Inicio de sesión único (SSO)

El inicio de sesión único se basa en una relación de confianza digital entre un grupo de aplicaciones, sitios web y servicios relacionados y confiables, llamados  proveedores de servicio,  y una solución SSO, llamada  proveedor de identidad. La solución SSO suele formar parte de una solución IAM (gestión de identidades y accesos)  más amplia. 

En general, la autenticación SSO funciona de la siguiente manera:

1. Un usuario inicia sesión en una de las aplicaciones de confianza, o en un portal central que conecta todas las aplicaciones de confianza (como un portal de empleados o un sitio web para estudiantes universitarios), utilizando las credenciales de inicio de sesión de SSO.
2. Cuando el usuario se autentica correctamente, la solución SSO genera un token de autenticación de sesión que contiene información específica sobre la identidad del usuario: un nombre de usuario, una dirección de e-mail, etc. Este token se almacena con el navegador web del usuario o en el servidor SSO o IAM.
3. Cuando el usuario intenta acceder a otra de las aplicaciones confiables, la aplicación verifica con el servidor SSO o IAM para determinar si el usuario ya está autenticado para la sesión. Si es así, la solución SSO valida al usuario al firmar el token de autenticación con un certificado digital y se le otorga acceso a la aplicación. De lo contrario, se le solicita al usuario que vuelva a ingresar las credenciales de inicio de sesión.

El proceso puede variar dependiendo de varios factores. Por ejemplo, un usuario que ha estado inactivo durante un período específico puede necesitar iniciar sesión cuando intenta acceder a otra aplicación. O bien, si un usuario autenticado intenta acceder a una aplicación o servicio que maneja información especialmente confidencial, se le puede solicitar al usuario un factor de autenticación adicional, como un código enviado al teléfono móvil o al e-mail del usuario (consulte 'SSO adaptativo' a continuación).

Obviamente, SSO ahorra tiempo y problemas a los usuarios. Tome a los usuarios corporativos, por ejemplo: en lugar de iniciar sesión en varias aplicaciones varias veces al día, con SSO a menudo pueden iniciar sesión en la intranet o extranet corporativa solo una vez para acceder durante todo el día a cada aplicación que necesitan.

Pero al reducir drásticamente la cantidad de contraseñas que los usuarios deben recordar y la cantidad de cuentas de usuario que los administradores deben gestionar, SSO refuerza la postura de seguridad de las organizaciones. Específicamente, SSO puede

• Reemplazar la fatiga de las contraseñas con una contraseña segura. Los usuarios con muchas contraseñas que gestionar a menudo caen en el uso de las mismas contraseñas cortas y débiles, o ligeras variaciones de las mismas, para cada aplicación. Un hacker que descifra una de estas contraseñas puede acceder fácilmente a múltiples aplicaciones. SSO a menudo puede reducir decenas de contraseñas breves y débiles a una sola contraseña larga, compleja y segura que es más fácil de recordar para los usuarios y mucho más difícil de descifrar para los hackers.
• Ayudar a prevenir hábitos inseguros de almacenamiento de contraseñas. SSO puede reducir o eliminar la necesidad de administradores de contraseñas, contraseñas almacenadas en hojas de cálculo, contraseñas escritas en notas adhesivas y otras ayudas de memoria, todo lo cual hace que las contraseñas sean más fáciles de robar o encontrar por parte de personas equivocadas.
• Reducir considerablemente las llamadas a la mesa de ayuda. Según el analista de la industria Gartner, del 20 al 50 por ciento de las llamadas a la mesa de ayuda de TI están relacionadas con contraseñas olvidadas o restablecimientos de contraseñas. La mayoría de las soluciones de SSO facilitan que los usuarios restablezcan las contraseñas por sí mismos, con la asistencia de la mesa de ayuda.
• Ofrecer a los hackers un objetivo más pequeño. Según el informe del Costo total de una brecha de seguridad de datos de 2021 de IBM, las credenciales comprometidas fueron el vector de ataque inicial más frecuente para una brecha de seguridad de datos, lo que representa el 20 % de todas las brechas de seguridad de datos, y las brechas que comenzaron con credenciales comprometidas costaron a sus víctimas $4.31 millones en promedio. Menos contraseñas significan menos vectores de ataque potenciales.
• Simplificar la gestión, el suministro y el desmantelamiento de cuentas de usuario. Con SSO, los administradores tienen un control más centralizado sobre los requisitos de autenticación y los permisos de acceso. Y cuando un usuario deja la organización, los administradores pueden eliminar permisos y dar de baja la cuenta de usuario en menos pasos.
• Ayudar a simplificar la conformidad normativa. SSO cumple o facilita la conformidad normativa en torno a la protección de la información de identidad personal (PII) y el control de acceso a los datos, así como los requisitos específicos de algunas reglamentaciones, como HIPAA, en torno a los tiempos de espera de sesión. 

El principal riesgo de SSO es que si las credenciales de un usuario se ven comprometidas, pueden otorgar acceso a un atacante a todas o la mayoría de las aplicaciones y recursos en la red.

