Cómo funciona el inicio de sesión único (SSO)

¿Qué es el inicio de sesión único?

El inicio de sesión único, a veces denominado SSO, es un tipo de autenticación que permite a los usuarios utilizar un solo conjunto de credenciales de acceso (p, ej., nombre de usuario y contraseña) para acceder a múltiples aplicaciones, sitios web o servicios. A diferencia de otras opciones de control de acceso, el inicio de sesión único puede ser utilizado por pequeñas, medianas y grandes empresas para eliminar la necesidad de iniciar sesión en diversas ocasiones o de recordar diferentes contraseñas.

Cómo funciona el inicio de sesión único

El inicio de sesión único se basa en un acuerdo de gestión de identidades federadas (también conocido como federación de identidades) entre múltiples dominios de confianza (p. ej., una organización que les permite a sus usuarios utilizar los mismos datos de identificación para acceder a todos los recursos). Los sistemas locales utilizan los dominios de confianza para autenticar usuarios.

El inicio de sesión único usa estándares abiertos, como el Lenguaje de Marcado de Aserciones de Seguridad (SAML), OAuth u OpenID, los cuales permiten que servicios externos (p. ej., sitios web, aplicaciones, etc.) usen la información de la cuenta de los usuarios sin exponer sus contraseñas. La información de identidad se envía como tókenes que contienen los datos de los usuarios, como su correo electrónico o nombre de usuario.

A continuación, se muestra un resumen del proceso del inicio de sesión único.

1. El usuario abre el sitio web o la aplicación y, si no ha iniciado sesión, aparece una solicitud de inicio de sesión con una opción de inicio de sesión único.
2. El usuario ingresa sus credenciales de acceso (p. ej., nombre de usuario y contraseña) en el formulario de inicio de sesión único.
3. El sitio web o aplicación genera un token de inicio de sesión único y envía una solicitud de autenticación al sistema de inicio de sesión único.
4. El sistema de inicio de sesión único revisa el dominio de confianza para determinar si el usuario fue autenticado.
5. Si el usuario no fue autenticado, lo enviará a un sistema de inicio de sesión para que se autentique con sus credenciales de acceso.
6. Si el usuario fue autenticado, se enviará un token al sitio web o aplicación para confirmar el éxito de la autenticación y otorgarle el acceso al usuario.

Si un usuario introduce credenciales incorrectas, se le pedirá que las vuelva a introducir. Por lo general, si se realizan múltiples intentos fallidos, se bloqueará el usuario durante cierto periodo de tiempo o se bloqueará por completo después de numerosos intentos.

Tókenes de inicio de sesión único

El token de inicio de sesión único consiste en un archivo digital que se utiliza para trasladar un conjunto de datos o información entre los sistemas durante el proceso de inicio de sesión único. Contiene información de identificación del usuario, como su nombre de usuario o dirección de correo electrónico, y datos del sistema que envía el token.

Con el fin de garantizar que los tókenes provengan de una fuente de confianza, deben estar firmados digitalmente. Durante el proceso de configuración inicial del inicio de sesión único, se intercambia el certificado digital.

Seguridad e inicio de sesión único

El inicio de sesión único se utiliza ampliamente porque simplifica el acceso y elimina la proliferación de nombres de usuario y contraseñas que ocasionan dolores de cabeza a los usuarios y administradores, especialmente en las empresa que cuentan con cientos o miles de aplicaciones. Sin embargo, el inicio de sesión único no está libre de riesgos.

Las organizaciones que implementan el inicio de sesión único deben considerar y mitigar los riesgos, ya que un conjunto único de credenciales puede proporcionar acceso no autorizado a diversas aplicaciones y procesos. Entre los problemas comunes relacionados con el inicio de sesión único se encuentran:

1. Secuestro de cuentas
2. Filtraciones de datos que pueden causar fugas de datos, pérdida de datos y pérdidas financieras
3. Suplantación de identidad
4. Secuestro de sesión

La regulación de identidades y la autenticación multifactor son dos medidas de seguridad efectivas que se pueden implementar junto con el inicio de sesión único para proporcionar explotación de la protección.

Regulación de identidades

La regulación de identidades es una iniciativa basada en políticas que ayuda a los administradores a gestionar y controlar mejor el acceso del inicio de sesión único. La regulación de identidades ofrece a los administradores una visibilidad integral de qué empleado tiene acceso a qué sistemas y datos, y les permite detectar credenciales débiles, accesos inapropiados e infracciones de políticas.

