¿Cómo funciona SSO (inicio de sesión único)?

26 de mayo de 2022

Introducción

Se insta a los usuarios a crear contraseña única y complejas cada vez que se registran en un servicio o herramienta en línea. Las políticas estrictas de contraseñas y la gran cantidad de credenciales conducen a una mayor fatiga de contraseñas.

Los usuarios están recurriendo a prácticas inseguras, tales como:

  • Usar las mismas credenciales para varias cuentas.
  • Creación de contraseñas débiles.
  • Escribir y almacenar credenciales sin cifrar.
  • Uso de ligeras variaciones de contraseña para diferentes cuentas.

El concepto de inicio de sesión único (SSO) quita algo de presión a los usuarios y reduce la cantidad de contraseñas que necesitan crear y recordar.

Aprenda cómo funciona SSO y optimice el proceso de inicio de sesión para herramientas internas o aplicaciones orientadas al cliente.

¿Qué es el inicio de sesión único y cómo funciona el SSO?

¿Qué es SSO (Inicio de sesión único)?

SSO es un esquema de autenticación que permite a los usuarios acceder a aplicaciones separadas utilizando las mismas credenciales.

Una vez que un usuario ingresa su información de inicio de sesión para una aplicación, puede acceder a otras aplicaciones confiables y preconfiguradas sin volver a ingresar sus credenciales.

Las diferentes aplicaciones deben ingresar un relación de confianza previamente para verificar y autenticar la identidad digital del usuario. Las organizaciones suelen utilizar proveedores de identidad de terceros para automatizar y acelerar el proceso de autenticación.

La implementación del inicio de sesión único permite a las empresas:

  • Mejore la experiencia de inicio de sesión de empleados o clientes.
  • Reduzca la fatiga de contraseñas.
  • Permita que el personal amplíe los flujos de trabajo entre dispositivos y aplicaciones más fácilmente.
  • Centralice los controles de acceso de los usuarios.
  • Optimice los análisis de seguimiento de auditoría.

Las soluciones de inicio de sesión único suelen formar parte de un sistema de gestión de identidad federada (FIM) más amplio.

Un breve glosario de SSO

  • Gestión de identidad federada (FIM) - Dos o más dominios u organizaciones separados interconectan sus sistemas de autenticación a través de un proveedor de identidad (IdP) de terceros. Los dominios que han establecido una relación FIM confían en el proceso de autenticación realizado en los otros dominios federados. Los usuarios pueden acceder a los servicios dentro de una red FIM sin volver a ingresar los datos de inicio de sesión o autenticación adicional.
  • Proveedor de identidad - Un proveedor de identidad (IdP) es un servicio de terceros que almacena y gestiona las identidades digitales de los usuarios y facilita el control de acceso entre los proveedores de servicios federados.
  • Proveedor de servicios - Una aplicación remota que se basa en el proveedor de identidad para confirmar que el usuario se autenticó correctamente.
  • Entidades - Una entidad es un objeto único (proceso, cliente, servidor o propietario del recurso) que participa en el proceso de autenticación.
  • Punto final web - Una URL que permite a los clientes web comunicarse e interactuar con un servicio web específico.
  • Emisor - El emisor autentica los datos y emite un mensaje de autenticación.
  • Mismo inicio de sesión - El usuario puede utilizar las mismas credenciales para acceder a diferentes servicios, pero debe ingresar sus credenciales para cada servicio. El proceso de autenticación no está automatizado como con el inicio de sesión único.
Relación de Single Sing-On y Federated Identity Management.
  • OAuth - OAuth es un marco de autorización que permite que las aplicaciones compartan datos y recursos con otras aplicaciones sin revelar la contraseña del usuario. Los permisos y el alcance dependen del consentimiento del propietario del recurso.
  • Conexión OpenID (OIDC) - OpenID Connect es un protocolo de identidad que permite a los clientes verificar la identidad del usuario y obtener información básica del perfil sobre sesiones y usuarios autenticados.
  • Lenguaje de marcado de acceso de seguridad (SAML) - SAML es un estándar abierto basado en XML para el intercambio de datos de autenticación y autorización entre un proveedor de identidad (IdP) y proveedores de servicios.
  • Autenticación basada en token - Un servidor genera un token cifrado único basado en las credenciales y los datos del usuario. El token se usa posteriormente para autenticar al cliente con otras aplicaciones y proveedores de servicios. El usuario puede utilizar el token codificado con fines de autenticación en lugar de compartir datos confidenciales, como nombres de usuario o contraseñas.

