¿Qué es el SSO de inicio de sesión único?

21 de noviembre.

El inicio de sesión único (SSO) es un método de autenticación que permite a los usuarios acceder a múltiples aplicaciones o servicios con un solo conjunto de credenciales de inicio de sesión.

¿Qué es el inicio de sesión único?

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único es un patrón de federación de identidad en el que un usuario se autentica una vez con un proveedor de identidad (IdP) confiable y luego recibe afirmaciones o tokens firmados criptográficamente que otros Postulaciones (denominados proveedores de servicios) aceptan como prueba de identidad. Tras el inicio de sesión inicial, el IdP emite credenciales con límite temporal (p. ej., aserciones SAML o tokens de ID de OpenID Connect) que el cada navegador or Cliente presenta a cada aplicación, la cual verifica la firma, audiencia y expiración antes de establecer su propia sesión.

Debido a que la confianza está anclada en el IdP y se transmite a través de protocolos basados ​​en estándares, SSO permite que sistemas independientes compartan una visión consistente de quién es el usuario, qué atributos tiene y cuánto tiempo lleva su cuenta. autenticación debe considerarse válido.

Tipos de inicio de sesión único

A continuación se presentan los tipos más comunes que encontrará y lo que logra cada uno.

Federación SAML 2.0

Lenguaje de marcado de aserción de seguridad (SAML) Es un estándar basado en XML ampliamente utilizado para el inicio de sesión único (SSO) del navegador en la empresa. SaaSDespués de autenticarse en el proveedor de identidad (IdP), el navegador del usuario recibe una afirmación SAML firmada que el proveedor de servicios (SP) valida para establecer una sesión.

SAML es maduro, se destaca en la publicación de atributos empresariales (roles, grupos) y es común para HRIS a SaaS y ADFS acloud integraciones

Conexión OpenID (OIDC)

OIDC se basa en OAuth 2.0 y utiliza tokens web JSON (JWT) para la identidad. Tras autenticarse con el proveedor de identidad (IdP), el cliente obtiene un token de identificación (quién es usted) y, a menudo, un token de acceso (cómo puede llamarlo).

OIDC es más ligero que SAML, móvil y API-Amigable e ideal para personas modernas. web y aplicaciones móviles, solicitudes de una sola página (SPA) y microservicios que necesitan tokens estandarizados y compactos.

Kerberos/Autenticación integrada de Windows (IWA)

En el SSO basado en Kerberos (p. ej., con Active Directory), el sistema operativo adquiere un ticket de un Centro de Distribución de Claves y lo presenta de forma transparente a los servicios, lo que permite un SSO "silencioso" en redes corporativas. Es rápido, con capacidad de autenticación mutua y excelente para aplicaciones locales e intranets, ya que las configuraciones modernas suelen conectar las identidades Kerberos con... cloud a través de la federación.

SSO respaldado por OAuth 2.0 (acceso basado en token)

OAuth en sí mismo es un marco de autorización, no un protocolo de identidad, pero muchas implementaciones de SSO lo combinan con OIDC o puntos finales de identidad personalizados para permitir que los usuarios inicien sesión una sola vez y obtengan tokens de acceso para las API. El resultado es un SSO en las capas web y de servicio con tokens de corta duración, ámbitos y flujos de actualización adecuados para diseños de confianza cero.

Federación WS (WS-Fed)

Un protocolo de federación de Microsoft más antiguo, orientado a SOAP, aún presente en escenarios heredados de ADFS y SharePoint. Permite el inicio de sesión único (SSO) en navegadores de forma similar a SAML, pero es menos común en proyectos nuevos. En cambio, las organizaciones suelen migrar aplicaciones WS-Fed a OIDC/SAML como parte de... cloud modernización.

CAS (Servicio de autenticación central)

Se trata de un protocolo sencillo de concesión de tickets, popular en la educación superior. Los usuarios se autentican en un CAS central. server, que emite tickets de servicio que las aplicaciones validan. CAS es fácil de operar y ampliar, pero carece de los ecosistemas de reclamaciones y tokens más completos de SAML/OIDC.

SSO basado en encabezado/proxy inverso

Una puerta de enlace autentica a los usuarios (mediante Kerberos, SAML, OIDC o MFA) e inyecta encabezados de identidad (p. ej., X-Remote-User) en aplicaciones de backend que no utilizan protocolos de federación. Resulta útil para modernizar aplicaciones heredadas, pero la seguridad depende de confiar estrictamente solo en... apoderado y reforzar el acceso directo a las aplicaciones.

