Configuración de Google Workspace

Configuración de Google Workspace

Configuración de Google Workspace

El módulo de Identidades de TecnetSOC puede conectarse con Google Workspace para sincronizar usuarios, grupos y el estado de verificación en dos pasos (2SV/MFA). Esta guía te explica cómo preparar tu entorno de Google para la integración.

---

Descripción general

La integración con Google Workspace complementa el módulo de Identidades de TecnetSOC, permitiendo:

  • Sincronizar usuarios de tu directorio de Google — nombre, email, estado de cuenta, última actividad y rol administrativo.
  • Inventariar grupos — visualiza todos los grupos de tu organización, sus miembros y tipo.
  • Monitorear 2SV (MFA) — identifica qué usuarios tienen verificación en dos pasos habilitada y cuáles no, para medir tu postura de seguridad.
  • Detectar roles administrativos — visibilidad de qué usuarios tienen privilegios elevados en tu dominio.

La integración es de solo lectura — TecnetSOC nunca modifica, crea ni elimina usuarios, grupos o configuraciones en tu Google Workspace.

Nota: Si tu organización utiliza Microsoft Entra ID como proveedor de identidades principal, consulta el artículo "Configuración inicial de Microsoft Entra ID". Puedes tener ambas integraciones activas simultáneamente.

---

Requisitos previos

RequisitoDetalle
Edición de Google WorkspaceBusiness Starter, Standard, Plus, Enterprise, o Education (cualquier edición de pago)
Rol en GoogleSuper Admin del dominio (necesario para configurar delegación de dominio)
Google Cloud ConsoleAcceso para crear un proyecto y una cuenta de servicio
Acceso a TecnetSOCRol de client_admin en la plataforma (portal.tecnetone.com)
Importante: La delegación de dominio (Domain-wide Delegation) es un requisito de Google para que una aplicación pueda leer datos del directorio en nombre de un administrador. Esto es estándar para cualquier integración de este tipo y no otorga permisos de escritura.

---

Paso 1: Crear un proyecto en Google Cloud Console

El proyecto de Google Cloud es el contenedor donde vivirá la cuenta de servicio que TecnetSOC usará para conectarse.

  1. Ve a console.cloud.google.com e inicia sesión con tu cuenta de Super Admin.
  2. En la barra superior, haz clic en el selector de proyectos y selecciona "New Project".
  3. Asigna un nombre descriptivo, por ejemplo: TecnetSOC Integration.
  4. Selecciona tu organización en el campo "Location".
  5. Haz clic en "Create".
  6. Una vez creado, asegúrate de que esté seleccionado como proyecto activo en la barra superior.

---

Paso 2: Habilitar las APIs necesarias

TecnetSOC necesita acceso a la Admin SDK API de Google para leer datos del directorio.

  1. Con el proyecto seleccionado, ve a APIs & Services → Library en el menú lateral.
  2. Busca y habilita la siguiente API:
APIFunciónObligatoria
Admin SDK APILectura de usuarios, grupos, roles y estado de 2SV
  1. Haz clic en "Enable" para activar la API.
Nota: Solo se necesita la Admin SDK API. No es necesario habilitar APIs adicionales como Drive o Gmail.

---

Paso 3: Crear una cuenta de servicio

La cuenta de servicio es la identidad técnica que TecnetSOC usará para autenticarse con Google.

  1. En Google Cloud Console, ve a IAM & Admin → Service Accounts.
  2. Haz clic en "+ Create Service Account".
  3. Completa el formulario:
    • Service account name: tecnetsoc-sync
    • Description: Cuenta de servicio para sincronización de identidades con TecnetSOC
  4. Haz clic en "Create and Continue".
  5. En el paso de roles del proyecto, no es necesario asignar ningún rol — simplemente haz clic en "Continue".
  6. En el paso de acceso de usuarios, haz clic en "Done".
  7. De vuelta en la lista de cuentas de servicio, haz clic en la que acabas de crear.
  8. Ve a la pestaña "Keys".
  9. Haz clic en "Add Key" → "Create new key" → "JSON".
  10. Se descargará un archivo .json — este archivo contiene las credenciales que necesitarás en el Paso 5.
Seguridad: El archivo JSON contiene credenciales sensibles. No lo compartas por email ni lo subas a repositorios de código. Una vez ingresado en TecnetSOC, se almacena cifrado en nuestra infraestructura.

---

Paso 4: Configurar delegación a nivel de dominio (Domain-wide Delegation)

Este paso autoriza a la cuenta de servicio para leer datos del directorio de tu organización.

  1. En la página de la cuenta de servicio en Google Cloud Console, copia el Client ID (es un número largo, ejemplo: 123456789012345678901). Lo encontrarás en la columna "OAuth 2 Client ID" o en los detalles de la cuenta.
  2. Abre admin.google.com en una nueva pestaña.
  3. Navega a Security → Access and data control → API controls.
  4. En la sección inferior, haz clic en "Manage Domain-wide Delegation".
  5. Haz clic en "Add new".
  6. Completa los campos:
    • Client ID: El número que copiaste en el paso 1
    • OAuth scopes: Copia y pega exactamente lo siguiente:
https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly
  1. Haz clic en "Authorize".

