados, agrega auth0.com.
  • Cuando se te pida seleccionar un tipo de aplicación, elige Aplicación web y configura los siguientes parámetros:
    CampoDescripción
    NombreEl nombre de tu aplicación.
    Orígenes autorizados de JavaScripthttps://{yourDomain}
    URI de redireccionamiento autorizadoshttps://{yourDomain}/login/callback
    A menos que uses un dominio personalizado, el dominio de tu inquilino es <TENANT NAME>.<REGIONAL SUBDOMAIN>.auth0.com. Por ejemplo, el dominio de un inquilino de la región de EE. UU. llamado example-name es example-name.us.auth0.com). Los inquilinos creados antes de junio de 2020 omiten el subdominio regional.
  • Si planeas conectarte a dominios empresariales de Google Workspace, debes habilitar la Admin SDK API.
Guarda el y el que Google genera para tu aplicación. Necesitarás estos valores para crear una conexión empresarial de Auth0 en el siguiente paso.

Configurar una conexión empresarial de Google Workspace en Auth0

1

Crear una conexión empresarial con Google Workspace

En Auth0 Dashboard > Authentication > Enterprise, localice Google Workspace y seleccione Create.
Dashboard - Conexiones - Enterprise
2

Elige la configuración de tu conexión

En la página de creación de una nueva conexión empresarial de Google Workspace, configure estos ajustes:
CampoDescripción
PropósitoEl uso de la conexión: inicio de sesión, cuentas conectadas o ambos. Para obtener más información, consulte Autenticación de usuarios frente a cuentas conectadas.
Nombre de la conexiónUn identificador lógico para su conexión. Debe ser único para su inquilino y no se puede cambiar.
Dominio de Google WorkspaceEl nombre de dominio de Google Workspace de su organización.
ID de clienteUn identificador único para su aplicación de Google registrada. Introduzca el ID de cliente de la aplicación que registró en la consola de Google Cloud.
Secreto del clienteUna cadena que se utiliza para acceder a su aplicación de Google registrada. Introduzca el secreto del cliente de la aplicación que registró en la consola de Google Cloud.
AtributosLos atributos del usuario que ha iniciado sesión a los que su aplicación puede acceder y que Auth0 almacena en el perfil del usuario:
  • Perfil básico: email, marca email verified
  • Perfil ampliado: nombre, URL del perfil público, foto, género, fecha de nacimiento, país, idioma y zona horaria
Atributos ampliados (opcional)Atributos adicionales del usuario que ha iniciado sesión a los que su aplicación puede acceder y que Auth0 almacena en el perfil del usuario:
  • Grupos: las listas de distribución del usuario, ya sea en formato simplificado (nombres de grupos) o en formato ampliado (objetos de grupo con name, id y email)
  • Es administrador del dominio: si el usuario es administrador del dominio
  • La cuenta está suspendida: si la cuenta del usuario está suspendida
  • Aceptó los términos: si el usuario ha aceptado las condiciones del servicio
Use Admin Directory API (opcional)Al habilitar esta configuración, la conexión puede hacer llamadas a la API de Google Directory. Elija los alcances Users o Users and Groups según sea necesario.
Auth0 User ID (opcional)De forma predeterminada, user_id de Auth0 se asigna a email. Al habilitar Use ID instead of Email for Auth0 User ID, user_id se asigna en su lugar a id. Solo puede establecer esta opción para conexiones nuevas y no se puede cambiar una vez configurada.
Cuando termine de elegir la configuración, haga clic en Create.
3

Configure cómo inician sesión los usuarios

En la pestaña Experiencia de inicio de sesión, configure cómo los usuarios inician sesión con esta conexión:
CampoDescripción
Descubrimiento del dominio de inicioCompara el dominio del correo electrónico de un usuario con los dominios del Proveedor de identidad proporcionados. Para obtener más información, consulte Configurar la autenticación Identifier First
Botón de conexiónSeleccione Mostrar la conexión como un botón para habilitar un botón para esta conexión en la página de inicio de sesión de la aplicación. Al hacerlo, puede personalizar dos opciones:
  • Nombre visible del botón (opcional): el texto que se muestra en el botón después de “Continuar con”.
  • URL del logotipo del botón (opcional): la URL de una imagen que se mostrará como un cuadrado de 20 px por 20 px a la izquierda del texto del botón.
Después de introducir la configuración, haga clic en Guardar.
4

Verificar el consentimiento del administrador de Google

En la pestaña Configuración, haga una de las siguientes acciones:
  • Siga el enlace Continuar si tiene permisos de administrador para configurar Google Workspace de modo que use las API de administración de Google, o
  • Proporcione la URL indicada a su administrador para que pueda ajustar la configuración requerida
Si se elimina un administrador de Google Workspace, cualquier conexión empresarial de Google Workspace que haya autorizado deberá volver a autorizarse por otro administrador de Google Workspace para evitar errores de inicio de sesión. Para volver a autorizarla, pida a un administrador actual que use el enlace de la pestaña Configuración de la conexión empresarial de Google Workspace.
5

Habilitar y probar la conexión

Habilite la conexión para sus aplicaciones de Auth0 y, después, pruebe la conexión para comprobar que funciona correctamente.

