¿Qué es el SSO? | Cómo funciona el inicio de sesión único

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) es una tecnología que combina varias pantallas de inicio de sesión de aplicaciones diferentes en una sola. Con el SSO, un usuario solo tiene que introducir sus credenciales de inicio de sesión (nombre de usuario, contraseña, etc.) una vez en una sola página para poder acceder a todas sus aplicaciones de SaaS .

El SSO se suele utilizar en un contexto empresarial, cuando las aplicaciones de los usuarios las asigna y gestiona un equipo interno de TI. Los trabajadores en remoto que utilizan aplicaciones SaaS también se benefician del uso de SSO.

Imaginémonos que a los clientes que ya han entrado en un bar se les pide que muestren su tarjeta de identificación para demostrar su edad cada vez que intentan pedir una bebida alcohólica. Algunos clientes se frustrarían rápidamente con los continuos controles, y podrían incluso intentar eludir estas medidas introduciendo a escondidas sus propias bebidas.

Sin embargo, la mayoría de los establecimientos solo comprueba la identificación de un cliente una vez, y luego le sirven varias bebidas en el transcurso de una noche. Algo parecido pasa con un sistema SSO: en lugar de tener que establecer su identidad una y otra vez, un usuario establece su identidad una vez y luego puede acceder a varios servicios diferentes.

El SSO es un aspecto importante de muchas soluciones de gestión de identidades y accesos (IAM) o de control de acceso. La verificación de la identidad del usuario es crucial para saber qué permisos debe tener cada usuario. Cloudflare Zero Trust es un ejemplo de solución de control de acceso que se integra con las soluciones SSO para gestionar las identidades de los usuarios.

¿Cuáles son las ventajas de SSO?

Además de ser mucho más sencillo y cómodo para los usuarios, el SSO se considera como mucho más seguro. Esto puede parecer contradictorio: ¿cómo puede ser más seguro iniciar sesión una vez con una sola contraseña, en lugar de hacerlo varias veces con varias contraseñas? Los partidarios del SSO citan las siguientes razones:

1. Contraseñas más seguras: ya que los usuarios solo tienen que utilizar una contraseña, el SSO les facilita que creen, recuerden y usen contraseñas más seguras.* En la práctica, esto suele ser el caso: la mayoría de los usuarios utilizan contraseñas más seguras con el SSO.
   
   *¿Qué es lo que hace que una contraseña "sea segura"? Una contraseña fuerte no es fácil de adivinar y es lo suficientemente aleatoria como para que un ataque de fuerza bruta no tenga éxito. w7:g"5h$G@ es una contraseña bastante fuerte; contraseña123 no lo es.
2. No hay contraseñas repetidas: cuando los usuarios tienen que recordar contraseñas para varias aplicaciones y servicios diferentes, es probable que se produzca un problema conocido como "fatiga de contraseñas": los usuarios reutilizarán las contraseñas para todos los servicios. Utilizar la misma contraseña en varios servicios es un riesgo enorme para la seguridad, porque significa que todos los servicios son tan seguros como el servicio con la protección de contraseña más débil: si la base de datos de la contraseña de ese servicio se ve comprometida, los atacantes pueden utilizar la contraseña para hackear también el resto de servicios del usuario. El SSO elimina este escenario al reducir todos los inicios de sesión a uno solo.
3. Mejor aplicación de la política de contraseñas: con un solo lugar para la introducción de contraseñas, el SSO ofrece a los equipos de TI una forma de aplicar fácilmente las normas de seguridad de las contraseñas. Por ejemplo, algunas empresas requieren que los usuarios restablezcan sus contraseñas de forma periódica. Con el SSO, el restablecimiento de las contraseñas es más fácil de implementar: en lugar de tener que hacerlo en varias aplicaciones y servicios diferentes, los usuarios solo tienen que restablecer una contraseña. (Si bien se ha cuestionado el valor de los restablecimientos periódicos de contraseñas, algunos equipos de TI siguen considerándolos una parte importante de su estrategia de seguridad).
4. Autenticación multifactor: la autenticación multifactor, o MFA, hace referencia al uso de más de un factor de identidad para autenticar a un usuario. Por ejemplo, además de introducir un nombre de usuario y una contraseña, un usuario puede tener que conectar un dispositivo USB o introducir un código que se le envíe a su teléfono inteligente. La posesión de este objeto físico es un segundo "factor" que establece que el usuario es quien dice ser. La MFA es mucho más segura que confiar únicamente en una contraseña. El SSO permite activar la MFA en un único punto en vez de tener que activarla para tres, cuatro o varias decenas de aplicaciones, lo que no siempre es factible.
5. Punto único para imponer la reintroducción de contraseñas: los administradores pueden imponer la reintroducción de credenciales después de un cierto tiempo para asegurarse de que el mismo usuario sigue activo en el dispositivo en el que ha iniciado la sesión. Con el SSO, tienen un lugar central desde el que hacer esto para todas las aplicaciones internas, en lugar de tener que realizarlo por múltiples aplicaciones diferentes, con las que algunas aplicaciones ni sean compatibles.
6. Gestión interna de credenciales en lugar de almacenamiento externo: lo habitual es que las contraseñas de los usuarios se almacenen en remoto, y no sin gestionar por aplicaciones y servicios que pueden o no seguir las mejores prácticas de seguridad. No obstante, con el SSO se almacenan internamente en un entorno sobre el que el equipo de TI tiene más control.
7. Se pierde menos tiempo en la recuperación de contraseñas: además de las ventajas de seguridad mencionadas, el SSO también hace que los equipos internos pierdan menos tiempo. El departamento de TI tiene que dedicar menos tiempo a ayudar a los usuarios a recuperar o restablecer sus contraseñas para decenas de aplicaciones, y los usuarios pasan menos tiempo iniciando sesión en varias aplicaciones para realizar su trabajo. Esto tiene el potencial de aumentar la productividad de la empresa.