Bóveda de contraseñas/SSO con llenado de formularios

Como método de último recurso para aplicaciones sin soporte de federación, una puerta de enlace de acceso almacena de forma segura las credenciales por usuario y las registra mediante programación. Mejora la comodidad, pero no proporciona una verdadera federación, y tareas como la rotación de credenciales, MFA La aplicación y la auditoría se vuelven más complejas que con el SSO basado en estándares.

¿Cómo funciona el inicio de sesión único?

El SSO permite a un usuario autenticarse una vez con un proveedor de identidad de confianza y reutilizar esa prueba para acceder de forma segura a diversas aplicaciones (proveedores de servicios, SP). Así es como funciona:

  1. Iniciación y descubrimiento de IdP. El usuario intenta abrir una aplicación. La aplicación (SP) no detecta ninguna sesión local y redirige al usuario (generalmente mediante metadatos SAML/OIDC) al IdP correcto, estableciendo dónde se establecerá la confianza y el inicio de sesión.
  2. Autenticación de usuario en el IdP. El IdP valida la identidad utilizando métodos configurados, como una contraseña y MFA, claves de acceso o controles de postura del dispositivo, creando un nuevo contexto de autenticación con una marca de tiempo precisa y un nivel de seguridad.
  3. Emisión de token/afirmación. En caso de éxito, el IdP emite una credencial firmada y con límite de tiempo (por ejemplo, afirmación SAML, token de identificación OIDC y token de acceso) que contiene el identificador del usuario y las reclamaciones/atributos.
  4. Entrega segura de regreso a la aplicación. El navegador o cliente regresa al SP con la credencial a través de un enlace seguro (POST/intercambio de token de canal frontal o canal posterior de redirección), preservando la integridad y evitando la manipulación o reproducción.
  5. Verificación y creación de sesión. El SP valida la firmaAudiencia, emisor, nonce y vencimiento. Si se superan las comprobaciones, se establece una sesión de aplicación (cookie o token) y se aplica la autorización según roles o notificaciones.
  6. Actualización y aumento de token (según sea necesario). A medida que las sesiones envejecen o aumenta la sensibilidad del acceso, el cliente utiliza flujos de actualización o nueva autorización para obtener nuevos tokens o aumentar la MFA, manteniendo el acceso continuo sin inicios de sesión completos repetidos.
  7. Cierre de sesión y revocación. Cuando el usuario cierra sesión o se detecta un riesgo, el SP finaliza la sesión. Opcionalmente, el cierre de sesión único (SLO) o la revocación de canal secundario en el IdP propagan el cierre de sesión a otras aplicaciones para cerrar las sesiones restantes.

¿Qué es un ejemplo de un SSO?

ejemplo de sso

Un ejemplo de SSO es cuando un empleado accede a Salesforce sin una sesión local, por lo que Salesforce lo redirige a Okta (el proveedor de identidad de la organización). El usuario completa el inicio de sesión y la autenticación multifactor (MFA) de Okta, y Okta emite una aserción SAML firmada y de corta duración que contiene el ID y los roles del usuario.

El navegador envía esta aserción a Salesforce, que verifica la firma, la audiencia y la caducidad. Posteriormente, crea su propia sesión y aplica los permisos del usuario, por lo que no se requiere una contraseña de Salesforce adicional. Los inicios de sesión posteriores en otras aplicaciones conectadas (p. ej., ServiceNow, Box) reutilizan la sesión de Okta, lo que proporciona un acceso fluido entre aplicaciones con políticas y auditorías centralizadas.

¿Cuáles son los beneficios y desventajas del inicio de sesión único?

El inicio de sesión único optimiza el acceso al permitir a los usuarios autenticarse una sola vez y acceder a varias aplicaciones, lo que mejora la experiencia del usuario y centraliza los controles de seguridad. Sin embargo, concentrar la autenticación también conlleva riesgos y complejidad: si el nivel de identidad falla o está mal configurado, muchas aplicaciones se ven afectadas simultáneamente. Por ello, es necesario un diseño cuidadoso para equilibrar la comodidad con unas sólidas medidas de seguridad.

¿Cuáles son los beneficios del inicio de sesión único?

