¿Qué es el inicio de sesión único (SSO)?
Desde los primeros días de la informática hasta la llegada de Internet, uno de los únicos inicios de sesión que existían y eran necesarios era el de usar un nombre de usuario y una contraseña para desbloquear la computadora. Esta combinación, llamada credenciales, es una forma de autenticación.
Con el desarrollo de Internet y las aplicaciones remotas, los usuarios han tenido cada vez más credenciales de inicio de sesión: para abrir su asignación de trabajo, para su correo electrónico, para sus aplicaciones, etc. Hoy, en promedio, una persona necesita iniciar sesión 9 veces1 para abrir todas las herramientas que necesita para trabajar.
Aumentar la cantidad de credenciales no sería un problema si los usuarios pudieran usar las mismas credenciales para cada inicio de sesión. Sin embargo, esto crearía enormes agujeros de seguridad porque una vez que se filtra o viola una combinación de credenciales, todas las aplicaciones serían accesibles para una persona no autorizada.
El aumento de las necesidades de identificación y los riesgos que éstas generan han dado lugar al concepto de identificación única comúnmente llamado SSO (Single Sign-On).
El principio de SSO es permitir que una persona se conecte a todas las aplicaciones que necesita con una única combinación de identificadores. Escrito de esta manera, el inicio de sesión SSO se parece al sistema que se muestra arriba 🙂
Lo que cambia entre estos dos enfoques es que en el ejemplo anterior, cada aplicación tenía una copia de la combinación de inicio de sesión en su base de datos. Con una solución Proper SSO, las aplicaciones no tienen información sobre la identificación registrada, solo confíe en lo que se llama un proveedor de identidad (IDP) que les garantiza que el usuario tiene derecho a conectarse. Sin credenciales de inicio de sesión, las aplicaciones no pueden verse comprometidas.
Aquí hay algunos términos que debe saber:
- Proveedor de identidad (FI) o Proveedor de identidad (IdP):
- Es él quien almacena la información de inicio de sesión del usuario y quien, de hecho, autentica al usuario en el momento de su primera conexión. Hay varios IdP populares disponibles en el mercado, como Active Directory Federation Services (AD FS), Okta, OneLogin y HolaID.
- Proveedor de servicios (FS) o Proveedor de servicios (SP) :
- Esta es la aplicación a la que accede el usuario y para la que debe autenticarse. Cuando el usuario abre una aplicación, habla con el proveedor de identidad para validar la credencial del usuario.
- Afirmación:
- Esta es toda la información enviada desde el proveedor de identidad al proveedor de servicios. El contenido de la afirmación varía entre los protocolos de inicio de sesión de SSO (por ejemplo, SAML , OAuth o incluso OpenID). Generalmente contiene la identificación del usuario, el nombre y varios atributos específicos del protocolo utilizado. La Aserción está encriptada y firmada por un certificado al que solo tienen acceso los Proveedores de Identidad y Servicios para certificar la confiabilidad de la fuente.
En general, el inicio de sesión único funciona como un contrato de confianza establecido entre el Proveedor de Identidad y el Proveedor de Servicios. Esto significa que cuando el proveedor de identidad indica que la persona que accede a la aplicación es Bob Johnson, el proveedor de servicios lo cree y registra al usuario en la cuenta de Bob.
¿Cómo accede un usuario a una aplicación?
La mayoría de los proveedores de SSO ofrecen una solución de portal de aplicaciones web accesible desde cualquier parte del mundo. Una vez que el usuario inicia sesión con su combinación única de autenticación, tiene acceso a las aplicaciones de su empresa a través de este portal. Cuando el usuario elige una aplicación, se envía una afirmación de SSO al proveedor de servicios con la información del usuario. Si se acepta la Aserción, se abre la aplicación y el usuario puede trabajar. Este tipo de conexión SSO se denomina “Identidad iniciada por el Proveedor” (o “Iniciada por IdP”) porque proviene directamente del proveedor de acceso.
¿Cómo valida un proveedor de servicios la información del proveedor de identidad?
Caso del usuario que no pasa por el portal sino que se conecta directamente al sitio del servicio, por ejemplo mensajería Gmail.
En este tipo de situación, el proveedor de servicios sabe qué hacer en función del nombre o la información de correo electrónico que completa el usuario. En lugar de almacenar información de autenticación, la aplicación almacena información del proveedor de identidad y sabe dónde enviar su solicitud de autenticación. Este tipo de solicitud se denomina «Iniciada por SP» porque la solicitud proviene del proveedor de servicios.
Las soluciones de inicio de sesión SSO no están exentas de peligro:
Cuando se implementa una solución SSO, el proveedor de identidad y todos los sistemas de autenticación relacionados se vuelven muy críticos. En caso de pérdida o interrupción del servicio, se bloquea el acceso a todas las aplicaciones mediante el inicio de sesión único.
Además, con solo un conjunto de identificación por usuario, se vuelve fundamental proteger esta información de conexión y asegurarse de que no se comparta o se pierda. Por este motivo, se recomienda encarecidamente combinar la solución de inicio de sesión único con un nivel adicional de seguridad, como el token activo, la tarjeta inteligente o el teléfono inteligente..