¿Qué es SSO o Single Sign-On? Definición, tipos y herramientas

La ciberseguridad en una empresa es uno de los elementos más importantes y que conviene siempre tener con las últimas actualizaciones. Sin embargo, esto conlleva procesos y operaciones complejos, así como la configuración de accesos y contraseñas que con el tiempo pueden complicar la gestión debido al alto número de empleados que existen en una organización. Esto sin contar aquellos que pueden entrar y salir cada cierto tiempo. 

Por fortuna, sí existe un sistema que ayuda a las empresas a tener un mejor control de su información de accesos y que permite dar de alta y baja a múltiples usuarios de forma sencilla. Esto es posible gracias al Single Sign-On o SSO.

Para conocer todo lo que necesitas de este sistema te preparamos este contenido. Sigue leyendo.

El SSO funciona sobre una la relación de confianza establecida entre una aplicación, conocida como proveedor de servicios, y un proveedor de identidad. A menudo, la confianza se basa en un certificado que se intercambia entre ambos proveedores y puede usarse para firmar información de identidad y confirmar que las fuentes son de fiar.

Bajo este método, los datos de identidad toman la forma de tokens que contienen bits de información de identificación sobre el usuario, por ejemplo: correo electrónico o nombre de usuario.

¿Para qué sirve el SSO? 

El SSO hace posible que las funciones transfieran la responsabilidad de autenticar a los usuarios a alguna otra aplicación o servicio. Este tipo de autenticación seguro la has visto en algunas aplicaciones de bancarias al momento de confirmar una transacción.

Una aplicación, sitio web o un cliente con correo electrónico es un proveedor de servicios. La mayoría de plataformas de esta índole incluyen su propia funcionalidad para autenticar usuarios; con SSO esa responsabilidad se entrega a un proveedor de identidad. Así cuando el usuario intenta acceder al proveedor de servicios, este consulta con el proveedor de identidad para asegurarse de que el usuario ha demostrado ser quien afirma ser. Algunos parámetros para asegurar la identidad de un usuario pueden ser la autenticación de dos factores (2FA) o biometría.

Los tokens son una pequeña colección de información estructurada firmada digitalmente para garantizar la confianza mutua entre ambas partes. A través de estos, un proveedor de identidad podrá decir que un proveedor de servicios se ha autenticado. Los tokens representan un alto grado de confidencialidad y seguridad, ya que en caso de ser interceptados por un hacker (o si el sistema del proveedor es atacado) la contraseña e identidad del usuario permanecen seguras.

Un usuario puede utilizar las mismas credenciales de inicio de sesión para cualquier proveedor de servicios que utilice este tipo de servicios de identidad.

De forma más sencilla, una plataforma SSO es un panel único desde el cual se pueden administrar las ID de usuario. De esta manera, si es necesario algunos datos de inicio de sesión pueden ser revocados o autorizados de forma inmediata y segura.

 1. SAML 2.0

SAML 2.0 (por sus siglas en inglés, Security Access Markup Language) es el tipo de SSO más común. Es una forma de codificar texto que se usa específicamente para intercambiar información de identificación. Tiene un estándar abierto, por lo que cualquier persona puede tener acceso a la documentación y es contrario al estándar de propietario o estándar cerrado, el cual pertenece a una determinada empresa y nadie más puede tener permiso para utilizarlo.

Un ejemplo fácil de comprender es el HTML, que significa lenguaje de marcado de hipertexto. En este caso, los elementos entre corchetes alrededor del texto (<body>Ejemplo</body>) son comandos que convierten el texto en lenguaje de máquina y SAML 2.0 lo cifra de una manera segura.

El uso de SAML 2.0 para SSO puede verse de la siguiente manera:

Existen tres jugadores: el cliente (un usuario o navegador web), el servidor de recursos (la aplicación a la que quieres acceder) y el servidor de autorización (el proveedor de SSO).

Los tres intercambian información cuando hay un nuevo intento de inicio de sesión en un navegador web al servidor de recursos.

Esta solicitud se manda para iniciar sesión en la aplicación, luego se solicitan al proveedor de SSO las credenciales de inicio de sesión en SAML 2.0; el usuario debe aceptar proporcionar la información a la aplicación a través del proveedor y luego esa información de identificación se envía a SAML 2.0, y listo.

Puede ser un tanto complejo, pero son procesos en los que cualquier usuario ha estado involucrado normalmente. Además, todo se realiza en cuestión de segundos.

2. OAuth2

El tipo de SSO conocido como OAuth2 tiene un proceso similar al SAML 2.0, pero con ciertas diferencias. La más notable es su optimización; mientras que SAML está especializado para aplicaciones web, OAuth es más adecuado para aplicaciones nativas; por ejemplo, la de los teléfonos inteligentes.