Nota: Aprende sobre autenticación básica curl, un método de autenticación en el que el servidor declara que el cliente debe enviar un nombre de usuario y una contraseña.


¿Cómo funciona SSO?

Las soluciones de SSO utilizan diferentes marcos y protocolos para establecer una relación de confianza entre los sistemas de autenticación y los proveedores de servicios. El flujo de autenticación depende de los recursos de la organización y los requisitos del modelo comercial.

El inicio de sesión único se basa en tokens de autenticación para transferir datos relacionados con la autenticación entre aplicaciones:

  • El proveedor de identidad tokeniza los datos del usuario y envía el token al proveedor de servicios para confirmar que el usuario se autenticó correctamente.
  • El token está firmado digitalmente y contiene un certificado que confirma que el token se envió desde una fuente confiable, es decir, el proveedor de identidad.
  • El proveedor de servicios acepta el certificado de token y lo usa para identificar y otorgar acceso a un usuario en particular.

Los siguientes pasos ilustran un flujo típico de autenticación de SSO:

  1. El usuario intenta acceder a una aplicación alojada por el Proveedor de Servicios.
  2. El proveedor de servicios recopila los datos del usuario y envía un token al proveedor de identidad. El token contiene datos básicos del usuario y forma parte de una solicitud para autenticar al usuario.
  3. El proveedor de identidad comprueba si el usuario ya se ha autenticado, en cuyo caso se concede acceso inmediato al usuario. Si el usuario no puede ser autorizado, debe ingresar las credenciales almacenadas con el proveedor de identidad. Esto puede incluir una contraseña, una contraseña de un solo uso u otros métodos de autenticación.
  4. Una vez que el proveedor de identidad valida las credenciales proporcionadas, envía un token al proveedor de servicios para confirmar que el usuario se autenticó correctamente.
  5. El proveedor de servicios recibe y valida el token en función de la relación de confianza establecido entre el proveedor de identidad y el proveedor de servicios.
  6. El usuario puede acceder a la aplicación alojada por el Proveedor de Servicios.
Flujo de autenticación de inicio de sesión único.

Se aplica el mismo flujo de autenticación si un usuario intenta acceder a una aplicación diferente dentro de la FIM.

¿Es SSO más seguro?

SSO permite a las organizaciones centralizar el control de acceso, supervisar los registros de auditoría y disminuir la cantidad de problemas de seguridad causados ​​por la mala gestión de contraseñas.

Los clientes y empleados usan menos contraseñas, lo que reduce la superficie de ataque potencial y el riesgo de compartir contraseñas accidental o deliberadamente.

Sin embargo, los riesgos subyacentes de la autenticación basada en contraseñas y tokens aún están presentes.

Amenazas persistentes avanzadas (APT) que incluyen ataques de secuencias de comandos entre sitios (XSS) y secuestro de sesiones son una amenaza considerable para las aplicaciones que utilizan SSO.

Si un atacante logra secuestrar la sesión del token, potencialmente puede acceder a todos los servicios dentro de un FIM.

Las empresas que manejan datos confidenciales de clientes deben introducir herramientas de autenticación adicionales como autenticación de dos factores.

El inicio de sesión único puede reducir los costos asociados con la pérdida de contraseñas, la creación de cuentas y los problemas de acceso, pero es posible que las organizaciones deban invertir recursos adicionales para desarrollar e implementar soluciones de SSO.

SSO aumenta la seguridad de las contraseñas al mismo tiempo que mejora la satisfacción del cliente y permite que los empleados completen las tareas diarias de manera más eficiente.

Conclusión

Conoce cómo funciona SSO y los beneficios que puede brindarles a sus clientes y empleados.

Las contraseñas son gratuitas, fáciles de escalar y los usuarios entienden cómo funcionan. Sin embargo, las aplicaciones y los servicios en línea son cada vez más capaces e inmersivos y, como tales, están cambiando las expectativas y el comportamiento de los usuarios.

Los usuarios quieren un inicio de sesión rápido y sin problemas que incluya autenticación sin contraseña e interoperabilidad de IoT, y SSO es un paso importante.

Acerca del autor.
Vladímir Kaplarevic
Vladimir es un redactor técnico residente en CCBill. Tiene más de 8 años de experiencia en la implementación de comercio electrónico y soluciones de pago en línea con varios proveedores de servicios de TI globales. Su atractivo estilo de escritura proporciona consejos prácticos y tiene como objetivo despertar la curiosidad por las tecnologías innovadoras.
Hable con un especialista en asistencia comercial