Página de inicio de OpenText.
Temas técnicos

¿Qué es el inicio de sesión único?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general del inicio de sesión único (SSO)

El inicio de sesión único (SSO) es una metodología de autenticación que permite a los usuarios acceder a múltiples recursos con una sola introducción de sus credenciales de inicio de sesión (claim y secret). SSO ofrece esta experiencia de usuario a través de varios sistemas y dominios. Para mantener un acceso sin fricciones, el SSO debe extenderse a los distintos servicios que se ejecutan y a los recursos que residen en los centros de datos y plataformas que consumen los usuarios. Estas plataformas pueden existir como IaaS, PaaS, o como un servicio completo (SaaS), que puede o no soportar un modelo de confianza.

Inicio de sesión único

¿Qué papel desempeña el SSO en una postura de seguridad?

Puede lograr el SSO a través de diferentes tecnologías. Un enfoque más seguro es una implementación en la que los usuarios no conozcan las credenciales de cada servicio que consumen, sino sólo las del maestro. Como los usuarios no conocen cada credencial, no hay riesgo de que eludan su centro de autenticación o las compartan en plataformas menos seguras.

Las organizaciones suelen ofrecer SSO a través de un modelo de confianza. Un único proveedor de identidad (IdP) posee las credenciales o controla el acceso a ellas. En este modelo, cada servicio confía en el IdP para verificar la identidad de la parte que accede. Aunque este enfoque reduce el número de lugares que almacenan la credencial, los usuarios pueden o no conocer la credencial auténtica del servicio.

Cualquier diseño de SSO que sincronice las credenciales con cada aplicación o servicio es la opción menos segura y rara vez, o nunca, debería utilizarse. En materia de seguridad, las organizaciones trabajan para reducir el número de vectores de ataque, no para aumentarlos.

Como componente de un entorno de autenticación avanzada, el inicio de sesión único puede emparejarse con la autenticación multifactor para reforzar la verificación de la identidad de un usuario al tiempo que se minimizan las interrupciones. Este enfoque ayuda a las organizaciones a maximizar la facilidad de uso y la seguridad, especialmente cuando se combina con métodos pasivos sin contraseña. Aunque algunos tipos de autenticación pasiva pueden ser más débiles que otros, puede utilizarlos con métricas de verificación adicionales para diversos recursos digitales. Como parte de la planificación del servicio de riesgos, los equipos de seguridad pueden organizar sus recursos en categorías de sensibilidad y asignarles los puntos fuertes de autenticación correspondientes.

Cómo funciona el SSO

El SSO moderno se basa en protocolos de identidad federada, como:

  • SAML 2.0 (Lenguaje de marcado de aserción de seguridad)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Estas normas permiten una comunicación de confianza entre un proveedor de identidades (IdP) -que autentica al usuario- y los proveedores de servicios (SP) -que controlan el acceso a las aplicaciones-. Una vez autenticados, los usuarios reciben un token que puede reutilizarse en todos los servicios sin necesidad de volver a introducir las credenciales.

Las iniciativas de SSO suelen entrar en la categoría de autenticación de un servidor de directorio: Cada servicio utiliza las mismas credenciales de un único directorio, como Active Directory, o los entornos pasan el token de autenticación a las aplicaciones configuradas. Los equipos pueden utilizar la inyección de credenciales y otras tecnologías para ofrecer el SSO. El SSO empresarial moderno casi siempre utiliza estándares de federación como SAML u OpenID Connect (OIDC) con un proveedor de identidades (IdP). La inyección/sincronización de credenciales se considera generalmente menos segura y menos moderna. Los protocolos de federación ampliamente aceptados (SAML, OIDC) son los principales mecanismos para el SSO y se consideran estándares del sector. Sea cual sea el enfoque, cualquier solución debe incluir también un mecanismo de cierre de sesión único.

SSO en un mundo de TI híbrida

Las organizaciones actuales abarcan sistemas locales, aplicaciones SaaS, plataformas IaaS y mucho más. Un SSO eficaz debe tender un puente entre estos entornos con identidad federada, entrega nativa en la nube e integración de directorios, soportando tanto los protocolos heredados como los modernos.

Ventajas del SSO

  • Experiencia de usuario mejorada
    Inicie sesión una vez y acceda a todas las aplicaciones autorizadas, mejorando la productividad y reduciendo la fatiga de contraseñas.
  • Mejora de la postura de seguridad
    Cuando se combina con la autenticación multifactor (MFA) y el análisis de riesgos consciente del contexto, el SSO reduce las superficies de ataque a la vez que centraliza el control.
  • Mayor cumplimiento y visibilidad
    El control centralizado de la identidad permite mejorar el registro, la auditoría y la aplicación de políticas, algo clave para cumplir las normativas sobre privacidad y ciberseguridad.
  • Reducción de los gastos generales de TI
    Menos incidencias en el servicio de asistencia técnica para el restablecimiento de contraseñas y flujos de trabajo de incorporación/desincorporación racionalizados.

