Fecha de actualización: 1 de marzo de 2024
Colaboradores: Mark Scapicchio, Amber Forrest
Single Sign On (SSO), o inicio de sesión único, es un esquema de autenticación que permite a los usuarios iniciar sesión una vez utilizando un único conjunto de credenciales y acceder a varias aplicaciones durante la misma sesión.
El Single Sign On simplifica la autenticación del usuario, mejora la experiencia del usuario y, cuando se implementa correctamente, mejora la seguridad. Se emplea a menudo para gestionar la autenticación y el acceso seguro a intranets o extranets de empresas, portales de estudiantes, servicios de nube pública y otros entornos donde los usuarios necesitan moverse entre diferentes aplicaciones para realizar su trabajo. También se emplea cada vez más en sitios web y aplicaciones orientadas al cliente, como sitios bancarios y de comercio electrónico, para combinar aplicaciones de proveedores externos en experiencias de usuario fluidas y sin interrupciones.
El índice X-Force Threat Intelligence ofrece nueva información sobre las principales amenazas para prepararse y responder con mayor rapidez a los ataques cibernéticos y extorsiones, entre otras amenazas.
Regístrese para recibir el informe sobre el costo de una filtración de datos
El Single Sign On (SSO), o inicio de sesión único, se basa en una relación de confianza digital entre los proveedores de servicios (aplicaciones, sitios web, servicios) y un proveedor de identidades (IdP) o solución de SSO. La solución de SSO suele formar parte de una solución más amplia de gestión de identidad y acceso (IAM) .
En general, la autenticación mediante SSO funciona de la siguiente manera:
El usuario inicia sesión en uno de los proveedores de servicios o en un portal central (como la intranet de una empresa o un portal de estudiantes universitarios) empleando las credenciales de inicio de sesión de SSO.
Si el usuario se autentica correctamente, la solución de SSO genera un token de autenticación de sesión que contiene información específica sobre la identidad del usuario: nombre de usuario, dirección de correo electrónico, etc. Este token se almacena con el navegador web del usuario o en el sistema de SSO.
Cuando el usuario intenta acceder a otro proveedor de servicios de confianza, la aplicación comprueba con el sistema SSO si el usuario ya está autenticado para la sesión. Si es así, la solución de SSO valida al usuario firmando el token de autenticación con un certificado digital y se le concede acceso a la aplicación. En caso contrario, se le indica al usuario que vuelva a ingresar sus credenciales de acceso.
Suscríbase para recibir actualizaciones sobre temas de seguridad
El proceso de SSO descrito anteriormente (un inicio de sesión único con un único conjunto de credenciales de usuario que permite iniciar sesión en múltiples aplicaciones relacionadas) a veces se denomina SSO simple o SSO puro. Otros tipos de SSO son los siguientes:
El SSO adaptativo requiere un conjunto inicial de credenciales de inicio de sesión, pero se le solicitan al usuario factores de autenticación adicionales o un nuevo inicio de sesión cuando surgen riesgos adicionales, como cuando un usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos o funcionalidades particularmente confidenciales.
La gestión de identidades federadas, o FIM, es un superconjunto de SSO. Si bien el SSO se basa en una relación de confianza digital entre aplicaciones dentro del dominio de una sola organización, la gestión de identidades federadas (FIM) extiende esa relación a terceros, proveedores y otros proveedores de servicios de confianza externos a la organización. Por ejemplo, la FIM podría permitir que un empleado que inició sesión acceda a aplicaciones web de terceros (por ejemplo, Slack o WebEx) sin un inicio de sesión adicional, o con un inicio de sesión simple que requiera solo el nombre de usuario.
El inicio de sesión social permite que los usuarios finales accedan a las aplicaciones con las mismas credenciales que utilizan para acceder a las redes sociales más populares. Para los proveedores de aplicaciones de terceros, el inicio de sesión social puede desalentar comportamientos no deseados (por ejemplo, inicios de sesión falsos, abandono del carrito de compras) y proporcionar información valiosa para mejorar sus aplicaciones.
El inicio de sesión único o SSO se puede implementar empleando cualquiera de los diferentes protocolos y servicios de autenticación.
El lenguaje de marcado de aserción de seguridad, o SAML, es el protocolo estándar abierto más antiguo para el intercambio de datos cifrados de autenticación y autorización entre un proveedor de identidades y múltiples proveedores de servicios. Debido a que proporciona un mayor control sobre la seguridad que otros protocolos, SAML se emplea normalmente para implementar el SSO dentro de dominios de aplicaciones empresariales o gubernamentales y entre esos dominios.
Open Authorization (OAuth) es un protocolo estándar abierto que intercambia datos de autorización entre aplicaciones sin exponer la contraseña del usuario. OAuth permite utilizar un inicio de sesión único para agilizar las interacciones entre aplicaciones que normalmente requerirían inicios de sesión independientes para cada una. Por ejemplo, OAuth permite que LinkedIn busque en sus contactos de correo electrónico nuevos miembros potenciales de la red.
OIDC es otro protocolo estándar abierto que utiliza API REST y tokens de autenticación JSON para permitir que un sitio web o aplicación otorgue acceso a los usuarios autenticándolos a través de otro proveedor de servicios.