Solicitar a los usuarios que creen contraseñas largas y complejas, y cifrarlas y protegerlas cuidadosamente donde sea que estén almacenadas, contribuye en gran medida a prevenir el peor de los casos. Pero la mayoría de los expertos en seguridad recomiendan implementar SSO con autenticación multifactor o MFA. MFA requiere que los usuarios proporcionen al menos un factor de autenticación además de una contraseña, por ejemplo, un código enviado a un teléfono móvil, una huella digital o una tarjeta de identificación. Debido a que estas credenciales adicionales son las que los hackers no pueden robar o falsificar fácilmente, MFA puede reducir drásticamente los riesgos relacionados con las credenciales comprometidas en SSO.

El esquema de SSO descrito anteriormente (un inicio de sesión único y un conjunto de credenciales de usuario que proporciona acceso a la sesión a varias aplicaciones relacionadas) a veces se denomina SSO simple o puro. Otros tipos de SSO, o métodos de autenticación similares a SSO, incluyen:

• Inicialmente, el SSO adaptable requiere un nombre de usuario y una contraseña al iniciar sesión, pero posteriormente requiere factores de autenticación adicionales o un nuevo inicio de sesión cuando surgen riesgos adicionales, como cuando un usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos o funciones especialmente confidenciales.
• SSO federado, más correctamente llamado gestión de identidad federada (FIM), es un superconjunto de SSO. Mientras que SSO se basa en una relación de confianza digital entre aplicaciones dentro del dominio de una sola organización, FIM extiende esa relación a terceros, proveedores y otros proveedores de servicios de confianza fuera de la organización. Por ejemplo, FIM podría permitir que los empleados que iniciaron sesión accedan a aplicaciones web de terceros, como Slack o WebEx, sin un inicio de sesión adicional o con un inicio de sesión simple de solo nombre de usuario.
• Inicio de sesión social permite a los usuarios usar las mismas credenciales que usan para acceder a sitios de redes sociales populares para acceder a aplicaciones de terceros. El inicio de sesión social simplifica la vida de los usuarios. Para los proveedores de aplicaciones de terceros, puede desalentar comportamientos no deseados (p. ej., inicios de sesión falsos, abandono del carrito de compras) y proporcionar información valiosa para mejorar sus aplicaciones.

SSO se puede implementar mediante cualquiera de varios protocolos y servicios de autenticación.

SAML/SAML 2.0

SAML (Security Assertion Markup Language) es el protocolo estándar abierto más antiguo para el intercambio de datos cifrados de autenticación y autorización entre un proveedor de identidad y varios proveedores de servicios. Debido a que proporciona un mayor control sobre la seguridad que otros protocolos, SAML generalmente se usa para implementar SSO dentro y entre dominios de aplicaciones empresariales o gubernamentales.

OAuth/OAuth 2.0

OAuth/OAuth 2.0 (Autorización abierta) es un protocolo estándar abierto que intercambia datos de autorización entre aplicaciones sin exponer la contraseña del usuario. OAuth permite usar un inicio de sesión único para agilizar las interacciones entre aplicaciones que normalmente requieren inicios de sesión separados para cada una. Por ejemplo, OAuth hace posible que LinkedIn busque en sus contactos de e-mails posibles nuevos miembros de la red.

OpenID Connect (OIDC)

Otro protocolo estándar abierto, OICD, utiliza API REST y tokens de autenticación JSON para permitir que un sitio web o una aplicación otorgue acceso a los usuarios autenticándolos a través de otro proveedor de servicios.

En capas sobre OAuth, OICD se usa principalmente para implementar inicios de sesión sociales en aplicaciones de terceros, carritos de compras y más. Una implementación más liviana, OAuth/OIDC a menudo se utiliza para SAML para implementar SSO en SaaS (software como servicio) y aplicaciones en la nube, aplicaciones móviles y dispositivos de Internet de las cosas (IoT).

LDAP

LDAP (protocolo ligero de acceso a directorios) define un directorio para almacenar y actualizar las credenciales de los usuarios y un proceso para autenticar a los usuarios en el directorio. Introducido en 1993, LDAP sigue siendo la solución de directorio de autenticación elegida por muchas organizaciones que implementan SSO, porque LDAP les permite proporcionar un control granular sobre el acceso al directorio.

ADFS

ADFS (Servicios de federación de Active Directory) se ejecuta en Microsoft Windows Server para permitir la gestión de identidades federadas, incluido el inicio de sesión único, con aplicaciones y servicios locales y externos. ADFS utiliza Servicios de dominio de Active Directory (ADDS) como proveedor de identidad. 

'Confianza cero' adopta un enfoque de seguridad de 'nunca confíe, siempre verifique': cualquier usuario, aplicación o dispositivo, ya sea fuera de la red o ya autenticado y dentro de la red, debe verificar su identidad antes de acceder al siguiente recurso de red que desee acceder.

A medida que las redes se vuelven más distribuidas, abarcando la infraestructura local y múltiples nubes públicas y privadas, un enfoque de confianza cero es esencial para evitar que las amenazas que penetran en la red obtengan más acceso y causen el máximo daño.

SSO, y en particular SSO como parte de una solución IAM, se considera ampliamente como una tecnología fundamental para implementar un enfoque de confianza cero. El desafío fundamental de la confianza cero es crear una arquitectura de seguridad que pueda tomar medidas drásticas contra los atacantes que ingresan a la red, sin obstaculizar la capacidad de los usuarios finales autorizados para moverse libremente por la red y realizar su trabajo o negocio. Cuando se combina con autenticación multifactor, controles de acceso y permisos, microsegmentación de red y otras técnicas y mejores prácticas, SSO puede ayudar a las organizaciones a lograr este equilibrio.