¿Qué es el SSO? | Cómo funciona el inicio de sesión único

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) es una tecnología que combina varias pantallas de inicio de sesión de aplicaciones diferentes en una sola. Con el SSO, un usuario solo tiene que introducir sus credenciales de inicio de sesión (nombre de usuario, contraseña, etc.) una vez en una sola página para poder acceder a todas sus aplicaciones de SaaS .

El SSO se suele utilizar en un contexto empresarial, cuando las aplicaciones de los usuarios las asigna y gestiona un equipo interno de TI. Los trabajadores en remoto que utilizan aplicaciones SaaS también se benefician del uso de SSO.

Imaginémonos que a los clientes que ya han entrado en un bar se les pide que muestren su tarjeta de identificación para demostrar su edad cada vez que intentan pedir una bebida alcohólica. Algunos clientes se frustrarían rápidamente con los continuos controles, y podrían incluso intentar eludir estas medidas introduciendo a escondidas sus propias bebidas.

Sin embargo, la mayoría de los establecimientos solo comprueba la identificación de un cliente una vez, y luego le sirven varias bebidas en el transcurso de una noche. Algo parecido pasa con un sistema SSO: en lugar de tener que establecer su identidad una y otra vez, un usuario establece su identidad una vez y luego puede acceder a varios servicios diferentes.

El SSO es un aspecto importante de muchas soluciones de gestión de identidades y accesos (IAM) o de control de acceso. La verificación de la identidad del usuario es crucial para saber qué permisos debe tener cada usuario. Cloudflare Zero Trust es un ejemplo de solución de control de acceso que se integra con las soluciones SSO para gestionar las identidades de los usuarios.

¿Cuáles son las ventajas de SSO?

Además de ser mucho más sencillo y cómodo para los usuarios, el SSO se considera como mucho más seguro. Esto puede parecer contradictorio: ¿cómo puede ser más seguro iniciar sesión una vez con una sola contraseña, en lugar de hacerlo varias veces con varias contraseñas? Los partidarios del SSO citan las siguientes razones:

1. Contraseñas más seguras: ya que los usuarios solo tienen que utilizar una contraseña, el SSO les facilita que creen, recuerden y usen contraseñas más seguras.* En la práctica, esto suele ser el caso: la mayoría de los usuarios utilizan contraseñas más seguras con el SSO.
   
   *¿Qué es lo que hace que una contraseña "sea segura"? Una contraseña fuerte no es fácil de adivinar y es lo suficientemente aleatoria como para que un ataque de fuerza bruta no tenga éxito. w7:g"5h$G@ es una contraseña bastante fuerte; contraseña123 no lo es.
2. No hay contraseñas repetidas: cuando los usuarios tienen que recordar contraseñas para varias aplicaciones y servicios diferentes, es probable que se produzca un problema conocido como "fatiga de contraseñas": los usuarios reutilizarán las contraseñas para todos los servicios. Utilizar la misma contraseña en varios servicios es un riesgo enorme para la seguridad, porque significa que todos los servicios son tan seguros como el servicio con la protección de contraseña más débil: si la base de datos de la contraseña de ese servicio se ve comprometida, los atacantes pueden utilizar la contraseña para hackear también el resto de servicios del usuario. El SSO elimina este escenario al reducir todos los inicios de sesión a uno solo.
3. Mejor aplicación de la política de contraseñas: con un solo lugar para la introducción de contraseñas, el SSO ofrece a los equipos de TI una forma de aplicar fácilmente las normas de seguridad de las contraseñas. Por ejemplo, algunas empresas requieren que los usuarios restablezcan sus contraseñas de forma periódica. Con el SSO, el restablecimiento de las contraseñas es más fácil de implementar: en lugar de tener que hacerlo en varias aplicaciones y servicios diferentes, los usuarios solo tienen que restablecer una contraseña. (Si bien se ha cuestionado el valor de los restablecimientos periódicos de contraseñas, algunos equipos de TI siguen considerándolos una parte importante de su estrategia de seguridad).
4. Autenticación multifactor: la autenticación multifactor, o MFA, hace referencia al uso de más de un factor de identidad para autenticar a un usuario. Por ejemplo, además de introducir un nombre de usuario y una contraseña, un usuario puede tener que conectar un dispositivo USB o introducir un código que se le envíe a su teléfono inteligente. La posesión de este objeto físico es un segundo "factor" que establece que el usuario es quien dice ser. La MFA es mucho más segura que confiar únicamente en una contraseña. El SSO permite activar la MFA en un único punto en vez de tener que activarla para tres, cuatro o varias decenas de aplicaciones, lo que no siempre es factible.
5. Punto único para imponer la reintroducción de contraseñas: los administradores pueden imponer la reintroducción de credenciales después de un cierto tiempo para asegurarse de que el mismo usuario sigue activo en el dispositivo en el que ha iniciado la sesión. Con el SSO, tienen un lugar central desde el que hacer esto para todas las aplicaciones internas, en lugar de tener que realizarlo por múltiples aplicaciones diferentes, con las que algunas aplicaciones ni sean compatibles.
6. Gestión interna de credenciales en lugar de almacenamiento externo: lo habitual es que las contraseñas de los usuarios se almacenen en remoto, y no sin gestionar por aplicaciones y servicios que pueden o no seguir las mejores prácticas de seguridad. No obstante, con el SSO se almacenan internamente en un entorno sobre el que el equipo de TI tiene más control.
7. Se pierde menos tiempo en la recuperación de contraseñas: además de las ventajas de seguridad mencionadas, el SSO también hace que los equipos internos pierdan menos tiempo. El departamento de TI tiene que dedicar menos tiempo a ayudar a los usuarios a recuperar o restablecer sus contraseñas para decenas de aplicaciones, y los usuarios pasan menos tiempo iniciando sesión en varias aplicaciones para realizar su trabajo. Esto tiene el potencial de aumentar la productividad de la empresa.

