¿Qué es el inicio de sesión único (SSO)?


Cree una cuenta de AWS
¿Qué es el SSO? ¿Por qué es importante SSO? ¿Cómo funciona SSO? ¿Cuáles son los tipos de SSO? ¿SSO es seguro? ¿Cómo se compara SSO con otras soluciones de administración de acceso? ¿Cómo puede ayudar AWS con SSO?

¿Qué es el SSO?

El inicio de sesión único (SSO) es una solución de autenticación que permite a los usuarios iniciar sesión en varias aplicaciones y sitios web con una única autenticación de usuario. Dado que en la actualidad los usuarios acceden con frecuencia a aplicaciones directamente desde sus navegadores, las organizaciones dan prioridad a las estrategias de administración de acceso que mejoran tanto la seguridad como la experiencia del usuario. El SSO brinda ambos aspectos, ya que los usuarios pueden acceder a todos los recursos protegidos por contraseñas, sin repetir el inicio de sesión, una vez que se ha validado su identidad.

¿Por qué es importante SSO?

El uso de SSO para agilizar los inicios de sesión de los usuarios beneficia a los usuarios y las organizaciones de varias maneras.

Reforzar la seguridad de las contraseñas

Cuando las personas no usan SSO, deben recordar varias contraseñas para diferentes sitios web. Esto podría dar lugar a prácticas de seguridad no recomendadas, como el uso de contraseñas simples o repetitivas para diferentes cuentas. Además, los usuarios pueden olvidar o escribir mal sus credenciales al iniciar sesión en un servicio. SSO evita la fatiga de contraseña y alienta a los usuarios a crear una contraseña segura que se pueda usar para varios sitios web.

Mejora de la productividad

Los empleados a menudo usan más de una aplicación empresarial que requiere autenticación por separado. Ingresar manualmente el nombre de usuario y la contraseña para cada aplicación lleva mucho tiempo y es improductivo. SSO agiliza el proceso de validación de usuarios para aplicaciones empresariales y facilita el acceso a recursos protegidos.

Reducción de costos

En su intento de recordar numerosas contraseñas, los usuarios empresariales pueden olvidar sus credenciales de inicio de sesión. Esto da como resultado solicitudes frecuentes para recuperar o restablecer sus contraseñas, lo que aumenta la carga de trabajo de los equipos de TI internos. La implementación de SSO reduce las ocurrencias de contraseñas olvidadas y, por lo tanto, minimiza los recursos de soporte en el manejo de solicitudes de restablecimiento de contraseña.

Mejora la posición de seguridad

Al minimizar la cantidad de contraseñas por usuario, SSO facilita la auditoría de acceso de los usuarios y proporciona un control de acceso sólido a todo tipo de datos. Esto reduce el riesgo de eventos de seguridad que tienen como objetivo las contraseñas, al tiempo que ayuda a las organizaciones a cumplir con las normas de seguridad de datos.

Una mejor experiencia al cliente

Los proveedores de aplicaciones en la nube usan SSO para proporcionar a los usuarios finales una experiencia de inicio de sesión y una gestión de credenciales sin inconvenientes. Los usuarios administran menos contraseñas y aún pueden acceder de manera segura a la información y las aplicaciones que necesitan para completar sus trabajos diarios.

¿Cómo funciona SSO?

SSO establece la confianza entre la aplicación o el servicio y un proveedor de servicios externo, también conocido como proveedor de identidades (IdP). Esto se consigue siguiendo una serie de pasos de autenticación, validación y comunicación realizados entre la aplicación y un servicio SSO centralizado. A continuación, se ofrecen los componentes importantes en las soluciones de SSO:

Servicio SSO

Un servicio SSO es un servicio central en el que se basan las aplicaciones cuando un usuario inicia sesión. Si un usuario no autenticado solicita acceso a una aplicación, la aplicación lo redirige al servicio SSO. Luego, el servicio autentica y redirige al usuario a la aplicación original. El servicio generalmente se ejecuta en un servidor de políticas de SSO dedicado.

Token SSO

Un token SSO es un archivo digital que contiene información de identificación del usuario, como un nombre de usuario o una dirección de correo electrónico. Cuando un usuario solicita acceso a una aplicación, la aplicación intercambia un token SSO con el servicio SSO para autenticar al usuario. 

 

Proceso de SSO

El proceso de SSO es el siguiente:

  1. Cuando un usuario inicia sesión en una aplicación, la aplicación genera un token SSO y envía una solicitud de autenticación al servicio SSO. 
  2. El servicio comprueba si el usuario fue previamente autenticado en el sistema. De ser así, envía una respuesta de autenticación confirmada a la aplicación para otorgar acceso al usuario. 
  3. Si el usuario no tiene una credencial validada, el servicio SSO lo redirige a un sistema de inicio de sesión central y le solicita que envíe su nombre de usuario y contraseña.
  4. Tras el envío, el servicio valida las credenciales del usuario y envía la respuesta positiva a la aplicación. 
  5. De lo contrario, el usuario recibe un mensaje de error y debe volver a ingresar las credenciales. Múltiples intentos de inicio de sesión fallidos podrían resultar en que el servicio bloquee al usuario de más intentos durante un periodo de tiempo fijo. 

¿Cuáles son los tipos de SSO?

Existen diferentes estándares y protocolos que utilizan las soluciones de SSO para validar y autenticar las credenciales de los usuarios.

SAML

SAML, o lenguaje de marcado de aserción de seguridad, es un protocolo o conjunto de reglas que utilizan las aplicaciones para intercambiar información de autenticación con el servicio SSO. SAML utiliza XML, un lenguaje de marcas compatible con el navegador, para intercambiar datos de identificación de usuarios. Los servicios SSO basados ​​en SAML brindan mayor seguridad y flexibilidad, ya que las aplicaciones no necesitan almacenar las credenciales de los usuarios en su sistema.

