¿Qué es el inicio de sesión único (SSO)?
- Glosario IAM
- ¿Qué es el inicio de sesión único (SSO)?
El inicio de sesión único (SSO, por sus siglas en inglés) es una tecnología de autenticación que permite al usuario acceder a varias aplicaciones y servicios con un solo conjunto de credenciales de inicio de sesión. El principal objetivo del SSO es reducir la cantidad de veces que el usuario tiene que ingresar sus credenciales y facilitarle el acceso a todos los recursos que necesita sin tener que iniciar sesión varias veces.
Las plataformas SSO representan una función integral en la mayoría de sistemas de gestión de identidades y accesos (IAM) de organizaciones. Además, cuando el usuario utiliza la cuenta de una red social para acceder a otro sitio web (por ejemplo, la opción Iniciar sesión con Facebook), también está haciendo uso del SSO.
¿Cómo funciona el inicio de sesión único?
Los sistemas SSO funcionan estableciendo una relación de confianza entre un usuario, un proveedor de identidades (IdP) y los sitios web y aplicaciones que usan el inicio de sesión SSO, lo que se conoce como proveedores de servicios. La siguiente es una visión general del proceso:
El usuario accede al proveedor de identidades. El usuario facilita al IdP su nombre de usuario y contraseña para que verifique la identidad del usuario y autentique la sesión.
El proveedor de identidades genera un token. Piense que ese token es como una tarjeta de identificación digital temporal que contiene información sobre la identidad del usuario y la sesión. El token, que se almacena tanto en el navegador del usuario como en los servidores del servicio SSO, se usará para pasar la información de identidad del usuario desde el IdP al proveedor del servicio.
El usuario accede a un proveedor de servicios. Cuando el usuario intenta acceder al sitio web o la aplicación, esta solicita la autenticación del IdP.
El IdP envía el token al sitio web o la aplicación. El IdP envía de forma segura un token cifrado de un solo uso a la aplicación o sitio web en el que el usuario quiere iniciar sesión.
El sitio web o aplicación usa la información del token para verificar la identidad del usuario. Tras la verificación correcta, el proveedor del servicio concede acceso al usuario para que pueda comenzar a utilizar el sitio web o la aplicación.
¿Es seguro el inicio de sesión único?
Sí. De hecho, por lo general se considera que el inicio de sesión único es más seguro que los sistemas tradicionales de autenticación con nombre de usuario y contraseña, ya que el SSO reduce la cantidad de contraseñas que el usuario tiene que recordar, lo que evita que adopte malas prácticas de seguridad con las contraseñas como crear contraseñas poco seguras o reutilizarlas en varias cuentas.
No obstante, al igual que con cualquier otra tecnología, los sistemas SSO deben configurarse y mantenerse adecuadamente para tener una seguridad óptima. Además, los sistemas SSO deben utilizarse junto con otros protocolos y herramientas IAM, incluidos la autenticación multifactor, un gestor de contraseñas exhaustivo para empresas y controles de accesos basados en roles.
Tipos de inicio de sesión único
Todos los sistemas SSO tienen el mismo objetivo: permitir a los usuarios autenticarse una vez y acceder a varias aplicaciones y sistemas sin tener que iniciar sesión de nuevo. No obstante, ciertos protocolos y normas pueden variar entre sistemas. Estos son algunos de los términos más comunes que encontrará a la hora de trabajar con el SSO:
- El SSO federado es común en organizaciones muy grandes que tienen varias aplicaciones y sistemas repartidos entre diferentes departamentos y ubicaciones. Proporciona un acceso único a varios sistemas en diferentes organizaciones.
- Al SSO basado en la Web lo utilizan a menudo las organizaciones nativas digitales cuyos empleados trabajan íntegramente con aplicaciones y servicios basados en la nube.
- El lenguaje de marcado de aserción de seguridad (SAML) no es un tipo de SSO, sino un formato de datos estándar para intercambiar datos de autenticación y autorización entre las partes. El SAML se utiliza habitualmente en los sistemas SSO basados en la Web.
- Kerberos es un protocolo de autenticación de red que ofrece una autenticación segura para los servicios de red que usan un sistema de tickets digital. A diferencia de SAML, que se utiliza para autenticar aplicaciones web, Kerberos es una tecnología back-end que se encuentra en redes de área local (LAN) de empresas.
