Inicio de sesión único

Editar en línea

Inicio de sesión único es un proceso de autenticación por el cual un usuario puede acceder a más de una aplicación especificando un único ID de usuario y contraseña. Puedes configurar varias aplicaciones para que utilicen Verify este sistema de autenticación y autorización de usuarios. Los usuarios inician sesión en las aplicaciones de destino utilizando las credenciales de su Verify cuenta. Una vez autenticados con Verify, los usuarios pueden acceder a cualquiera de las aplicaciones a las que tengan acceso, dentro de la sesión de autenticación. Cuando caduque la sesión, los usuarios deberán volver a iniciar sesión a través de Verify.

Para implementar el inicio de sesión único entre Verify y cualquier aplicación de destino, deben intercambiar los datos de configuración. Debes configurar la aplicación en Verify y configurar Verify en la aplicación de destino.

Autenticación y autorización

Autenticación consiste en verificar la identidad de un usuario, es decir, probar que el usuario es la persona que dice ser. Autorización es conceder a un usuario acceso a un recurso y definir qué operaciones puede realizar esa persona con el recurso. Verify Admite la autenticación y la autorización mediante SAML y OpenID Connect.
Tabla 1. Resumen comparativo
SAML 2.0 OpenID Connect
Descripción

El lenguaje de marcado de afirmaciones de seguridad ( SAML ) es un estándar abierto que permite la autenticación y la autorización.

El estándar proporciona una infraestructura para la comunicación segura de identidades de usuarios entre un proveedor de servicios y un proveedor de identidades.

OpenID Connect es un protocolo de estándar abierto que combina funciones de autenticación de tipo « OpenID » y de autorización de tipo « OAuth2.0 ».

El estándar proporciona una infraestructura para la comunicación segura de las identidades de usuarios entre una entidad de confianza y un proveedor de OpenID Connect.
Caso práctico

Inicio de sesión único para aplicaciones empresariales

Inicio de sesión único para aplicaciones de empresa y de consumidor
Tipos de cliente admitidos
  • Basado en web
  • Basado en web
  • Móvil o nativo
  • JavaScript
Formato de los datos XML JSON
Se envía información o autenticación de usuario

Una afirmación de « SAML ».

La aserción contiene la información siguiente.
  • Asunto (usuario que se ha autenticado)
  • Atributos (información sobre la persona)
  • Emisor (usuario que ha emitido la aserción)
  • Otra información sobre el suceso de autenticación

Un token web JSON (JWT), también denominado «token de identificación».

La señal o token contiene la información siguiente:
  • Asunto (usuario que se ha autenticado)
  • Emisor (usuario que ha emitido las reclamaciones de usuario)
  • Caducidad de la autenticación
  • Atributos o datos del usuario (información sobre la persona) 1
  • Otra información sobre el suceso de autenticación
Señales Señal de acceso
  • Señal de ID
  • Señal de acceso. La señal de acceso puede ser una serie opaca o en formato JWT.
  • Renovar señal
Nota: Las longitudes de los tokens de OAuth y OIDC no son fijas. Al almacenar los tokens de acceso y de actualización, ten en cuenta que pueden tener longitudes variables. Si necesitas establecer una longitud máxima para el almacenamiento y no tienes previsto utilizar tokens de acceso en formato JWT en el futuro, deja un margen de al menos 1024 caracteres para la longitud del token.
Componentes / Roles
  • Usuario, aquel que requiere acceso.
  • Agente de usuario, lugar en el que el usuario se autentica; por ejemplo, el navegador web.
  • Proveedor de servicios, aplicación a la que el usuario intenta acceder.
  • Proveedor de identidades, autentica al usuario.
  • Usuario, aquel que requiere acceso.
  • Agente de usuario, lugar en el que el usuario se autentica; por ejemplo, el navegador web.
  • Entidad de confianza o cliente, aplicación a la que el usuario intenta acceder.
  • Proveedor de OpenID Connect, autentica al usuario y al cliente.

Inicio de sesión único basado en SAML

El proveedor de servicios puede ser cualquier aplicación basada en web que exija la autenticación de sus usuarios. Es el consumidor de la información de identidad de usuario devuelta.

El proveedor de identidades gestiona y certifica la identidad de usuario.

  1. El usuario solicita acceso a un recurso protegido del proveedor de servicios a través de un agente de usuario.
  2. El proveedor de servicios envía una solicitud de autenticación de usuario al redireccionar el agente de usuario al proveedor de identidades.
  3. El proveedor de identidad verifica la identidad del usuario y genera una aserción de « SAML » que confirma la identidad del usuario.
  4. El proveedor de identidad incluye la aserción en su respuesta de autenticación « SAML » dirigida al proveedor de servicios.

Inicio de sesión único basado en OpenID Connect

La parte de confianza de « OpenID Connect» puede ser cualquier aplicación que requiera que sus usuarios se autentiquen. Es el consumidor de la información de identidad de usuario devuelta.

El proveedor de OpenID Connect autentica al usuario a través de su punto final de autorización y autentica al cliente a través de su punto final de señal.
  1. El usuario solicita acceso a un recurso protegido de la entidad de confianza a través de un agente de usuario.
  2. La entidad de confianza envía una solicitud de autenticación de usuario al redireccionar el agente de usuario al proveedor de OpenID Connect.
  3. El proveedor de OpenID Connect verifica si el usuario tiene una sesión válida. De lo contrario, el proveedor de OpenID Connect solicita el inicio de sesión de usuario y autentica al usuario a través del punto final de autorización.
  4. En función del tipo de otorgamiento de autorización, el punto final de autorización del proveedor de identidades puede enviar una respuesta de autenticación a la entidad de confianza que contiene:
    • A continuación, el cliente puede incluir esta autorización en una solicitud, junto con un código de autorización² que la parte que confía proporciona a un punto final de tokens a cambio de un token de identificación, un token de acceso o un token de actualización.
    • Una señal de ID y una señal de acceso.

      La señal de ID o la señal de renovación contienen las reclamaciones de usuario y la firma que se utilizan para establecer la sesión de usuario.

    • Un código QR, un código de usuario y un URL.
    • Flujo implícito. Realiza la autenticación y la autorización, devolviendo directamente un token de identificación y un token de acceso al cliente en su respuesta.
    Nota: El flujo implícito del proveedor « OpenID Connect» no admite el punto final de tokens.
1 Estas afirmaciones son declaraciones sobre el usuario, en las que se puede confiar si el destinatario del token puede verificar su firma. Están pensados para proporcionar a la aplicación cliente detalles de usuario consentidos como correo electrónico y nombre.
2 una credencial intermedia, que codifica la autorización.