OAuth

OAuth, o autorización abierta, es un estándar abierto que permite que las aplicaciones obtengan acceso seguro a la información del usuario desde otros sitios web sin darles la contraseña. En lugar de solicitar contraseñas de usuario, las aplicaciones usan OAuth para obtener permiso de usuario para acceder a datos protegidos por contraseña. OAuth establece la confianza entre las aplicaciones a través de la API, lo que permite que la aplicación envíe y responda solicitudes de autenticación en un marco establecido.

OIDC

OpenID es una forma de utilizar un único conjunto de credenciales de usuario para acceder a varios sitios. Permite que el proveedor de servicios asuma el rol de autenticar las credenciales del usuario. En lugar de pasar un token de autenticación a un proveedor de identidad externo, las aplicaciones web usan OIDC para solicitar información adicional y validar la autenticidad del usuario.

Kerberos

Kerberos es un sistema de autenticación basado en tickets que permite que dos o más partes verifiquen mutuamente su identidad en la red. Utiliza criptografía de seguridad para evitar el acceso no autorizado a la información de identificación transmitida entre el servidor, los clientes y el centro de distribución de claves.

¿SSO es seguro?

Sí, SSO es una solución de administración de acceso de identidad avanzada y deseable. Cuando se despliega, una solución de inicio de sesión único ayuda a las organizaciones con la administración de acceso de usuarios para aplicaciones y recursos empresariales. Una solución de SSO hace que configurar y recordar contraseñas seguras sea más fácil para los usuarios de la aplicación. Además, el equipo de TI puede usar la herramienta SSO para monitorear el comportamiento del usuario, mejorar la resiliencia del sistema y reducir los riesgos de seguridad. 

¿Cómo se compara SSO con otras soluciones de administración de acceso?

Hay varias soluciones de administración de acceso e identidad entre las que puede elegir, según sus requisitos.

Administración de identidades federadas

La administración de identidades federadas (FIM) es un marco digital que permite que múltiples aplicaciones de diferentes proveedores compartan, administren y autentiquen la identidad del usuario. Por ejemplo, FIM le permite a su fuerza laboral iniciar sesión en una aplicación y luego acceder a otras aplicaciones empresariales sin volver a iniciar sesión. FIM autentica la credencial enviada por el proveedor de servicios con un proveedor de identidad creíble. 

SSO en comparación con administración de identidades federadas

La administración de identidades federadas es una solución integral de administración y autenticación de identidades para aplicaciones entre dominios. Por su parte, el inicio de sesión único (SSO) es una funcionalidad específica dentro del modelo FIM. Si bien FIM permite a los usuarios acceder a servicios de diferentes proveedores con un solo inicio de sesión, SSO se limita a servicios o aplicaciones alojados por un solo proveedor.

Mismas credenciales de inicio de sesión 

El uso de las mismas credenciales de inicio de sesión, que también lleva el acrónimo SSO (same sign-on), es una solución digital que almacena y sincroniza las credenciales de los usuarios en los dispositivos a los que accede el usuario. Es similar a los almacenes o administradores de contraseñas que permiten a los usuarios iniciar sesión en múltiples aplicaciones en diferentes dispositivos sin recordar las credenciales. 

Inicio de sesión único en comparación con el uso de las mismas credenciales de inicio de sesión

Los sistemas de inicio de sesión único requieren una autenticación única por parte del usuario. Una vez iniciada la sesión, el usuario puede acceder a otras aplicaciones y servicios web sin necesidad de volver a autenticarse. Mientras tanto, el uso de las mismas credenciales de inicio de sesión requiere que el usuario repita el proceso de inicio de sesión cada vez con las mismas credenciales de autenticación.

Autenticación multifactor

La autenticación multifactor es un marco de autenticación de usuario que utiliza dos o más tecnologías para verificar la identidad del usuario. Por ejemplo, los usuarios ingresan su dirección de correo electrónico y contraseña en una página web e ingresan una contraseña de un solo uso (OTP) enviada a su teléfono móvil para habilitar el acceso seguro. 

SSO en comparación con la autenticación multifactor

SSO permite a las organizaciones simplificar y fortalecer la seguridad de las contraseñas al permitir el acceso a todos los servicios conectados con un solo inicio de sesión. La autenticación multifactor proporciona capas de seguridad adicionales para reducir la posibilidad de acceso no autorizado a través de credenciales robadas. Tanto SSO como la autenticación multifactor se pueden integrar para mejorar la postura de seguridad de las aplicaciones web.

¿Cómo puede ayudar AWS con SSO?

AWS IAM Identity Center es una solución de autenticación en la nube que permite a las organizaciones crear o conectar de forma segura las identidades de su fuerza laboral y administrar su acceso de forma centralizada en las cuentas y aplicaciones de AWS. Puede crear identidades de usuario o importarlas desde proveedores de identidad externos como Okta Universal Directory o Azure. Algunos beneficios de AWS IAM Identity Center incluyen:

  • Un panel central para administrar identidades para su cuenta de AWS o aplicaciones comerciales.
  • Soporte de autenticación multifactor para proporcionar una experiencia de autenticación altamente segura para los usuarios. 
  • Soporte de integración con otras aplicaciones de AWS para autenticación y autorización de configuración cero.

Comience con SSO en AWS creando una cuenta gratuita de AWS hoy.

Siguientes pasos de AWS SSO

Descubra otros recursos relacionados con el producto
Más información sobre los servicios de seguridad 
Regístrese para obtener una cuenta gratuita

Obtenga acceso inmediato al nivel Gratuito de AWS. 

Regístrese 
Comience a crear en la consola

Comience a crear en la consola de administración de AWS.

Iniciar sesión