Más allá de esto son iguales: dos estándares para transferir información de identificación que cifran y convierten los datos introducidos en un código legible solo por máquina. El OAuth2 es un estándar más reciente y versátil, pero su uso no supera al de SAML 2.0.

3. CAS

El servicio de autenticación central o CAS se diferencia del SAML 2.0 al promulgar la comunicación de servidor a servidor. Mientras que la máquina del cliente se utiliza para iniciar la solicitud de token, la verificación final es gestionada mediante una comunicación de fondo entre el servidor CAS y el proveedor de servicios.

Este tipo de SSO lo usan comúnmente organizaciones educativas debido a la dependencia de esa verificación adicional y más directa.

4. Shibboleth

Este tipo de protocolo SSO también lo utilizan las entidades educativas, específicamente cuando un gran número de instituciones están federadas para compartir aplicaciones o servicios. Si bien Shibboleth se creó con SAML como base, usa Discovery Service para mejorar su organización de datos en una gran cantidad de fuentes. Este tipo de SSO ayuda a automatizar el análisis de metadatos para manejar actualizaciones de certificados de seguridad y otras configuraciones establecidas por instituciones individuales.

5. Tarjeta inteligente 

Las tarjetas inteligentes basadas en SSO le piden al usuario final utilizar una tarjeta con las credenciales de inicio de sesión para el primer acceso. Una vez hecho esto, el usuario no tendrá que volver a ingresar nombres de usuario o contraseñas. Estas tarjetas son capaces de almacenar certificados o contraseñas.

6. SSO personalizado 

El último tipo de SSO es el personalizado o que puedes crear con base en necesidades específicas. Su desarrollo no es altamente recomendable pues se debe configurar un servidor de autorización, establecer un estándar para comunicar información de identificación, asegurarte de que todo sea seguro y garantizar que todas las aplicaciones utilizadas por tu empresa puedan comunicarse bajo ese estándar.

Suena complicado porque lo es. Por ello, existen más tipos de SSO menos complejos y más fáciles de implementar, pero si es la opción que más ventajas te ofrece y tienes los recursos necesarios, puedes utilizarla.

5 herramientas de SSO indispensables 

Ahora que ya conoces los tipos de SSO más utilizados, te compartimos una serie de herramientas que harán posible implementar un Single Sign-On de manera adecuada en tu organización. 

1. Duo + Cisco

Imagen de Duo 

Duo cuenta con todas las funciones de SSO y está basado en una aplicación para smartphone equivalente a las aplicaciones de gestión móvil. Soporta diversos métodos de autenticación adaptativa. Con este software puedes proteger tus aplicaciones y datos a escala bajo un modelo de seguridad zero trust, que verifica la identidad del usuario y estado del dispositivo en cada intento de inicio de sesión. Sus principales objetivos son generar confianza en el usuario y dispositivo, obtener visibilidad de dispositivos y habilitar el acceso seguro a todas las aplicaciones.

2. Keeper

Imagen de Keeper

Keeper es un gestor de contraseñas y bóveda digital que utiliza cifrado del tipo AES de 265 bits y PBKDF2. Su principal función es reducir el riesgo de infracciones de datos. Puede ser utilizado en navegadores web, equipos informáticos y dispositivos móviles. Entre sus principales funciones se encuentran la creación de contraseñas aleatorias de alta seguridad para usuarios y la gestión de acceso de usuario a datos confidenciales.

3. LastPass

Imagen de LastPass

LastPass brinda una ubicación central desde la cual los usuarios pueden administrar todos los inicios de sesión y contraseñas de los colaboradores que conforman una empresa. Puede usarse en múltiples dispositivos y su edición empresarial proporciona gestión segura de contraseñas para empresas, ya que ofrece más de 50 políticas integradas y configurables para establecer requisitos de contraseña maestra, restringir acceso a dispositivos y ubicaciones específicas.

4. Rippling 

Imagen de Rippling 

Rippling es un tipo de sistema SSO específico para el área de Recursos Humanos y TI con el que pueden gestionar las altas y procesos de cada empleado. Todo se realiza en una misma plataforma versátil y fácil de usar. Su función principal es configurar o desactivar el alta de un empleado a la nómina, su seguro de salud, dar acceso a la computadora empresarial y aplicaciones como Gmail o Slack y automatizar todo el trabajo administrativo.

5. Okta

Imagen de Okta

Okta es líder en SSO y cuenta con dos versiones adaptables que sirven para detectar la ubicación, dispositivos y parámetros de red para evitar ataques de falsificación. En sus últimas actualizaciones incluyeron el servicio de gestión del ciclo de vida para Office 365, integración de directorios con AD o LDAP y aprovisionamiento automático.

¿Ya habías escuchado antes sobre la importancia del SSO? Es tiempo de aumentar tu nivel de ciberseguridad con este método de autenticación: sin duda tendrás la seguridad de que nadie fuera de tu empresa puede acceder a tu plataforma empresarial, aplicaciones y documentos confidenciales.