Desglose de los scopes solicitados:

ScopeQué permite leer
admin.directory.user.readonlyLista de usuarios, estado, última actividad, 2SV
admin.directory.group.readonlyGrupos y membresías
admin.directory.rolemanagement.readonlyRoles administrativos asignados
Nota: Todos los scopes son readonly — no permiten modificar nada en tu directorio.

---

Paso 5: Conectar en TecnetSOC

Con la cuenta de servicio configurada y los scopes autorizados, ya puedes completar la integración.

  1. Inicia sesión en portal.tecnetone.com.
  2. Ve a Integraciones en el menú lateral.
  3. En la tarjeta de Google Workspace, haz clic en "Configurar".
  4. Sube el archivo JSON de la cuenta de servicio (descargado en el Paso 3).
  5. Ingresa el correo del administrador que se usará para la delegación — debe ser un Super Admin de tu dominio (ejemplo: admin@tuempresa.com).
  6. Haz clic en "Validar y Conectar".
Nota: La primera sincronización puede tardar entre 5 y 15 minutos dependiendo del número de usuarios en tu dominio.

---

¿Qué verás en TecnetSOC después de conectar?

Los datos de Google Workspace se integran en el módulo de Identidades junto con los de otros proveedores (como Entra ID):

Dato sincronizadoDónde lo verás
Usuarios y estado de cuentaDashboard de Identidades → lista de usuarios
Estado de 2SV/MFA por usuarioKPI de cobertura MFA y detalle por usuario
Grupos y membresíasSección de grupos en el módulo de Identidades
Roles administrativosIndicador de usuarios privilegiados

---

Solución de problemas

ProblemaCausa probableSolución
Error 403 ForbiddenLa delegación de dominio no está configurada correctamenteVerifica en admin.google.com → API controls → Domain-wide Delegation que el Client ID y los 3 scopes sean correctos. No debe haber espacios extra.
"Admin SDK not enabled"La API no está habilitada en el proyecto de Google CloudVe a APIs & Services → Library en Google Cloud Console y habilita "Admin SDK API".
"Invalid credentials"El archivo JSON es incorrecto o pertenece a otro proyectoGenera una nueva clave JSON desde la cuenta de servicio correcta (Paso 3, punto 9).
No se sincronizan usuariosEl correo de administrador ingresado no tiene permisos suficientesUsa un correo con rol de Super Admin en Google Workspace. Roles menores no tienen acceso al directorio completo.
Faltan grupos o usuariosEl scope de grupos no fue autorizadoVerifica que los 3 scopes estén presentes en la delegación de dominio (Paso 4).

---

Preguntas frecuentes

¿TecnetSOC puede leer correos o archivos de mis usuarios?
No. Los scopes solicitados son exclusivamente de directorio (admin.directory.*). TecnetSOC no tiene acceso a Gmail, Drive, Calendar ni ningún otro servicio de Google.

¿Puedo tener Google Workspace y Entra ID conectados al mismo tiempo?
Sí. TecnetSOC consolida usuarios de múltiples proveedores de identidad en una sola vista. Si un usuario existe en ambos directorios, se mostrará con los datos de ambas fuentes.

¿Qué pasa si elimino la cuenta de servicio en Google Cloud?
La sincronización dejará de funcionar y verás un error de credenciales. Deberás crear una nueva cuenta de servicio y reconectar desde el Paso 3.

¿La sincronización consume cuota de mi cuenta de Google?
La Admin SDK API tiene límites generosos (queries per second). Una sincronización típica de cientos de usuarios genera menos del 1% de la cuota diaria disponible.

    • Related Articles

    • Configuración de Cloudflare Zero Trust

      Configuración de Cloudflare Zero Trust El módulo de Zero Trust de TecnetSOC se conecta directamente con tu cuenta de Cloudflare para sincronizar políticas DNS Gateway, aplicaciones de Access, dispositivos WARP y detecciones de Shadow IT. Este ...

    • Preguntas frecuentes (FAQ) — TecnetSOC

      Preguntas frecuentes (FAQ) — TecnetSOC Respuestas a las preguntas más comunes sobre el portal y el servicio de TecnetSOC. --- Sobre el servicio ¿Qué es TecnetSOC? TecnetSOC es el servicio de monitoreo y respuesta de seguridad de TecnetOne. Combina ...

    • Configuración inicial de Microsoft Entra ID

      Configuración inicial de Microsoft Entra ID El Módulo de Identidades de TecnetSOC se conecta directamente con Microsoft Entra ID (antes Azure Active Directory) para sincronizar usuarios, evaluar riesgos, analizar políticas de Acceso Condicional y ...

    • Solución de problemas — Módulo de Identidades

      Solución de problemas — Módulo de Identidades Este artículo cubre los problemas más frecuentes que pueden presentarse al configurar o usar el Módulo de Identidades de TecnetSOC, con sus causas probables y los pasos para resolverlos. --- "Sin datos" / ...

    • Análisis de brechas de Acceso Condicional

      Análisis de brechas de Acceso Condicional El Acceso Condicional (CA) de Microsoft Entra ID es el principal mecanismo de control de acceso para organizaciones en Microsoft 365 y Azure. Sin embargo, configurarlo correctamente requiere atender múltiples ...