Negocios y empresas
Proteja su empresa de los ciberdelincuentes.
Empieze la prueba gratuita¿Qué es el inicio de sesión único (SSO)?
- Glosario IAM
- ¿Qué es el inicio de sesión único (SSO)?
El inicio de sesión único (SSO) es una tecnología de autenticación que permite al usuario acceder a varias aplicaciones y servicios con un solo conjunto de credenciales de inicio de sesión. El principal objetivo del SSO es reducir el número de veces que el usuario tiene que introducir sus credenciales y facilitarle el acceso a todos los recursos que necesita sin tener que iniciar sesión varias veces.
Las plataformas SSO representan una función integral en la mayoría de sistemas de gestión de identidades y accesos (IAM) de organizaciones. Además, cuando el usuario utiliza la cuenta de una red social para acceder a otra página web (por ejemplo, la opción "Iniciar sesión con Facebook"), está también haciendo uso del SSO.
¿Cómo funciona el inicio de sesión único?
Los sistemas SSO funcionan estableciendo una relación de confianza entre un usuario, un proveedor de identidades (IdP) y las páginas web y aplicaciones que usan el inicio de sesión SSO, lo que se conoce como proveedores de servicios. Aquí tiene una visión general del proceso:
El usuario accede al proveedor de identidades. El usuario facilita al IdP su nombre de usuario y contraseña para que verifique la identidad del usuario y autentique la sesión.
El proveedor de identidades genera un token. Piense que ese token es como una tarjeta de identificación digital temporal que contiene información sobre la identidad del usuario y la sesión. El token, que se almacena tanto en el navegador del usuario como en los servidores del servicio SSO, se usará para pasar la información de identidad del usuario desde el IdP al proveedor del servicio.
El usuario accede a un proveedor de servicios. Cuando el usuario intenta acceder a la página web o aplicación, esta solicita la autenticación del IdP.
El IdP envía el token a la página web o aplicación. El IdP envía de forma segura un token cifrado de un solo uso a la aplicación o página web en la que el usuario quiere iniciar sesión.
La página web o aplicación usa la información del token para verificar la identidad del usuario. Tras la verificación correcta, el proveedor del servicio concede acceso al usuario para que pueda comenzar a utilizar la página web o aplicación.
¿Es seguro el inicio de sesión único?
Sí. De hecho, de forma general se considera que el inicio de sesión único es más seguro que los sistemas tradicionales de autenticación con nombre de usuario y contraseña, ya que el SSO reduce el número de contraseñas que el usuario tiene que recordar, lo que evita que adopte malas prácticas de seguridad con la contraseñas como crear contraseñas débiles oreutilizarlas en varias cuentas.
No obstante, al igual que con cualquier otra tecnología, los sistemas SSO deben configurarse y mantenerse adecuadamente para conseguir una seguridad óptima. Además, los sistemas SSO deben utilizarse junto con otros protocolos y herramientas IAM, incluidos la autenticación de varios factores, un completo gestor de contraseñas para empresas y controles de accesos basados en roles.
Tipos de inicio de sesión único
Todos los sistemas SSO tienen el mismo objetivo: permitir a los usuarios autenticarse una vez y acceder a varias aplicaciones y sistemas sin tener que iniciar sesión de nuevo. No obstante, ciertos protocolos y estándares pueden variar entre sistemas. Aquí tiene algunos de los términos más comunes que encontrará a la hora de trabajar con el SSO:
- El SSO federado es común en organizaciones muy grandes que tienen varias aplicaciones y sistemas repartidos entre diferentes departamentos y ubicaciones. Proporciona un acceso único a varios sistemas en diferentes organizaciones.
- El SSO basado en la web lo utilizan a menudo las organizaciones "nativas digitales" cuyos empleados trabajan íntegramente con aplicaciones y servicios basados en la nube.
- El lenguaje de marcado de aserción de seguridad (SAML) no es un "tipo" de SSO, sino un formato de datos estándar para intercambiar datos de autenticación y autorización entre las partes. El SAML se utiliza habitualmente en los sistemas SSO basados en la web.
- Kerberos es un protocolo de autenticación de red que ofrece una autenticación segura para los servicios de red que usan un sistema de "control de vales" digital. A diferencia de SAML, que se utiliza para autenticar aplicaciones web, Kerberos es una tecnología back-end que se encuentra en redes de área local (LAN) de empresas.