¿Cómo ayuda el SSO a mejorar los procesos internos?

La razón más común por la que los equipos de seguridad informática amplían el inicio de sesión único de sus usuarios es ofrecer un acceso seguro a la información de forma rápida y sencilla. Cuando las organizaciones aplican este nivel de comodidad a su información protegida, consiguen una mayor eficiencia y productividad. SSO permite a los usuarios autenticarse una sola vez para las múltiples aplicaciones y otros recursos digitales a los que acceden a lo largo del día. Más allá de la satisfacción del usuario, el SSO reduce la fatiga de contraseñas, un elemento fundamental para fomentar la higiene de las credenciales. Otras ventajas son la eficiencia y la productividad cuantificables. Disminuye la obstrucción de acceso, que a veces puede ser la raíz de la procrastinación a la hora de completar un proceso empresarial. Esto puede ser especialmente cierto en el caso de los profesionales que trabajan a distancia o fuera del horario laboral, que a menudo se enfrentan a mayores obstáculos de seguridad debido a su ubicación. La comodidad de un acceso sencillo reduce la fricción de los procesos empresariales que se llevan a cabo en dispositivos móviles, permitiendo que se realicen rápidamente mientras alguien se desplaza o trabaja fuera del horario habitual.


¿Cómo ayuda el SSO a las empresas a competir?

La participación de los consumidores abarca desde la simple personalización hasta las transacciones de alto riesgo. Estas plataformas de consumidores suelen utilizar datos de comportamiento para identificar intereses y buscar pistas que ayuden a confirmar la identidad del usuario. Los consumidores han llegado a esperar que sus marcas de confianza les conozcan lo suficiente como para ofrecerles información interesante y permitirles realizar el mayor número posible de operaciones en dispositivos móviles. Aquí es donde entra en juego el inicio de sesión único.

La experiencia móvil y en línea de hoy requiere una plataforma sólida, respaldada por múltiples sistemas backend para ofrecer la experiencia cada vez más sofisticada que esperan los consumidores. Normalmente, no toleran verificar su identidad varias veces en un smartphone. Así, aunque es habitual que las aplicaciones móviles aprovechen diversos sistemas backend, no forman parte de la experiencia del usuario.

Más allá del simple acceso, el SSO desempeña un papel en el acceso remoto más profundo y de mayor envergadura. Permitir que sus consumidores logren más con sus productos y servicios sigue siendo un campo de batalla de la competencia en aplicaciones móviles. A medida que evoluciona la economía digital, las aplicaciones móviles realizan más tipos de interacciones comerciales, incluidas las más arriesgadas. Ofrecer servicios más significativos que la competencia es una forma eficaz de diferenciarse. Pero también impone más requisitos a su infraestructura de autenticación. La comodidad del SSO es importante, pero también lo es una verificación de identidad que se corresponda con el riesgo para la organización. Cuanto más pueda medir una organización el riesgo contextual de una solicitud de acceso, mayor será el alcance del acceso móvil a información privada y sensible. Pregúntatelo a ti mismo:

  • ¿Se encuentra el usuario donde se esperaba (GSM, geolocalización, red)?
  • ¿Se reconoce el dispositivo?
  • ¿Los tipos de solicitudes reflejan comportamientos anteriores?
  • ¿Cuál es el nivel de riesgo de los propios datos?

Basándose en estas métricas de riesgo, el SSO puede trabajar conjuntamente con tipos de autenticación avanzados para adecuar la verificación de la identidad a ese riesgo, utilizando la autenticación multifactor cuando sea necesario:

  • Ofrezca múltiples opciones de autenticación sin contraseña, como huella dactilar, reconocimiento facial, reconocimiento de voz, pulsación fuera de banda, contraseña de un solo uso, etc.
  • Interrumpir al consumidor con una solicitud de verificación sólo cuando sea necesario.
  • Utilice uno o varios tipos de autenticación para conseguir la fuerza de verificación necesaria.

Aunque el inicio de sesión único ofrece comodidad al consumidor, también equilibra la comodidad con la seguridad cuando se utiliza con otros métodos de autenticación.


¿Cuáles son los errores más comunes al implantar el SSO?

