¿Qué es Single Sign On (SSO)?

El Single Sign On simplifica la autenticación del usuario, mejora la experiencia del usuario y, cuando se implementa correctamente, mejora la seguridad. Se emplea a menudo para gestionar la autenticación y el acceso seguro a intranets o extranets de empresas, portales de estudiantes, servicios de nube pública y otros entornos donde los usuarios necesitan moverse entre diferentes aplicaciones para realizar su trabajo. También se emplea cada vez más en sitios web y aplicaciones orientadas al cliente, como sitios bancarios y de comercio electrónico, para combinar aplicaciones de proveedores externos en experiencias de usuario fluidas y sin interrupciones.

El inicio de sesión único se basa en una relación de confianza digital entre los proveedores de servicios (aplicaciones, sitios web, servicios) y un proveedor de identidades (IdP) o solución de SSO. La solución de SSO suele formar parte de una solución más amplia de gestión de identidad y acceso (IAM) .

En general, la autenticación mediante SSO funciona de la siguiente manera:

1. El usuario inicia sesión en uno de los proveedores de servicios o en un portal central (como la intranet de una empresa o un portal de estudiantes universitarios) empleando las credenciales de inicio de sesión de SSO.
    

2. Si el usuario se autentica correctamente, la solución de SSO genera un token de autenticación de sesión que contiene información específica sobre la identidad del usuario: nombre de usuario, dirección de correo electrónico, etc. Este token se almacena con el navegador web del usuario o en el sistema de SSO.
    

3. Cuando el usuario intenta acceder a otro proveedor de servicios de confianza, la aplicación comprueba con el sistema SSO si el usuario ya está autenticado para la sesión. Si es así, la solución de SSO valida al usuario firmando el token de autenticación con un certificado digital y se le concede acceso a la aplicación. En caso contrario, se le indica al usuario que vuelva a ingresar sus credenciales de acceso.

El proceso de SSO descrito anteriormente (un inicio de sesión único con un único conjunto de credenciales de usuario que permite iniciar sesión en múltiples aplicaciones relacionadas) a veces se denomina SSO simple o SSO puro. Otros tipos de SSO son los siguientes:

El SSO adaptativo requiere un conjunto inicial de credenciales de inicio de sesión, pero se le solicitan al usuario factores de autenticación adicionales o un nuevo inicio de sesión cuando surgen riesgos adicionales, como cuando un usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos o funcionalidades particularmente confidenciales.

La gestión de identidades federadas, o FIM, es un superconjunto de SSO. Si bien el SSO se basa en una relación de confianza digital entre aplicaciones dentro del dominio de una sola organización, la gestión de identidades federadas (FIM) extiende esa relación a terceros, proveedores y otros proveedores de servicios de confianza externos a la organización. Por ejemplo, la FIM podría permitir que un empleado que inició sesión acceda a aplicaciones web de terceros (por ejemplo, Slack o WebEx) sin un inicio de sesión adicional, o con un inicio de sesión simple que requiera solo el nombre de usuario.

El inicio de sesión social permite que los usuarios finales accedan a las aplicaciones con las mismas credenciales que utilizan para acceder a las redes sociales más populares. Para los proveedores de aplicaciones de terceros, el inicio de sesión social puede desalentar comportamientos no deseados (por ejemplo, inicios de sesión falsos, abandono del carrito de compras) y proporcionar información valiosa para mejorar sus aplicaciones.

El inicio de sesión único o SSO se puede implementar empleando cualquiera de los diferentes protocolos y servicios de autenticación.

El lenguaje de marcado de aserción de seguridad, o SAML, es el protocolo estándar abierto más antiguo para el intercambio de datos cifrados de autenticación y autorización entre un proveedor de identidades y múltiples proveedores de servicios. Debido a que proporciona un mayor control sobre la seguridad que otros protocolos, SAML se emplea normalmente para implementar el SSO dentro de dominios de aplicaciones empresariales o gubernamentales y entre esos dominios.

Open Authorization, u OAuth, es un protocolo de estándar abierto que intercambia datos de autorización entre aplicaciones sin exponer la contraseña del usuario. OAuth permite utilizar un inicio de sesión único para agilizar las interacciones entre aplicaciones que normalmente requerirían un inicio de sesión por separado. Por ejemplo, OAuth permite que LinkedIn busque en los contactos de correo electrónico del usuario nuevos miembros potenciales de la red.

OIDC, otro protocolo estándar abierto, que utiliza API REST y tokens de autenticación JSON para permitir que un sitio web o una aplicación conceda acceso a los usuarios autenticándolos a través de otro proveedor de servicios.

Superpuesto a OAuth, OICD se utiliza principalmente para implementar inicios de sesión sociales en aplicaciones de terceros, carritos de compra, etc. OAuth/OIDC, una implementación más ligera, se utiliza a menudo junto con SAML para implementar el SSO en las aplicaciones de software como servicio (SaaS) y aplicaciones en la nube, aplicaciones móviles y dispositivos de Internet de las cosas (IoT).

El protocolo ligero de acceso a directorios (LDAP) define un directorio para almacenar y actualizar las credenciales de usuario, junto con un proceso para autenticar a los usuarios en el directorio. Presentado en 1993, el protocolo LDAP sigue siendo la solución de directorio de autenticación elegida por muchas organizaciones que implementan SSO, porque les permite proporcionar un control granular sobre el acceso al directorio.

Active Directory Federation Services, o ADFS, se ejecuta en Microsoft Windows Server para permitir la gestión de identidades federadas, incluido el inicio de sesión único (SSO), con aplicaciones y servicios dentro y fuera de las instalaciones. ADFS utiliza los Active Directory Domain Services (ADDS) como proveedor de identidades.

El SSO ahorra tiempo y problemas a los usuarios. Por ejemplo: en lugar de iniciar sesión en varias aplicaciones varias veces al día, con el SSO los usuarios finales empresariales pueden iniciar sesión en la intranet de la empresa una sola vez para acceder durante todo el día a todas las aplicaciones que necesiten.

Pero al reducir de manera significativa la cantidad de contraseñas que los usuarios deben recordar y la cantidad de cuentas de usuario que los administradores deben gestionar, el SSO puede brindar una serie de beneficios adicionales.

El principal riesgo del SSO es que si las credenciales de un usuario se ponen en riesgo, pueden otorgar a un atacante acceso a la totalidad de las aplicaciones y recursos de la red o a la mayoría de ellos. Sin embargo, requerir a los usuarios que creen contraseñas largas y complejas —y cifrarlas y protegerlas cuidadosamente dondequiera que se almacenen— ayuda en gran medida a prevenir este peor escenario posible.

Además, la mayoría de los expertos en seguridad recomiendan la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) como parte de cualquier implementación de SSO. Ambos métodos de autenticación, 2FA y MFA, requieren que los usuarios proporcionen al menos un factor de autenticación además de una contraseña, por ejemplo, un código enviado a un teléfono móvil, una huella digital o un documento de identidad. Debido a que los piratas informáticos estas no pueden robar o falsificar con facilidad estas credenciales adicionales, la MFA puede reducir de manera significativa los riesgos relacionados con las credenciales implicadas en el SSO.