Single Sign On (SSO), o inicio de sesión único, es un esquema de autenticación que permite a los usuarios iniciar sesión una vez utilizando un único conjunto de credenciales y acceder a varias aplicaciones durante la misma sesión.
El Single Sign On simplifica la autenticación del usuario, mejora la experiencia del usuario y, cuando se implementa correctamente, mejora la seguridad. Se emplea a menudo para gestionar la autenticación y el acceso seguro a intranets o extranets de empresas, portales de estudiantes, servicios de nube pública y otros entornos donde los usuarios necesitan moverse entre diferentes aplicaciones para realizar su trabajo. También se emplea cada vez más en sitios web y aplicaciones orientadas al cliente, como sitios bancarios y de comercio electrónico, para combinar aplicaciones de proveedores externos en experiencias de usuario fluidas y sin interrupciones.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
El inicio de sesión único se basa en una relación de confianza digital entre los proveedores de servicios (aplicaciones, sitios web, servicios) y un proveedor de identidades (IdP) o solución de SSO. La solución de SSO suele formar parte de una solución más amplia de gestión de identidad y acceso (IAM) .
En general, la autenticación mediante SSO funciona de la siguiente manera:
El usuario inicia sesión en uno de los proveedores de servicios o en un portal central (como la intranet de una empresa o un portal de estudiantes universitarios) empleando las credenciales de inicio de sesión de SSO.
Si el usuario se autentica correctamente, la solución de SSO genera un token de autenticación de sesión que contiene información específica sobre la identidad del usuario: nombre de usuario, dirección de correo electrónico, etc. Este token se almacena con el navegador web del usuario o en el sistema de SSO.
Cuando el usuario intenta acceder a otro proveedor de servicios de confianza, la aplicación comprueba con el sistema SSO si el usuario ya está autenticado para la sesión. Si es así, la solución de SSO valida al usuario firmando el token de autenticación con un certificado digital y se le concede acceso a la aplicación. En caso contrario, se le indica al usuario que vuelva a ingresar sus credenciales de acceso.
El proceso de SSO descrito anteriormente (un inicio de sesión único con un único conjunto de credenciales de usuario que permite iniciar sesión en múltiples aplicaciones relacionadas) a veces se denomina SSO simple o SSO puro. Otros tipos de SSO son los siguientes:
El SSO adaptativo requiere un conjunto inicial de credenciales de inicio de sesión, pero se le solicitan al usuario factores de autenticación adicionales o un nuevo inicio de sesión cuando surgen riesgos adicionales, como cuando un usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos o funcionalidades particularmente confidenciales.
La gestión de identidades federadas, o FIM, es un superconjunto de SSO. Si bien el SSO se basa en una relación de confianza digital entre aplicaciones dentro del dominio de una sola organización, la gestión de identidades federadas (FIM) extiende esa relación a terceros, proveedores y otros proveedores de servicios de confianza externos a la organización. Por ejemplo, la FIM podría permitir que un empleado que inició sesión acceda a aplicaciones web de terceros (por ejemplo, Slack o WebEx) sin un inicio de sesión adicional, o con un inicio de sesión simple que requiera solo el nombre de usuario.
El inicio de sesión social permite que los usuarios finales accedan a las aplicaciones con las mismas credenciales que utilizan para acceder a las redes sociales más populares. Para los proveedores de aplicaciones de terceros, el inicio de sesión social puede desalentar comportamientos no deseados (por ejemplo, inicios de sesión falsos, abandono del carrito de compras) y proporcionar información valiosa para mejorar sus aplicaciones.
El inicio de sesión único o SSO se puede implementar empleando cualquiera de los diferentes protocolos y servicios de autenticación.
El lenguaje de marcado de aserción de seguridad, o SAML, es el protocolo estándar abierto más antiguo para el intercambio de datos cifrados de autenticación y autorización entre un proveedor de identidades y múltiples proveedores de servicios. Debido a que proporciona un mayor control sobre la seguridad que otros protocolos, SAML se emplea normalmente para implementar el SSO dentro de dominios de aplicaciones empresariales o gubernamentales y entre esos dominios.
Open Authorization, u OAuth, es un protocolo de estándar abierto que intercambia datos de autorización entre aplicaciones sin exponer la contraseña del usuario. OAuth permite utilizar un inicio de sesión único para agilizar las interacciones entre aplicaciones que normalmente requerirían un inicio de sesión por separado. Por ejemplo, OAuth permite que LinkedIn busque en los contactos de correo electrónico del usuario nuevos miembros potenciales de la red.
OIDC, otro protocolo estándar abierto, que utiliza API REST y tokens de autenticación JSON para permitir que un sitio web o una aplicación conceda acceso a los usuarios autenticándolos a través de otro proveedor de servicios.
