El inicio de sesión único (SSO) es una importante tecnología de seguridad en la nube que reduce todos los inicios de sesión de las aplicaciones de los usuarios a un único inicio de sesión para obtener una mayor seguridad y comodidad.
Después de leer este artículo podrás:
Contenido relacionado
Control de acceso
¿Qué es IAM?
Perímetro definido por software
Control de acceso basado en roles
¿Qué es CASB?
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El inicio de sesión único (SSO) es una tecnología que combina varias pantallas de inicio de sesión de aplicaciones diferentes en una sola. Con el SSO, un usuario solo tiene que introducir sus credenciales de inicio de sesión (nombre de usuario, contraseña, etc.) una vez en una sola página para poder acceder a todas sus aplicaciones de SaaS .
El SSO se suele utilizar en un contexto empresarial, cuando las aplicaciones de los usuarios las asigna y gestiona un equipo interno de TI. Los trabajadores en remoto que utilizan aplicaciones SaaS también se benefician del uso de SSO.
Imaginémonos que a los clientes que ya han entrado en un bar se les pide que muestren su tarjeta de identificación para demostrar su edad cada vez que intentan pedir una bebida alcohólica. Algunos clientes se frustrarían rápidamente con los continuos controles, y podrían incluso intentar eludir estas medidas introduciendo a escondidas sus propias bebidas.
Sin embargo, la mayoría de los establecimientos solo comprueba la identificación de un cliente una vez, y luego le sirven varias bebidas en el transcurso de una noche. Algo parecido pasa con un sistema SSO: en lugar de tener que establecer su identidad una y otra vez, un usuario establece su identidad una vez y luego puede acceder a varios servicios diferentes.
El SSO es un aspecto importante de muchas soluciones de gestión de identidades y accesos (IAM) o de control de acceso. La verificación de la identidad del usuario es crucial para saber qué permisos debe tener cada usuario. Cloudflare Zero Trust es un ejemplo de solución de control de acceso que se integra con las soluciones SSO para gestionar las identidades de los usuarios.
Además de ser mucho más sencillo y cómodo para los usuarios, el SSO se considera como mucho más seguro. Esto puede parecer contradictorio: ¿cómo puede ser más seguro iniciar sesión una vez con una sola contraseña, en lugar de hacerlo varias veces con varias contraseñas? Los partidarios del SSO citan las siguientes razones:
Cada vez que un usuario se registra en un servicio SSO, el servicio crea un token de autenticación que recuerda que el usuario está verificado. Un token de autenticación es una pieza de información digital almacenada en el navegador del usuario o en los servidores del servicio SSO, como una tarjeta de identificación temporal emitida al usuario. Cualquier aplicación a la que el usuario acceda se verificará con el servicio SSO. El servicio SSO pasa el token de autenticación del usuario a la aplicación y el usuario tiene entonces permiso para entrar. Sin embargo, si el usuario todavía no ha iniciado la sesión, se le pedirá que lo haga a través del servicio SSO.
Un servicio SSO no recuerda necesariamente quién es un usuario, ya que no almacena las identidades de los usuarios. La mayoría de los servicios SSO funcionan mediante la comprobación de las credenciales de los usuarios con un servicio de gestión de identidades independiente.
Pensemos que el SSO es como un intermediario que puede confirmar si las credenciales de inicio de sesión de un usuario coinciden con su identidad en la base de datos, sin gestionar ellos mismos la base de datos, algo así como cuando un bibliotecario busca un libro en nombre de otra persona basándose en el título del libro. El bibliotecario no tiene memorizado todo el catálogo de la biblioteca, pero puede acceder al mismo con facilidad.
La capacidad de pasar un token de autenticación a aplicaciones y servicios externos es fundamental en el proceso de SSO. Esto es lo que permite que la verificación de la identidad tenga lugar por separado de otros servicios en la nube, haciendo posible el SSO.
Piensa en un evento exclusivo al que solo pueden entrar unas pocas personas. Una forma de indicar que los guardias de la entrada al evento han comprobado y aprobado a un invitado es poniendo un sello en la mano de cada uno de ellos. El personal del evento puede comprobar los sellos de cada invitado para asegurarse de que está autorizado a estar allí. Sin embargo, no sirve cualquier sello; el personal del evento conocerá la forma y el color exactos del sello utilizado por los guardias de la entrada.
Al igual que cada sello tiene que tener el mismo aspecto, los tokens de autenticación tienen sus propios estándares de comunicación para garantizar que sean correctos y legítimos. El principal estándar de tokens de autenticación se llama SAML (Lenguaje de marcado para confirmaciones de seguridad). Al igual que las páginas web se escriben en HTML (Lenguaje de hipertexto de marcado), los tokens de autenticación se escriben en SAML.
El SSO es solo un aspecto de la gestión del acceso de los usuarios. Debe combinarse con el control de acceso, el control de permisos, los registros de actividad, y otras medidas de seguimiento y control del comportamiento de los usuarios en los sistemas internos de una organización. Sin embargo, el SSO es un elemento fundamental de la gestión de accesos. Si un sistema no sabe quién es un usuario, no hay manera de permitir o restringir las acciones de ese usuario.
Cloudflare Zero Trust controla con seguridad el acceso de los usuarios a las aplicaciones y sitios web; puede actuar como reemplazo de la mayoría de VPN. Cloudflare se integra con proveedores de SSO con el fin de identificar usuarios y asegurar sus permisos de acceso asignados.
El SSO es un proceso de autenticación que permite a los usuarios acceder a varias aplicaciones con un único conjunto de credenciales. El proceso suele implicar a un proveedor de identidad que autentica al usuario y a proveedores de servicios que aceptan el token de autenticación.
El SSO elimina la necesidad de que los usuarios recuerden varios conjuntos de credenciales para diferentes aplicaciones. A diferencia de los gestores de contraseñas tradicionales que almacenan varias contraseñas, el SSO solo requiere un conjunto de credenciales para ser recordado y protegido.
La gestión de identidad federada con SSO proporciona un control de autenticación centralizado, lo que facilita a las organizaciones la aplicación de políticas de seguridad coherentes en varias aplicaciones. También reduce la superficie de ataque de una organización al limitar el número de credenciales almacenadas que podrían estar potencialmente en riesgo.
Los sistemas SSO pueden integrarse con MFA para requerir una verificación adicional más allá de las credenciales de inicio de sesión iniciales. Esta integración crea varias capas de seguridad al mismo tiempo que mantiene la comodidad de la funcionalidad SSO.
Kerberos es un protocolo de autenticación que utiliza la criptografía de clave simétrica y la autorización de terceros de confianza para verificar las identidades. El lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar abierto basado en XML que intercambia datos de autenticación y autorización entre proveedores de identidad y proveedores de servicios. Mientras que Kerberos se suele utilizar en entornos locales, SAML se suele utilizar para soluciones de SSO basadas en la web.