Los administradores utilizan las herramientas de regulación de identidades para cambiar, revocar o eliminar los niveles variantes de acceso si tienen la sospecha (o evidencias) de que se comprometieron las credenciales de inicio de sesión único de un usuario.

Autenticación multifactor (MFA)

La implementación de la autenticación multifactor o de dos factores (2FA) con el inicio de sesión único ayuda a mantener seguros los dominios de confianza, ya que se necesita una verificación de identidad adicional, además de las credenciales de inicio de sesión único, para poder acceder. Se puede implementar la autenticación multifactor en todas las cuentas asociadas con el inicio de sesión único para ofrecer una mayor protección.

Cómo implementar el inicio de sesión único

1. Fijar objetivos para la implementación del inicio de sesión único.
2. Determinar los requisitos y los usuarios.
3. Evaluar las capacidades existentes e identificar brechas.
4. Definir el control de acceso y otros requisitos.
5. Asegurarse de que la arquitectura de TI de las organizaciones sea compatible con el inicio de sesión único y realizar ajustes para solucionar las deficiencias.
6. Crear una lista de soluciones que cumpla los criterios principales.
7. Hacer una evaluación de las opciones para identificar la solución óptima.
8. Trabajar con los equipos de TI y de seguridad para garantizar que la implementación del inicio de sesión único cumpla los requisitos de TI y de usuario.

Tipos de SSO

Inicio de sesión único empresarial

El inicio de sesión único empresarial, conocido también como E-SSO, se implementa en entornos de integración de aplicaciones empresariales (EAI). El inicio de sesión único empresarial les permite a los usuarios acceder a todas las aplicaciones, alojadas localmente o en la nube, mediante un conjunto único de credenciales de acceso.

Gracias al inicio de sesión único empresarial, los administradores obtienen las credenciales cuando los usuarios inician sesión en un principio y las utilizan automáticamente para autenticar los inicios de sesión posteriores en otras aplicaciones y sistemas. Con la centralización de los nombres de usuario y contraseñas, el inicio de sesión único empresarial evita que los administradores realicen largas tareas de gestión de nombres de usuario y contraseñas. Según los controles que establezcan los administradores, los usuarios pueden otorgar acceso a las aplicaciones durante cierta cantidad de tiempo sin el soporte de los administradores.

Inicio de sesión único federado

El inicio de sesión único federado utiliza protocolos de SSO estándar del sector que permiten a los usuarios acceder a sitios web sin tener que lidiar con los obstáculos de autenticación. Amplía el inicio de sesión único estándar mediante la unión de grupos diversos en un sistema centralizado de autenticación. El inicio de sesión único federado se puede utilizar para otorgar acceso a diversos sistemas dentro de una sola empresa o empresas dispares.

Inicio de sesión único móvil

Con el inicio de sesión único móvil, una sola identidad puede otorgar acceso a diversas aplicaciones móviles conectadas. Los tókenes de acceso se almacenan en el keychain del sistema operativo del dispositivo móvil, lo que permite que se reconozcan las sesiones activas.

Inicio de sesión único con tarjeta inteligente

En vez de basarse en tókenes digitales y software, el inicio de sesión único con tarjeta inteligente utiliza una tarjeta física para autenticar usuarios. El inicio de sesión único con tarjeta inteligente necesita que un usuario use las credenciales que están almacenadas en la tarjeta para llevar a cabo el inicio de sesión inicial. Se requiere un lector para obtener la información de la tarjeta. Además, las tarjetas deben contar con una banda magnética o algún método de transferencia de datos sin contacto.

Inicio de sesión único web

Con el inicio de sesión único web, los usuarios pueden acceder a múltiples sitios web conectados mediante un solo inicio de sesión. Una vez que el usuario inicie sesión en una propiedad, se puede mover de una a otra y será reconocido, autenticado y de confianza.

Por lo general, el inicio de sesión único web se emplea para aplicaciones que se acceden mediante sitios web. Existen dos técnicas principales para configurar el inicio de sesión único web.