Dispuesto como una capa encima de OAuth, OICD se emplea principalmente para implementar inicios de sesión sociales en aplicaciones de terceros y carritos de compras, entre otras aplicaciones. Como implementación más ligera, OAuth/OIDC se utiliza a menudo para SAML para implementar el SSO en software como servicio (SaaS) y aplicaciones en la nube, aplicaciones móviles y dispositivos de Internet de las cosas (IoT) .
El protocolo ligero de acceso a directorios (LDAP) define un directorio para almacenar y actualizar las credenciales de usuario, junto con un proceso para autenticar a los usuarios en el directorio. Presentado en 1993, el protocolo LDAP sigue siendo la solución de directorio de autenticación elegida por muchas organizaciones que implementan SSO, porque les permite proporcionar un control granular sobre el acceso al directorio.
El componente Active Directory Federation Services, o ADFS, se ejecuta en Microsoft Windows Server para permitir la gestión de identidades federadas, incluso el inicio de sesión único (SSO), con aplicaciones y servicios locales y externos. ADFS utiliza el servicio Active Directory Domain Services (ADDS) como proveedor de identidades.
El SSO ahorra tiempo y problemas a los usuarios. Por ejemplo: en lugar de iniciar sesión en varias aplicaciones varias veces al día, con el SSO los usuarios finales empresariales pueden iniciar sesión en la intranet de la empresa una sola vez para acceder durante todo el día a todas las aplicaciones que necesiten.
Pero al reducir de manera significativa la cantidad de contraseñas que los usuarios deben recordar y la cantidad de cuentas de usuario que los administradores deben gestionar, el SSO puede brindar una serie de beneficios adicionales.
Los usuarios que tienen que gestionar muchas contraseñas a menudo incurren en la mala y riesgosa costumbre de usar las mismas contraseñas cortas y débiles, o pequeñas variaciones de las mismas, para cada aplicación. Si un hacker descifra una de estas contraseñas, puede obtener acceso fácilmente a múltiples aplicaciones. El SSO permite que los usuarios consoliden varias contraseñas cortas y débiles en una única contraseña larga y segura que es más fácil de recordar para los usuarios y mucho más difícil de descifrar para los hackers.
Según el índice X-Force Threat Intelligence 2024 de IBM, en 2023 se registró un aumento interanual del 71 % en los ataques cibernéticos que utilizaron credenciales robadas o en riesgo. El SSO puede reducir o eliminar la necesidad de utilizar administradores de contraseñas, guardar contraseñas en hojas de cálculo, escribir contraseñas en notas adhesivas, entre otras ayudas para la memoria, que constituyen objetivos para los hackers, facilitan el robo de las contraseñas o bien permiten que las personas equivocadas las encuentren.
Según Gartner, analista de la industria, entre el 20 y el 50 por ciento de las llamadas al servicio de asistencia de TI están relacionadas con el olvido o restablecimiento de contraseñas. La mayoría de las soluciones de SSO facilitan que los usuarios restablezcan las contraseñas ellos mismos, con la ayuda del servicio de asistencia.
SSO ofrece a los administradores un control más sencillo y centralizado sobre el aprovisionamiento de cuentas y las licencias de acceso. Cuando un usuario abandona la organización, los administradores pueden eliminar las licencias y dar de baja la cuenta de usuario en menos pasos.
El SSO puede facilitar el cumplimiento de los requisitos normativos relacionados con la protección de la información de identidad personal (PII) y el control de acceso a los datos, así como requisitos específicos establecidos en algunas regulaciones, como HIPAA, en torno a los tiempos de espera de las sesiones.
El principal riesgo del SSO es que si las credenciales de un usuario están en riesgo, pueden otorgar a un atacante acceso a todas o la mayoría de las aplicaciones y recursos de la red. Pero exigir a los usuarios que creen contraseñas largas y complejas, y cifrar y proteger cuidadosamente esas contraseñas dondequiera que estén almacenadas, contribuye en gran medida a prevenir esta hipótesis desfavorable.
Además, la mayoría de los expertos en seguridad recomiendan la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) como parte de cualquier implementación de SSO. Ambos métodos de autenticación, 2FA y MFA, requieren que los usuarios proporcionen al menos un factor de autenticación además de una contraseña, por ejemplo, un código enviado a un teléfono móvil, una huella digital, un documento de identidad. Debido a que estas credenciales adicionales son las que los hackers no pueden robar o falsificar con facilidad, la MFA puede reducir de manera significativa los riesgos relacionados con las credenciales en riesgo en el SSO.
Agregue un contexto profundo, inteligencia y seguridad a las decisiones sobre qué usuarios deben tener acceso a los datos y aplicaciones de su organización, en entornos locales o en la nube.
Centralice el control de acceso para aplicaciones locales y en la nube.
Vaya más allá de la autenticación básica con opciones de autenticación multifactor o sin contraseña.
El informe sobre el costo de una filtración de datos ayuda en la preparación para evitar las filtraciones al comprender sus causas y los factores que aumentan o reducen sus costos.
IAM es la disciplina de ciberseguridad que se ocupa de la manera en que los usuarios acceden a los recursos digitales y qué pueden hacer con esos recursos.
La autenticación multifactor requiere que los usuarios proporcionen al menos dos elementos de prueba, además del nombre de usuario, para demostrar su identidad.