¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) es una capacidad de autenticación que permite que los usuarios accedan a varias aplicaciones con un único conjunto de credenciales de inicio de sesión. Por lo general, las empresas utilizan SSO para proporcionar un acceso más sencillo a una serie de aplicaciones web, en las instalaciones y en la nube para obtener una mejor experiencia del usuario. También puede proporcionar al departamento de TI más control sobre el acceso de usuario, reducir las llamadas al servicio de soporte técnico telefónico relacionadas con contraseñas y mejorar la seguridad y la conformidad.

¿Por qué usar un inicio de sesión único?

En la actualidad, las aplicaciones se implementan en centros de datos y nubes, y se entregan como SaaS. Todas las aplicaciones empresariales requieren que los usuarios se autentiquen antes de tener acceso a un recurso. En los días anteriores a SSO, cada vez que un usuario necesitaba desplazarse entre aplicaciones, tenía que iniciar sesión con un conjunto de credenciales. La mayor parte de las veces, cada aplicación tenía un conjunto de credenciales independiente, y esto daba lugar a una experiencia del usuario deficiente, errores de inicio de sesión como resultado del olvido de las credenciales y un mayor costo para brindar soporte a estas aplicaciones.

SSO ha simplificado la forma en que los usuarios interactúan con sus aplicaciones así como la manera en que acceden a ellas. Con SSO, los usuarios pueden ahorrar tiempo al acceder a todas sus aplicaciones de VDI, empresariales, web y SaaS, así como otros recursos corporativos como unidades compartidas de archivos en red, con solo un conjunto de credenciales.

¿Cómo funciona el inicio de sesión único?

El inicio de sesión único es un componente de la administración de identidad federada (FIM), un acuerdo entre las empresas que permite que los suscriptores utilicen los mismos datos de identificación para acceder a la red de cada empresa. A menudo, se hace referencia a FIM como una federación de identidades.

La identidad del usuario está vinculada a lo largo de varios dominios de seguridad, cada uno de ellos con su propio sistema de administración de identidades. Cuando los dominios están federados, el usuario puede autenticarse en uno de ellos y acceder a recursos en otro sin tener que volver a iniciar la sesión.

El marco de trabajo que permite que terceras partes, como LinkedIn o Facebook, utilicen la información de la cuenta de alguien para iniciar sesión sin exponer su contraseña se llama OAuth. Actúa como un intermediario proporcionando el servicio con un token que permite compartir solo la información específica de la cuenta. Cuando un usuario accede a una aplicación, el servicio envía una solicitud de autenticación al proveedor de identidades, que a continuación verifica la solicitud y concede acceso.

Hay otros protocolos de autenticación, como Kerberos y el Security Assertion Markup Language (SAML, lenguaje de marcado para confirmaciones de seguridad). Los servicios de SSO basados en Kerberos emiten un ticket de autenticación con una marca de tiempo, o un ticket que concede ticket (TGT), que recibe tickets de servicio para otras aplicaciones sin tener que solicitar al usuario que introduzca nuevas credenciales. Los servicios de SSO basados en SAML intercambian los datos de autorización y autenticación del usuario entre distintos dominios seguros y administran las comunicaciones entre el usuario, un proveedor de identidades con un directorio de usuarios y un proveedor de servicios.

¿Cuáles son los beneficios de un inicio de sesión único?

SSO ofrece beneficios a los usuarios y al departamento de TI. Desde la perspectiva del usuario, SSO alivia la fatiga de recordar contraseñas, con lo que es más fácil y rápido acceder a las aplicaciones.

Para el departamento de TI, SSO puede ayudar a reducir el número de llamadas al servicio de soporte relacionadas con contraseñas. Además, una administración automatizada de credenciales alivia la carga de administrar manualmente el acceso de los empleados a las aplicaciones y servicios. SSO también facilita que el departamento de TI aprovisione y despliegue rápidamente las aplicaciones SaaS a los empleados.

Además, desde la perspectiva de la seguridad, SSO puede reducir la amenaza de ciberataques, como la suplantación de identidades, al reducir el número de credenciales que están en riesgo. Sin embargo, es crítico también implementar la autenticación multifactor como una medida de respaldo en caso de que las contraseñas estén comprometidas.   

Mejores prácticas de inicio de sesión único

Al buscar una solución de SSO, es importante tener en cuenta las siguientes mejores prácticas.

  1. Acceso a cualquier aplicación. Algunas soluciones de SSO son limitadas en el ámbito del panorama de aplicaciones que cubren. Algunas de las soluciones en las instalaciones proporcionan SSO para las aplicaciones web y empresariales, pero no pueden hacer lo mismo para aplicaciones de VDI o SaaS. Por otro lado, algunos de los proveedores de IDaaS proporcionan SSO a las aplicaciones en la nube y SaaS, pero no para las aplicaciones en las instalaciones. A la hora de evaluar una solución de SSO, debería priorizar la capacidad no solo de proporcionar una experiencia de SSO en todas las aplicaciones de VDI, empresariales, web y SaaS, sino también el acceso a la red a otros recursos corporativos como las unidades compartidas de archivos en la red.
  2. Identidad de usuario segura al acceder a aplicaciones SaaS. Las aplicaciones SaaS residen fuera de la red del centro de datos. Para proporcionar un SSO a estas aplicaciones, muchas soluciones requieren que los clientes muevan su directorio de usuarios a la nube. Esto, para muchos clientes empresariales, es una preocupación y una tarea de alto riesgo, motivo por el que su solución debería proporcionar la opción para mantener su directorio de usuarios en las instalaciones.
  3. Integración con mecanismos de autenticación multifactor. Es vital identificar rápida y correctamente cualquier usuario y autorizar su acceso a los recursos corporativos. Por tanto, los clientes empresariales no deberían confiar simplemente en nombres de usuario y contraseñas, sino que también deberían buscar una solución que proporcione la flexibilidad para usar esquemas de autenticación basados en el estado del dispositivo del usuario final, la ubicación del usuario, la aplicación a la que intentan acceder, etc. Esto hace que sea importante seleccionar una solución de SSO que admita cualquier mecanismo de autenticación, así como protocolos de autenticación como RADIUS, Kerberos, Microsoft NTLM, Certificate Services, etc.
  4. Herramientas de monitorización y resolución de problemas. Su solución de SSO debería incluir herramientas de monitorización que detecten problemas de rendimiento para todas las aplicaciones, independientemente de si están en el centro de datos, en la nube o se entregan como SaaS, de forma que pueda resolver los problemas rápidamente.

Recursos adicionales