1. El inicio de sesión único se gestiona dentro de la aplicación web o mediante agentes en aplicaciones protegidas. Uno de los desafíos importantes de este método es que las aplicaciones deben modificarse para admitir el agente de inicio de sesión único; además, la aplicación debe ser visible desde el navegador web del usuario.
2. El inicio de sesión único utiliza un proxy inverso para gestionar los datos de autenticación en la aplicación y permitir que los procesos de inicio de sesión único funcionen independientemente de los servidores web. En este caso, el proxy inverso actúa como un intermediario que gestiona el acceso y habilita el proceso de inicio de sesión único.

Seleccionar una solución de inicio de sesión único

Lo que se debe considerar al seleccionar una solución de inicio de sesión único varía según la organización y los casos de uso, pero, a continuación, se presentan algunos elementos básicos para tener en cuenta durante el proceso de evaluación.

Consideraciones organizacionales

1. ¿Aborda la solución de inicio de sesión único los casos de uso de la organización?
2. ¿Es compatible con los recursos de TI que necesitan el inicio de sesión único (p. ej., aplicaciones, dispositivos, redes, etc.)?
3. ¿Es una solución de inicio de sesión único de corto plazo apropiada que se puede reemplazar por una cantidad aceptable de interrupciones y cargas para el equipo de TI?
4. ¿Puede la solución de inicio de sesión único ajustarse para satisfacer requisitos previstos?
5. ¿Funciona bien con otros sistemas de seguridad?

Consideraciones de funcionalidad del inicio de sesión único

1. Opciones de autenticación, como compatibilidad con la autenticación multifactor, la autenticación flexible, la autenticación automática forzada y mediante el protocolo ligero de acceso a directorios (LDAP)
2. Respuesta y análisis de comportamiento, como la inclusión de direcciones de protocolo de Internet (IP) en la lista negra o blanca, configuración de respuestas para contrarrestar los intentos de fuerza bruta y disposiciones para la reautenticación de usuarios
3. Cumplimiento de los estándares de seguridad, como ISO 27017, ISO 27018, ISO 27001, SOC 2 tipo 2 y leyes (p. ej., el Reglamento General de Protección de Datos [RGPD], la Ley de Privacidad del Consumidor de California [CCPA], etc.)
4. Capacidades de federación que permitan la implementación mediante el uso de proveedores preferidos de identidad, como el Directorio Activo de Microsoft y Directorio de Google
5. Opciones de validación flexible de contraseñas, como el personalización del límite de caducidad de contraseñas, complejidad de las contraseñas y notificaciones de caducidad
6. Capacidades móviles de inicio de sesión único que permitan la compatibilidad con dispositivos móviles
7. Conexiones prediseñadas y personalizadas para las aplicaciones de Lenguaje de Marcado de Aserciones de Seguridad (SAML)
8. Autenticación que emplee protocolos de estándar abierto, como JSON Web Token (JWT), Kerberos, Open Authorization (OAuth), OpenID Connect (OIDC) y SAML
9. Soporte para desarrolladores, como soporte para el control adecuado del ciclo de vida de las interfaces de programación de aplicaciones (API) y kits de desarrollo de software (SDK) para las principales plataformas

Beneficios del inicio de sesión único

1. Centraliza los procesos de acceso a los sitios web, aplicaciones y otras cuentas, incluidos el aprovisionamiento y las desincorporaciones
2. Mejora la productividad ya que optimiza el acceso a los recursos
3. Amplía la adopción de las aplicaciones promovidas por la empresa al facilitar su acceso
4. Facilita la auditoría del acceso de los usuario al brindar un control sólido del acceso a todos los tipos de datos relacionados con el acceso
5. Libera a los usuarios de la ardua tarea de elegir contraseñas seguras para varias cuentas
6. Ayuda a las organizaciones a cumplir las normativas de seguridad de datos
7. Mejora la postura de seguridad al minimizar la cantidad de contraseñas por usuario
8. Mantiene un acceso seguro a las aplicaciones y sitios web
9. Hace posible que las aplicaciones utilicen otros servicios para autenticar usuarios
10. Reduce el riesgo de los malos hábitos de uso de las contraseñas
11. Evita la TI en la sombra, puesto que les permite a los administradores de TI mejorar la supervisión de las actividades de los usuarios en los servidores de trabajo
12. Ofrece una mejor experiencia de usuario
13. Reduce los costos al disminuir la necesidad de acudir al servicio de asistencia técnica para solucionar problemas con las contraseñas
14. Elimina las credenciales de acceso de los servidores o redes de almacenamiento para disminuir el riesgo cibernético
15. Fortalece la seguridad de las contraseñas

Protocolos de SSO

El inicio de sesión único valida y autentica las credenciales de los usuarios mediante diferentes protocolos y estándares abiertos, incluidos los que se describen a continuación.