Próximos pasos

Personalice o automatice la sincronización de perfiles de usuario

En la pestaña Provisioning de la conexión, puede configurar cómo se actualizan los perfiles de usuario:
  • Habilite Sync User Profile Attributes at Login para permitir que Google sincronice los perfiles de usuario cuando el usuario inicia sesión. Cuando esta opción está habilitada, puede elegir la Sync Frequency. De forma predeterminada, Auth0 actualiza los perfiles de usuario en cada inicio de sesión. También puede optar por sincronizarlos solo en el primer inicio de sesión.
  • Habilite Provision Users and Groups Using Directory Sync para sincronizar automáticamente usuarios y grupos de Google Workspace con Auth0. Para obtener más información, consulte Sincronizar usuarios de Google Workspace con Auth0 mediante Google Directory Sync.

Obtener tokens de acceso y de actualización

Una vez que un usuario se autentica, Google emite un token de acceso. Puede usar este token de acceso para llamar a las API de Google. Para solicitar además un de Google, agregue access_type=offline&approval_prompt=force a la solicitud de autorización. En Google Workspace, Auth0 almacena los tokens de acceso y de actualización en el objeto user para usuarios individuales y en el objeto connection para administradores del espacio de trabajo. Puede acceder a ellos mediante el endpoint Get a connection de la Management API.

Recuperar detalles adicionales de usuarios y grupos

Para recuperar detalles adicionales de usuarios y grupos, además de los que Auth0 obtiene de forma predeterminada, puede usar la API de administración de directorios de Google para obtener las propiedades ampliadas de los grupos de un usuario.
  1. En la pestaña Settings de su conexión empresarial, en la sección General, en Extended Attributes, habilite Groups.
  2. En la pestaña Setup, complete el consentimiento del administrador mediante el enlace proporcionado.
  3. Recupere el token de acceso de administrador almacenado en el objeto connection mediante el endpoint Get a connection endpoint de Management API.
  4. Use el token de acceso para llamar al endpoint Manage Groups de Google. Por ejemplo: 
    curl -H "Authorization: OAuth {admin_access_token}" \
    https://admin.googleapis.com/admin/directory/v1/groups\?userKey={user_key}

Validar la autenticación con Actions

Validar que los eventos de autenticación provienen de usuarios legítimos que son miembros de su organización de Google puede ayudar a evitar que usuarios que ya no forman parte de su organización accedan sin autorización a sus aplicaciones. Para verificar las autenticaciones con Google, puede usar una Action de post-login para validar que el claim idp_tenant_domain asociado al usuario coincida con la organización esperada. Por ejemplo:
Example post-login Action code to validate Google authentications
exports.onExecutePostLogin = async (event, api) => {
    if (event.connection.strategy === 'google-oauth2') {
        // Bloquear cuentas sociales (que no pertenecen a la organización)
        if (!event.user.idp_tenant_domain) {
            api.access.deny('Social accounts are not allowed to log in');
        }

        // Solo permitir cuentas de organizaciones en la lista de permitidas
        if (event.user.idp_tenant_domain != 'example.com') {
            api.access.deny('Your Google Organization is not allowed to log in');
        }
    }
};
Solo puedes verificar idp_tenant_domain para usuarios que se autentican con los siguientes tipos de conexión:
  • Google Social
  • Google Workspace
  • Google OIDC

Más información

Límites

  • Si tienes una conexión social de Google existente para tu aplicación y creas una nueva conexión empresarial de Google Workspace para el mismo dominio, los usuarios asociados a la conexión social iniciarán sesión mediante la conexión empresarial (aunque no la habilites).
  • La conexión empresarial de Google Workspace permite que los perfiles de usuario de Auth0 tengan hasta 200 grupos. Si un perfil de usuario tiene más de 200 grupos, es posible que no se muestren todos. Si usas grupos de Google para la autorización, debes proteger el entorno de Google Workspace para evitar que usuarios no autorizados modifiquen los grupos.
  • El botón de conexión no está disponible para Classic Login. Para habilitarlo y personalizarlo, usa Universal Login.