Tanto el departamento de TI como la línea de negocio deberían considerar el creciente valor del inicio de sesión único como una curva acelerada. Cuantas más credenciales tenga un usuario, más difícil será recordarlas. Cuando la empresa reduce el número de credenciales, es más probable que los usuarios sigan una buena gestión de credenciales.

Esa misma curva de valor agresiva está impulsada por la comodidad. Cuanto menos interrumpa a los usuarios, más productivos (empleados o contratistas) y felices (consumidores) serán. Lo ideal es que haya una huella dactilar inicial, reconocimiento facial o algún otro reclamo al entrar en la aplicación o iniciar una sesión y nada más. Independientemente de cuántos servicios o recursos utilicen los usuarios, no se les interrumpe en sus tareas. En el mismo paradigma, cuanto más interrumpe la aplicación o el servicio web al usuario con una solicitud de autenticación, menos satisfactoria y contraproducente resulta. Por estas razones, las decisiones técnicas o las implementaciones que no logran el SSO para los recursos de acceso común son las más perjudiciales.

Limitar la autenticación a Active Directory (AD)

Aunque AD (así como Azure AD) se ha convertido en el principal proveedor de identidades, la mayoría de las organizaciones cuentan con recursos esenciales que van más allá. Mientras que las organizaciones más jóvenes o pequeñas pueden encontrar que AD complementado con las soluciones de federación de Microsoft son suficientes para ofrecer el inicio de sesión único, la mayoría de ellas son más heterogéneas que eso.

Depender exclusivamente de tecnologías de modelos de confianza

La adopción de SAML y OIDC ha sido generalizada. Pero los entornos complicados suelen ser incapaces de ofrecer una cobertura total. Sorprendentemente, varios servicios basados en SaaS no admiten la federación o cobran por ella más de lo que las organizaciones están dispuestas a pagar. Por el contrario, las tecnologías de grabación/reproducción o una pasarela de acceso gestionada centralmente llenan los vacíos de la cobertura del inicio de sesión único.

Malinterpretar la experiencia de autenticación de sus usuarios

A menudo, las organizaciones de TI desconocen las diferentes personalidades de los usuarios que acceden a lo largo de la semana. Sin una imagen clara, no pueden priorizar qué recurso añadir a su infraestructura de inicio de sesión único. Además, los servicios que consumen los departamentos o líneas de negocio no suelen incluirse en la planificación del SSO.

La ventaja de OpenText SSO

La gestión de identidad y acceso (IAM) de OpenText™ & ofrece un inicio de sesión único (SSO) seguro y basado en estándares con:

  • Compatibilidad integrada con SAML, OAuth y OIDC.
  • Integración con Active Directory, LDAP y fuentes de identidad en la nube.
  • Autenticación adaptativa y sin contraseña.
  • Confianza federada en los ecosistemas B2B y B2C.
  • Compatibilidad con las arquitecturas modernas de confianza cero.

OpenText™ NetIQ™ Access Manager, OpenText™ NetIQ™ Identity Foundation y OpenText™ NetIQ™ Advanced Authentication funcionan conjuntamente para ofrecer un control de acceso unificado y flexible que abarca a todos los usuarios, dispositivos y entornos.


¿Cómo proporciona OpenText el SSO?

OpenText IAM ofrece cinco enfoques diferentes para ofrecer SSO:

OpenText™ NetIQ™ Access Manager

Gracias al uso de diversas tecnologías, OpenText™ NetIQ™ Access Manager ofrece múltiples formas de implementar el inicio de sesión único (SSO) para cualquier intranet o servicio basado en la nube. Independientemente de la interfaz con la que cuenten o no sus aplicaciones, sus usuarios (empleados, clientes, etc.) disfrutan de un acceso rápido y cómodo. Al mismo tiempo, OpenText™ NetIQ™ Access Manager le ofrece un control total del acceso utilizando sus procesos actuales.
 
Además de las ventajas del SSO, OpenText™ NetIQ™ Access Manager ofrece acceso con un solo clic a las aplicaciones web mediante iconos de configuración sencilla en el miniportal. OpenText™ NetIQ™ Access Manager’s built-in mini-portal isn’t meant to replace what you already have, but rather an option for those who don’t have one. El portal es fácil de activar, configurar y mantener para los administradores, además de intuitivo para cualquier usuario. La interfaz de acceso rápido de OpenText™ NetIQ™ Access Manager mejora la experiencia de inicio de sesión único.