Token Web JSON (JWT)

El Token Web JSON, o JWT, es un protocolo de inicio de sesión único que se utiliza ampliamente en aplicaciones destinadas al consumidor. Este estándar abierto (RFC 7519) se emplea para transmitir información para el inicio de sesión único como objetos JSON de forma segura.

Kerberos

Kerberos, un sistema de autenticación basado en tickets, permite a diversas entidades verificar mutuamente su identidad mediante el cifrado para evitar el acceso no autorizado a la información de identificación. Cuando se emplea Kerberos en las funciones de inicio de sesión único, una vez validadas las credenciales, se emite un ticket que se usa para recuperar otros tickets de servicio para otras aplicaciones a las que necesitan acceder los usuarios autenticados.

Open authorization (OAuth)

Con OAuth, u Open Authorization, las aplicaciones pueden acceder a la información de los usuarios desde otros sitios web sin suministrar ninguna contraseña. OAuth se utiliza en lugar de las contraseñas con el fin de obtener el permiso para acceder a información protegida por contraseña. En vez de solicitar contraseñas de usuario, las aplicaciones emplean OAuth para obtener el permiso de acceso a datos protegidos por contraseña.

OpenID connect (OIDC)

OpenID connect (OIDC), normalizado por la OpenID Foundation y basado en el marco de OAuth 2.0, es un protocolo de autenticación que ofrece un enfoque descentralizado en lo que respecta al inicio de sesión único. Con OIDC, el sitio web o la aplicación autentica las credenciales de los usuarios. En vez de enviar un token a un proveedor de identidad externo, OpenID connect hace que el sitio web o la aplicación solicite información adicional para autenticar a los usuarios.

Lenguaje de Marcado de Aserciones de Seguridad (SAML)

SAML, o Lenguaje de Marcado de Aserciones de Seguridad, es un protocolo que utilizan los sitios web y las aplicaciones para intercambiar información de identificación con un servicio de inicio de sesión único mediante XLM. SAML les permite a los usuarios iniciar sesión una vez en una red antes de otorgarles el acceso a todas las aplicaciones que se encuentran en esa red.

Mediante los servicios de inicio de sesión único basado en SAML, las aplicaciones no necesitan almacenar las credenciales de usuario en su sistema, lo que hace que sea una opción más flexible y segura que otras. Además, aborda los problemas que tienen los administradores de TI cuando tratan de implementar el inicio de sesión único junto con el protocolo ligero de acceso a directorios (LDAP).

Casos de uso del inicio de sesión único

Inicio de sesión único con autenticación multifactor

Usados en conjunto, el inicio de sesión único y la autenticación multifactor hacen que la autenticación sea simple y segura. Esta combinación mejora la seguridad, aumenta la accesibilidad a aplicaciones y sitios web, y reduce el tiempo que los administradores deben dedicar al aprovisionamiento y control del acceso.

Inicio de sesión único y LDAP

La función de inicio de sesión único del LDAP, que se emplea para almacenar las credenciales de los usuarios, se puede utilizar para gestionar las bases de datos del LDAP en diversas aplicaciones.

Inicio de sesión único para equipos remotos

La adopción generalizada del trabajo remoto extendió el uso del inicio de sesión único en casi todos los recursos de TI. El inicio de sesión único se utiliza de manera extendida porque va más allá de otros sistemas de administración de identidades y accesos. Ofrece un enfoque basado en la nube, impulsado por protocolos y agnóstico a plataformas y sistemas operativos para la autenticación y autorización de los accesos.

El inicio de sesión único facilita la autenticación para los usuarios y administradores

El inicio de sesión único consiste en una tecnología que optimiza los flujos de trabajo y mejora la productividad de los usuarios y administradores. Gracias a diversas opciones de implementación, el inicio de sesión único puede adaptarse a casi cualquier caso de uso. Como elimina dolores de cabeza y vulnerabilidades de la proliferación de contraseñas, el inicio de sesión único es una herramienta popular en seguridad de TI.

Asuma el control de su plataforma en la nube.

Descubra cómo SailPoint se integra con los proveedores de autenticación.