¿Cómo funciona un inicio de sesión SSO?

Cada vez que un usuario se registra en un servicio SSO, el servicio crea un token de autenticación que recuerda que el usuario está verificado. Un token de autenticación es una pieza de información digital almacenada en el navegador del usuario o en los servidores del servicio SSO, como una tarjeta de identificación temporal emitida al usuario. Cualquier aplicación a la que el usuario acceda se verificará con el servicio SSO. El servicio SSO pasa el token de autenticación del usuario a la aplicación y el usuario tiene entonces permiso para entrar. Sin embargo, si el usuario todavía no ha iniciado la sesión, se le pedirá que lo haga a través del servicio SSO.

Un servicio SSO no recuerda necesariamente quién es un usuario, ya que no almacena las identidades de los usuarios. La mayoría de los servicios SSO funcionan mediante la comprobación de las credenciales de los usuarios con un servicio de gestión de identidades independiente.

Pensemos que el SSO es como un intermediario que puede confirmar si las credenciales de inicio de sesión de un usuario coinciden con su identidad en la base de datos, sin gestionar ellos mismos la base de datos, algo así como cuando un bibliotecario busca un libro en nombre de otra persona basándose en el título del libro. El bibliotecario no tiene memorizado todo el catálogo de la biblioteca, pero puede acceder al mismo con facilidad.

¿Cómo funcionan los tokens de autenticación del SSO?

La capacidad de pasar un token de autenticación a aplicaciones y servicios externos es fundamental en el proceso de SSO. Esto es lo que permite que la verificación de la identidad tenga lugar por separado de otros servicios en la nube, haciendo posible el SSO.

Piensa en un evento exclusivo al que solo pueden entrar unas pocas personas. Una forma de indicar que los guardias de la entrada al evento han comprobado y aprobado a un invitado es poniendo un sello en la mano de cada uno de ellos. El personal del evento puede comprobar los sellos de cada invitado para asegurarse de que está autorizado a estar allí. Sin embargo, no sirve cualquier sello; el personal del evento conocerá la forma y el color exactos del sello utilizado por los guardias de la entrada.

Al igual que cada sello tiene que tener el mismo aspecto, los tokens de autenticación tienen sus propios estándares de comunicación para garantizar que sean correctos y legítimos. El principal estándar de tokens de autenticación se llama SAML (Lenguaje de marcado para confirmaciones de seguridad). Al igual que las páginas web se escriben en HTML (Lenguaje de hipertexto de marcado), los tokens de autenticación se escriben en SAML.

¿Cómo encaja el SSO en una estrategia de gestión de accesos?

El SSO es solo un aspecto de la gestión del acceso de los usuarios. Debe combinarse con el control de acceso, el control de permisos, los registros de actividad, y otras medidas de seguimiento y control del comportamiento de los usuarios en los sistemas internos de una organización. Sin embargo, el SSO es un elemento fundamental de la gestión de accesos. Si un sistema no sabe quién es un usuario, no hay manera de permitir o restringir las acciones de ese usuario.

¿Se integra Cloudflare con las soluciones de SSO?

Cloudflare Zero Trust controla y asegura el acceso de los usuarios a las aplicaciones y sitios web; puede actuar como sustituto de la mayoría de las VPN. Cloudflare se integra con los proveedores de SSO para identificar a los usuarios y aplicar los permisos de acceso asignados.