El SSO mejora la experiencia del usuario y centraliza el control al federar la autenticación mediante un proveedor de identidad de confianza. Sus principales ventajas son:

  • Menos contraseñas, mejor UX. Los usuarios inician sesión una vez y acceden a todas las aplicaciones, lo que reduce la fricción y la fatiga del inicio de sesión.
  • Controles de seguridad más fuertes. La MFA centralizada, las claves de acceso, las verificaciones de la postura del dispositivo y el acceso condicional se aplican de manera uniforme en todas las aplicaciones.
  • Incorporación y salida más rápida. La concesión o revocación de acceso proviene de un registro de identidad, por lo que los cambios se propagan a todos los servicios conectados.
  • Menores costos de soporte. Menos restablecimientos de contraseñas y bloqueos de cuentas significan menos tickets de soporte técnico.
  • Gobernanza consistente. Los roles, grupos y políticas basadas en atributos se aplican de la misma manera en todas partes, lo que respalda privilegios mínimos.
  • Mejor visibilidad y auditoría. Los registros centrales y los tokens estandarizados simplifican la supervisión, respuesta al incidente, y elaboración de informes de cumplimiento.
  • Reducción phishing, riesgo. Los usuarios reconocen un flujo de inicio de sesión de IdP único y reforzado, por lo que hay menos contraseñas específicas de aplicaciones para robar.
  • Preparación para aplicaciones modernas y API. Los estándares (OIDC/SAML/OAuth) permiten el acceso seguro para la web, dispositivos móviles y microservicios con tokens de corta duración.
  • Gestión de cambios más segura. La duración de los tokens, las políticas de sesión y la autenticación progresiva le permiten aumentar la seguridad de las acciones confidenciales sin nuevos inicios de sesión.
  • Productividad mejorada. El acceso sin inconvenientes entre aplicaciones acorta los cambios de contexto y acelera los flujos de trabajo.

¿Cuáles son las desventajas del inicio de sesión único?

La centralización de la autenticación ofrece beneficios reales, pero también genera riesgos técnicos y operativos que deben gestionarse. Estos son los principales desafíos:

  • Punto único de fallo y radio de explosión. Si el IdP no funciona o está mal configurado, muchas aplicaciones se vuelven inaccesibles a la vez.
  • Riesgo de mala configuración. La validación de tokens débil (audiencia/emisor/nonce), los vencimientos largos o la liberación permisiva de atributos pueden abrir las puertas a la suplantación de identidad y la proliferación de privilegios.
  • Higiene de sesiones y tokens. Equilibrar la conveniencia con la seguridad (como administrar tiempos de espera inactivos y absolutos, tokens de actualización, MFA incremental) es complicado, y las sesiones demasiado largas aumentan el riesgo de adquisición.
  • Certificado y gestión de claves. Rotación de claves de firma, manejo metadatos Las actualizaciones y los desfases del reloj requieren operaciones disciplinadas o los inicios de sesión pueden fallar silenciosamente.
  • Complejidad de cierre de sesión. La compatibilidad con el cierre de sesión único (SLO) es inconsistente y los cierres de sesión parciales dejan sesiones de aplicaciones residuales.
  • Casos heredados y extremos. Las aplicaciones no federadas fuerzan el almacenamiento de contraseñas o la inyección de encabezados, lo que agrega fragilidad y una seguridad más débil que la federación real.
  • Vinculación y ciclo de vida de cuentas. El mapeo de identidades entre directorios e inquilinos, el aprovisionamiento JIT y el desaprovisionamiento oportuno son propensos a errores sin un RR.HH. limpio y AMI fuentes.
  • Explosión de políticas de acceso. El acceso condicional, la postura del dispositivo y las excepciones por aplicación pueden volverse difíciles de entender, lo que provoca interrupciones o brechas.
  • Proveedor y el bloqueo de los estándares. Las características propietarias o las peculiaridades del protocolo hacen que las migraciones sean costosas y las estrategias de múltiples IdP más difíciles.
  • Privacidad y minimización de datos. Compartir demasiados atributos entre aplicaciones aumenta la exposición, por lo que se necesitan controles de consentimiento y liberación de atributos mínimos.
  • Concentración de phishing y abuso. Un único flujo reforzado ayuda, pero si los atacantes capturan las credenciales/sesión del IdP, heredan un acceso amplio.

Preguntas frecuentes sobre el inicio de sesión único

Aquí encontrará las respuestas a las preguntas más frecuentes sobre el inicio de sesión único.

¿Cuál es la diferencia entre SSO y AD?