¿Cómo funciona un inicio de sesión SSO?

Cada vez que un usuario se registra en un servicio SSO, el servicio crea un token de autenticación que recuerda que el usuario está verificado. Un token de autenticación es una pieza de información digital almacenada en el navegador del usuario o en los servidores del servicio SSO, como una tarjeta de identificación temporal emitida al usuario. Cualquier aplicación a la que el usuario acceda se verificará con el servicio SSO. El servicio SSO pasa el token de autenticación del usuario a la aplicación y el usuario tiene entonces permiso para entrar. Sin embargo, si el usuario todavía no ha iniciado la sesión, se le pedirá que lo haga a través del servicio SSO.

Un servicio SSO no recuerda necesariamente quién es un usuario, ya que no almacena las identidades de los usuarios. La mayoría de los servicios SSO funcionan mediante la comprobación de las credenciales de los usuarios con un servicio de gestión de identidades independiente.

Pensemos que el SSO es como un intermediario que puede confirmar si las credenciales de inicio de sesión de un usuario coinciden con su identidad en la base de datos, sin gestionar ellos mismos la base de datos, algo así como cuando un bibliotecario busca un libro en nombre de otra persona basándose en el título del libro. El bibliotecario no tiene memorizado todo el catálogo de la biblioteca, pero puede acceder al mismo con facilidad.

¿Cómo funcionan los tokens de autenticación del SSO?

La capacidad de pasar un token de autenticación a aplicaciones y servicios externos es fundamental en el proceso de SSO. Esto es lo que permite que la verificación de la identidad tenga lugar por separado de otros servicios en la nube, haciendo posible el SSO.

Piensa en un evento exclusivo al que solo pueden entrar unas pocas personas. Una forma de indicar que los guardias de la entrada al evento han comprobado y aprobado a un invitado es poniendo un sello en la mano de cada uno de ellos. El personal del evento puede comprobar los sellos de cada invitado para asegurarse de que está autorizado a estar allí. Sin embargo, no sirve cualquier sello; el personal del evento conocerá la forma y el color exactos del sello utilizado por los guardias de la entrada.

Al igual que cada sello tiene que tener el mismo aspecto, los tokens de autenticación tienen sus propios estándares de comunicación para garantizar que sean correctos y legítimos. El principal estándar de tokens de autenticación se llama SAML (Lenguaje de marcado para confirmaciones de seguridad). Al igual que las páginas web se escriben en HTML (Lenguaje de hipertexto de marcado), los tokens de autenticación se escriben en SAML.

¿Cómo encaja el SSO en una estrategia de gestión de accesos?

El SSO es solo un aspecto de la gestión del acceso de los usuarios. Debe combinarse con el control de acceso, el control de permisos, los registros de actividad, y otras medidas de seguimiento y control del comportamiento de los usuarios en los sistemas internos de una organización. Sin embargo, el SSO es un elemento fundamental de la gestión de accesos. Si un sistema no sabe quién es un usuario, no hay manera de permitir o restringir las acciones de ese usuario.

¿Se integra Cloudflare con las soluciones de SSO?

Cloudflare Zero Trust controla con seguridad el acceso de los usuarios a las aplicaciones y sitios web; puede actuar como reemplazo de la mayoría de VPN. Cloudflare se integra con proveedores de SSO con el fin de identificar usuarios y asegurar sus permisos de acceso asignados.

Preguntas frecuentes

¿Qué es el inicio de sesión único (SSO) y cómo funciona?

El SSO es un proceso de autenticación que permite a los usuarios acceder a varias aplicaciones con un único conjunto de credenciales. El proceso suele implicar a un proveedor de identidad que autentica al usuario y a proveedores de servicios que aceptan el token de autenticación.

¿Cómo ayuda el SSO con la gestión de contraseñas en comparación con los gestores de contraseñas tradicionales?

El SSO elimina la necesidad de que los usuarios recuerden varios conjuntos de credenciales para diferentes aplicaciones. A diferencia de los gestores de contraseñas tradicionales que almacenan varias contraseñas, el SSO solo requiere un conjunto de credenciales para ser recordado y protegido.

¿Qué ventajas de seguridad ofrecen los sistemas de identidad federada con SSO?

La gestión de identidad federada con SSO proporciona un control de autenticación centralizado, lo que facilita a las organizaciones la aplicación de políticas de seguridad coherentes en varias aplicaciones. También reduce la superficie de ataque de una organización al limitar el número de credenciales almacenadas que podrían estar potencialmente en riesgo.

¿Cómo es compatible SSO con la autenticación multifactor (MFA)?

Los sistemas SSO pueden integrarse con MFA para requerir una verificación adicional más allá de las credenciales de inicio de sesión iniciales. Esta integración crea varias capas de seguridad al mismo tiempo que mantiene la comodidad de la funcionalidad SSO.

¿Qué son los protocolos Kerberos y SAML en la implementación de SSO?

Kerberos es un protocolo de autenticación que utiliza la criptografía de clave simétrica y la autorización de terceros de confianza para verificar las identidades. El lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar abierto basado en XML que intercambia datos de autenticación y autorización entre proveedores de identidad y proveedores de servicios. Mientras que Kerberos se suele utilizar en entornos locales, SAML se suele utilizar para soluciones de SSO basadas en la web.