OpenText™ NetIQ™ Access Manager ofrece a su organización tres opciones para implementar el inicio de sesión único (SSO) en todas sus aplicaciones basadas en la nube y en la intranet:

  • Pasarela de acceso: lo último en gestión de acceso tanto para el control de acceso como para la prestación de inicio de sesión único, la pasarela de acceso es la mejor manera de ofrecer una experiencia de usuario sin fisuras a través de múltiples servicios y entornos complejos (nube, fuera de la nube, híbrido).
  • Federación basada en estándares —SAML, OAuth, OpenID Connect, WS-Trust y WS-Federation—: OpenText™ NetIQ™ Access Manager es compatible con estas aplicaciones a través de un catálogo de conectores preconfigurados o un conjunto de herramientas, desde el que podrá configurar la relación de confianza entre un proveedor de autenticación y un proveedor de servicios.
  • Asistente de inicio de sesión único: para el vasto océano de aplicaciones pequeñas o especializadas que no admiten ningún tipo de federación, el asistente de inicio de sesión único da servicio a todas ellas.

Pasarela de OpenText™ NetIQ™ Access Manager

La pasarela es un proxy inverso que puede situarse delante de cualquier recurso, independientemente de si este cuenta con su propio modelo de seguridad o controles de acceso. Esto le permite utilizar el mismo proveedor de identidad para la gestión de credenciales. Al igual que el asistente de inicio de sesión único, la pasarela ofrece políticas de cumplimentación de formularios que permiten rellenar los formularios HTML. Las políticas de autocompletado de formularios analizan cada página de inicio de sesión, cuyo acceso se acelera a través de la pasarela de acceso, para comprobar si pueden rellenar automáticamente la información de credenciales. Independientemente del número de tecnologías de inicio de sesión único que utilice, OpenText™ NetIQ™ Access Manager le ofrece un punto central de administración y control.

Inicio de sesión único mediante federación

Para el inicio de sesión único mediante federación, OpenText™ NetIQ™ Access Manager le permite establecer una relación de confianza que puede funcionar como proveedor de identidad o como proveedor de servicios, en función de sus necesidades. Asimismo, deberá configurar el tipo de federación (SAML, OAuth, OpenID Connect, WS-Trust o WS-Federation). Si utiliza SAML, puede elegir uno de los numerosos conectores preconfigurados. Si el catálogo no dispone de un conector SAML preconfigurado para el servicio que desea, puede utilizar el kit de herramientas para configurar uno propio.

Inicio de sesión único a través del asistente

En el caso de los servicios basados en la nube que son demasiado antiguos, pequeños o rudimentarios para admitir la federación, el asistente de inicio de sesión único ofrece una experiencia de SSO con un esfuerzo mínimo. Solicita a los usuarios que descarguen el complemento del navegador que recupera de forma segura las credenciales cuando se guardan. Una vez configurado el asistente, los usuarios disfrutan del inicio de sesión único (SSO) al acceder a la aplicación. El primer lugar donde buscar conectores de asistente ya preparados es el catálogo de OpenText™ NetIQ™ Access Manager. Si no encuentra el conector que necesita, puede fabricar uno usted mismo. OpenText™ NetIQ™ Access Manager solicita automáticamente al usuario que instale el conector la primera vez; a partir de entonces, recupera y envía las credenciales del usuario desde OpenText™ NetIQ™ Access Manager para el inicio de sesión automático. Al configurar los conectores de SSO básico para las distintas aplicaciones, debe definir el conector correspondiente a cada sitio concreto. El SSO básico recopila las credenciales de los usuarios a través de un complemento o una extensión del navegador. Almacena de forma segura las credenciales de los usuarios en el servidor de identidades, sin utilizar nunca la pasarela de acceso.

OpenText™ NetIQ™ Autenticación avanzada

OpenText™ NetIQ™ Advanced Authentication ofrece el inicio de sesión único para los usuarios de clientes Windows. La compatibilidad con SSO incluye .NET, Java, aplicaciones nativas y aplicaciones web en todos los navegadores más habituales. Para los usuarios finales, el proceso resulta totalmente fluido, lo que les permite centrarse en su trabajo principal. Incluso en el caso de los usuarios remotos que no estén conectados a un directorio centralizado, el inicio de sesión único sigue funcionando en ordenadores portátiles aislados que no dispongan de conexión a Internet. OpenText™ NetIQ™ Advanced Authentication también ofrece un cambio rápido de usuario, lo que significa que proporciona rápidamente el inicio de sesión único para quioscos o estaciones de trabajo compartidas. Se puede activar mediante una tarjeta de identificación o cualquier otro método sin contacto que sea rápido, sencillo y muy seguro.

OpenText ofrece más opciones de inicio de sesión único para organizaciones que cualquier otro proveedor.

Notas al pie