Superpuesto a OAuth, OICD se utiliza principalmente para implementar inicios de sesión sociales en aplicaciones de terceros, carritos de compra, etc. OAuth/OIDC, una implementación más ligera, se utiliza a menudo junto con SAML para implementar el SSO en las aplicaciones de software como servicio (SaaS) y aplicaciones en la nube, aplicaciones móviles y dispositivos de Internet de las cosas (IoT).
El protocolo ligero de acceso a directorios (LDAP) define un directorio para almacenar y actualizar las credenciales de usuario, junto con un proceso para autenticar a los usuarios en el directorio. Presentado en 1993, el protocolo LDAP sigue siendo la solución de directorio de autenticación elegida por muchas organizaciones que implementan SSO, porque les permite proporcionar un control granular sobre el acceso al directorio.
Active Directory Federation Services, o ADFS, se ejecuta en Microsoft Windows Server para permitir la gestión de identidades federadas, incluido el inicio de sesión único (SSO), con aplicaciones y servicios dentro y fuera de las instalaciones. ADFS utiliza los Active Directory Domain Services (ADDS) como proveedor de identidades.
El SSO ahorra tiempo y problemas a los usuarios. Por ejemplo: en lugar de iniciar sesión en varias aplicaciones varias veces al día, con el SSO los usuarios finales empresariales pueden iniciar sesión en la intranet de la empresa una sola vez para acceder durante todo el día a todas las aplicaciones que necesiten.
Pero al reducir de manera significativa la cantidad de contraseñas que los usuarios deben recordar y la cantidad de cuentas de usuario que los administradores deben gestionar, el SSO puede brindar una serie de beneficios adicionales.
Los usuarios que tienen que gestionar muchas contraseñas a menudo incurren en la mala y riesgosa costumbre de usar las mismas contraseñas cortas y débiles, o pequeñas variaciones de las mismas, para cada aplicación. Si un hacker descifra una de estas contraseñas, puede obtener acceso fácilmente a múltiples aplicaciones. El SSO permite que los usuarios consoliden varias contraseñas cortas y débiles en una única contraseña larga y segura que es más fácil de recordar para los usuarios y mucho más difícil de descifrar para los hackers.
Según el IBM X-Force Threat Intelligence Index 2025, por segundo año consecutivo el uso de credenciales de cuentas válidas secuestradas fue el vector de acceso inicial más común en ciberataques (este año empató en el primer lugar con la explotación de aplicaciones públicas). El SSO puede reducir o eliminar la necesidad de utilizar password managers, guardar contraseñas en hojas de cálculo y escribir contraseñas en notas adhesivas, entre otras ayudas para la memoria, que constituyen objetivos para los hackers o facilitan el robo de las contraseñas o bien que personas mal intencionadas las encuentren accidentalmente.
Según Gartner, analista de la industria, entre el 20 y el 50 por ciento de las llamadas al servicio de asistencia de TI están relacionadas con el olvido o restablecimiento de contraseñas. La mayoría de las soluciones de SSO facilitan que los usuarios restablezcan las contraseñas ellos mismos, con la ayuda del servicio de asistencia.
Un estudio del IBM Institute for Business Value reveló que el 52 % de los ejecutivos afirma que la complejidad es el mayor impedimento para las operaciones de seguridad. El SSO ofrece a los administradores un control más sencillo y centralizado del aprovisionamiento de cuentas y los permisos de acceso. Cuando un usuario abandona la organización, los administradores pueden eliminar los permisos y dar de baja la cuenta de usuario en menos pasos.
El SSO puede facilitar el cumplimiento de los requisitos normativos relacionados con la protección de la información de identidad personal (PII) y el control de acceso a los datos, así como requisitos específicos establecidos en algunas reglamentaciones, como HIPAA, en torno a los tiempos de espera de las sesiones.
El principal riesgo del SSO es que si las credenciales de un usuario se ponen en riesgo, pueden otorgar a un atacante acceso a la totalidad de las aplicaciones y recursos de la red o a la mayoría de ellos. Sin embargo, requerir a los usuarios que creen contraseñas largas y complejas —y cifrarlas y protegerlas cuidadosamente dondequiera que se almacenen— ayuda en gran medida a prevenir este peor escenario posible.
Además, la mayoría de los expertos en seguridad recomiendan la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) como parte de cualquier implementación de SSO. Ambos métodos de autenticación, 2FA y MFA, requieren que los usuarios proporcionen al menos un factor de autenticación además de una contraseña, por ejemplo, un código enviado a un teléfono móvil, una huella digital o un documento de identidad. Debido a que los piratas informáticos estas no pueden robar o falsificar con facilidad estas credenciales adicionales, la MFA puede reducir de manera significativa los riesgos relacionados con las credenciales implicadas en el SSO.