Examinemos las diferencias entre el inicio de sesión único y Active Directory (AD) con más detalle:

Aspecto Inicio de sesión único (SSO)Active Directory (AD)
DefiniciónUn método de autenticación que permite a los usuarios acceder a múltiples sistemas con un solo inicio de sesión a través de un proveedor de identidad centralizado.Un servicio de directorio desarrollado por Microsoft para almacenar y administrar usuarios, computadoras y políticas dentro de un dominio de Windows.
Función primariaFedera la autenticación en múltiples aplicaciones y servicios, a menudo en diferentes dominios o plataformas.Administra identidades de red locales, recursos y políticas de seguridad en entornos basados ​​en Windows.
<b></b><b></b>Multiplataforma y cloud-amigable; funciona con aplicaciones web, SaaS y API.Principalmente local y centrado en Windows, aunque se puede integrar con Azure AD para cloud utilizar.
Mecanismo de autenticaciónUtiliza protocolos de federación como SAML, OAuth 2.0 o OpenID Connect.Utiliza Kerberos y NTLM para la autenticación dentro de un dominio de Windows.
almacenamiento de identidadSe basa en un proveedor de identidad externo (IdP) que autentica a los usuarios y emite tokens.Almacena cuentas de usuario y de computadora en un directorio centralizado basado en LDAP.
Modelo de accesoProporciona acceso a múltiples aplicaciones independientes después de una autenticación.Proporciona acceso a recursos de red (recursos compartidos de archivos, impresoras, dominio servicios) dentro de una sola organización.
La experiencia del usuarioUn solo inicio de sesión otorga acceso a muchos cloud y aplicaciones web sin problemas.Los usuarios inician sesión en su cuenta de dominio para acceder a los recursos internos automáticamente.
ImplementaciónSe puede implementar mediante IdP como Okta, Azure AD, Ping Identity o Google Workspace.Viene integrado en Windows Server entornos como parte de la gestión del dominio.
Caso de usoUnificar la autenticación para cloud, SaaS y entornos híbridos.Centralización del control de identidad y acceso para redes empresariales de Windows.
RelaciónSSO puede utilizar AD como su fuente de identidad; AD puede actuar como directorio back-end para una solución SSO.AD a menudo respalda el SSO al proporcionar el directorio de usuarios y los tickets Kerberos utilizados en la autenticación integrada.

¿Es seguro el inicio de sesión único?

Sí, cuando se implementa correctamente, el inicio de sesión único es muy seguro, ya que centraliza controles sólidos (MFA/claves de acceso, acceso condicional, comprobaciones de la postura del dispositivo) en un proveedor de identidad reforzado y emite tokens firmados de corta duración que cada aplicación verifica. Los principales riesgos se derivan de la arquitectura, más que del propio SSO. Una interrupción o una configuración incorrecta del IdP puede afectar a muchas aplicaciones, y los tokens de larga duración o con una validación débil aumentan el riesgo de robo de identidad.

El SSO también debe combinarse con reclamos de privilegios mínimos, validación estricta de tokens (emisor/audiencia/nonce/vencimiento), rotación de claves y sincronización de reloj, monitoreo continuo con detección de anomalías, autenticación incremental para acciones sensibles y arquitectura IdP resistente (redundancia, limitación de velocidad, Protección DDoS). Con estas medidas de seguridad, el SSO generalmente mejora la seguridad en comparación con los inicios de sesión aislados por aplicación.

¿Vale la pena el inicio de sesión único?

Sí, el inicio de sesión único suele ser una opción rentable para la mayoría de las organizaciones, ya que simplifica la autenticación y mejora la seguridad y la productividad. El inicio de sesión centralizado reduce la fatiga de las contraseñas, la reutilización deficiente de credenciales y la sobrecarga del servicio de asistencia técnica derivada del restablecimiento de contraseñas. Además, permite la aplicación uniforme de políticas como la autenticación multifactor y el acceso condicional en todas las aplicaciones conectadas.

El esfuerzo inicial de configuración y la dependencia de un proveedor de identidad confiable son compensaciones reales, pero los beneficios a largo plazo. Una postura de seguridad más sólida, una incorporación y salida más rápidas, una mejor visibilidad del cumplimiento normativo y una experiencia de usuario más fluida suelen compensar la complejidad y el costo de la implementación.

Anastasia
Spasojevic
Anastazija es una escritora de contenido experimentada con conocimiento y pasión por cloud informática, tecnología de la información y seguridad en línea. En phoenixNAP, se centra en responder preguntas candentes sobre cómo garantizar la solidez y seguridad de los datos para todos los participantes en el panorama digital.