- El protocolo ligero de acceso a directorios (LDAP) es un protocolo de servicio de directorio utilizado para almacenar y recuperar datos sobre usuarios y recursos. Las soluciones SSO basadas en LDAP permiten a las organizaciones utilizar su servicio de directorio LDAP existente para gestionar usuarios para el SSO. Sin embargo, dado que el protocolo LDAP no se diseñó para funcionar de forma nativa con aplicaciones web, las organizaciones suelen utilizar su servidor LDAP como fuente de verdad autorizada (es decir, como proveedor de identidad) junto con el SSO basado en SAML.
Ventajas y desventajas del inicio de sesión único
Las principales ventajas del SSO incluyen:
Comodidad y experiencia del usuario mejorada: El SSO permite que los usuarios no tengan que recordar varias contraseñas ni nombres de usuario, por lo que pueden acceder a los servicios que necesitan de una forma más rápida y fácil.
Seguridad mejorada: El SSO ofrece a los administradores de TI una gestión centralizada sobre las identidades de los usuarios, lo que ayuda a mejorar la seguridad al darle a los administradores una mejor visibilidad y control sobre quién tiene acceso a qué. Esto puede ayudar a evitar los accesos no autorizados a la información más sensible.
Productividad aumentada: Los administradores pueden dedicarle menos tiempo a la gestión de las identidades de los usuarios y los usuarios no tienen que perder tiempo buscando contraseñas. Una solución SSO también puede reducir drásticamente o incluso eliminar las solicitudes de asistencia técnica por contraseñas olvidadas.
Las principales desventajas del SSO incluyen:
Único punto de error: Si el sistema SSO deja de funcionar, los usuarios no podrán acceder a ninguno de los servicios que dependen de él, lo que puede provocar una interrupción significativa. Del mismo modo, si el sistema SSO se ve vulnerado, los actores de amenazas obtienen acceso a todos los proveedores de servicios incluidos. Por eso es fundamental asegurar las credenciales SSO con la autenticación multifactor.
Complejidad: Implementar un sistema SSO puede ser complejo y requiere una inversión importante de tiempo y recursos
Vulnerabilidad: Si no se realiza el mantenimiento adecuado del sistema SSO, los actores de amenazas podrían vulnerarlo y conseguir acceso a múltiples servicios.
Limitaciones: No todas las aplicaciones son compatibles con SSO, sobre todo las aplicaciones de línea de negocio (LOB) heredadas que realizan funciones empresariales back-end cruciales, y no son fáciles de refactorizar o sustituir. Un gestor de contraseñas empresarial sólido cubre ese vacío.
Cómo implementar el inicio de sesión único (SSO)
Implementar una solución de inicio de sesión único es un importante proyecto de TI que debe llevarse a cabo con cuidado. Estos son los principales pasos que hay que seguir:
Recuerde evitar usar correos electrónicos, mensajes de texto y llamadas telefónicas como factor de autenticación a menos que el sitio web o la aplicación no permita otros métodos.
Defina sus requisitos: Determine cuáles servicios y aplicaciones se incluirán en la implementación del SSO, así como los requisitos de seguridad y control de acceso para cada uno. No se olvide de sus requisitos de seguridad, como la autenticación multifactor, la gestión de contraseñas y el control de acceso basado en roles.
Elija una solución SSO: Seleccione una solución SSO, o una combinación de soluciones, que se ajuste a sus requisitos.
Configure su proveedor de identidades (IdP): Configure el componente IdP de la solución SSO. Su IdP será el responsable de autenticar a los usuarios y ofrecer su información de identidad a los proveedores de servicios incluidos.
Integre proveedores de servicios: Integre cada sitio web y aplicación con la solución SSO. Esto implica configurar cada proveedor de servicios para comunicarse con el IdP con el fin de recibir la información sobre la identidad del usuario y verificar la autenticidad de la sesión SSO.
Pruebe la implementación del SSO: Seleccione un pequeño grupo de usuarios de prueba y asegúrese de que todavía puedan acceder a los servicios y aplicaciones necesarios con un solo conjunto de credenciales.
Implemente la solución SSO en toda la empresa: En función de sus necesidades y entorno de datos, esto podría suponer la implementación de los componentes del IdP y del proveedor de servicios en servidores independientes o su integración en la infraestructura existente.
Supervise y mantenga la solución SSO: Supervise de forma regular la solución SSO para asegurarse de que funciona correctamente y de poder enfrentar los problemas que surjan.
Es importante tener en cuenta que implementar el SSO requiere una gran inversión de tiempo y recursos, así como de disponer de varios meses para completar el proceso. También es importante trabajar con profesionales de TI que tengan experiencia con las soluciones SSO y con las mejores prácticas de seguridad para asegurar que la implementación se realice correctamente.