- El protocolo ligero de acceso a directorios (LDAP) es un protocolo de servicio de directorio utilizado para almacenar y recuperar datos sobre usuarios y recursos. Las soluciones SSO basadas en LDAP permiten a las organizaciones utilizar su servicio de directorio LDAP existente para gestionar usuarios para el SSO. Sin embargo, dado que el protocolo LDAP no se diseñó para funcionar de forma nativa con aplicaciones web, las organizaciones suelen utilizar su servidor LDAP como "fuente de verdad" autorizado (es decir, como proveedor de identidad) junto con el SSO basado en SAML.
Ventajas y desventajas del inicio de sesión único
Las principales ventajas del SSO incluyen:
Comodidad y experiencia de usuario mejorada: El SSO permite que los usuarios no tengan que recordar varias contraseñas ni nombres de usuario, por lo que pueden acceder a los servicios que necesitan de una forma más rápida y fácil.
Seguridad mejorada: El SSO ofrece a los administradores de TI una gestión centralizada sobre las identidades de los usuarios, lo que ayuda a mejorar la seguridad al darle a los administradores una mejor visibilidad y control sobre quién tiene acceso a qué. Esto puede ayudar a evitar los accesos no autorizados a la información más sensible.
Productividad aumentada: Los administradores pueden dedicar menos tiempo a la gestión de las identidades de los usuarios y los usuarios no tienen que perder tiempo buscando contraseñas. Una solución SSO también puede reducir drásticamente o incluso eliminar las solicitudes de asistencia técnica por contraseñas olvidadas.
Las principales desventajas del SSO incluyen:
Único punto de error: Si el sistema SSO deja de funcionar, los usuarios no podrán acceder a ninguno de los servicios que dependen de él, lo que puede provocar una interrupción significativa. Del mismo modo, si el sistema SSO se ve comprometido, los atacantes obtienen acceso a todos los proveedores de servicios incluidos. Por eso es fundamental asegurar las credenciales SSO con la autenticación de varios factores.
Complejidad: Poner en marcha un sistema SSO puede ser complejo y requiere una inversión significativa de tiempo y recursos.
Vulnerabilidad: Si el sistema SSO no se mantiene adecuadamente, los atacantes podrían comprometerlo y conseguir acceso a múltiples servicios.
Limitaciones: No todas las aplicaciones son compatibles con el SSO, sobre todo las aplicaciones de línea de negocio (LOB) heredadas que realizan funciones empresariales back-end críticas, y no son fáciles de refactorizar o sustituir. Un gestor de contraseñas empresarial sólido cubre ese vacío.
Cómo poner en marcha el inicio de sesión único
Poner en marcha una solución de inicio de sesión único es un importante proyecto de TI que debe llevarse a cabo cuidadosamente. Estos son los principales pasos que hay que seguir:
Recuerde evitar usar correos electrónicos, mensajes de texto y llamadas de teléfono como factor de autenticación a menos que la página web o aplicación no permita otro tipo de métodos.
Defina sus requisitos: Determine qué servicios y aplicaciones se incluirán en la implementación del SSO, así como los requisitos de seguridad y control de accesos para cada uno. No se olvide de sus requisitos de seguridad, como la autenticación de varios factores, la gestión de contraseñas y el control de accesos basados en roles.
Elija una solución SSO: Seleccione una solución SSO, o una combinación de soluciones, que se ajuste a sus requisitos.
Configure su proveedor de identidades: Configure el componente IdP de una solución SSO. Su IdP será el responsable de autenticar a los usuarios y ofrecer su información de identidad a los proveedores de servicios incluidos.
Integre proveedores de servicios: Integre cada página web y aplicación con la solución SSO. Esto implica configurar cada proveedor de servicios para comunicarse con el IdP y recibir la información sobre la identidad del usuario y verificar la autenticidad de la sesión SSO.
Pruebe la puesta en funcionamiento del SSO: Seleccione un pequeño grupo de usuarios de prueba y asegúrese de que todavía pueden acceder a los servicios y aplicaciones necesarios con un conjunto de credenciales.
Despliegue la solución SSO en toda la empresa: En función de sus necesidades y entorno de datos, esto podría suponer el despliegue de los componentes del proveedor de identidades y del proveedor de servicios en servidores independientes o su integración en la infraestructura existente.
Supervise y mantenga la solución SSO: Supervise de forma regular la solución SSO para asegurarse de que funciona correctamente y poder abordar los problemas que surjan.
Es importante tener en cuenta que implementar el SSO requiere una significativa inversión de tiempo y recursos, así como disponer de varios meses para completar el proceso. También es importante trabajar con profesionales de TI que tengan experiencia con las soluciones SSO y con las mejores prácticas de seguridad para asegurar que la puesta en marcha se realiza correctamente.
