SSO (Single Sign-On)

SSO (Single Sign-On)

La solución de inicio de sesión único está diseñada para facilitar la vida diaria de los usuarios de aplicaciones de Internet, que están saturados de contraseñas. Sin embargo, también conlleva fuertes implicaciones de seguridad.

¿Qué es un sistema de inicio de sesión único?

SSO, por Single Sign-On, es un sistema de autenticación que permite a un usuario acceder a muchas aplicaciones sin tener que autenticarse varias veces. El usuario introduce una contraseña al inicio de la sesión y puede acceder a numerosas aplicaciones informáticas sin tener que autenticarse en cada una de ellas. De ahí el término "single sign-on", que significa que sólo hay una "única" conexión ("sign-on").

Por lo tanto, el SSO simplifica enormemente la gestión de contraseñas desde el punto de vista del usuario. Utilizando a menudo cookies para reconocer a los usuarios, se trata de un directorio que envía la contraseña necesaria directamente a una aplicación determinada, sin que el usuario se dé cuenta ni tenga que intervenir. La solución de inicio de sesión único o single sign-on elimina la necesidad de que los usuarios recuerden varios procesos de inicio de sesión, credenciales o contraseñas, pero al consolidar todas las contraseñas en una única autenticación, el SSO aumenta la cantidad y el volumen de datos que pueden ser robados si la contraseña de autenticación es pirateada.


SSO

¿Cómo funciona un sistema de inicio de sesión único?

El desarrollo de aplicaciones y software en la nube que utilizan servicios SaaS ha hecho necesario el desarrollo de sistemas adecuados de inicio de sesión único. Por ello, hoy en día este tipo de soluciones se basan en una relación de confianza entre los desarrolladores de software o proveedores de servicios y los proveedores de identidad. Los desarrolladores deciden el nivel de acceso que el proveedor de identidad (SSO) concede al usuario y delegan en él la responsabilidad de autentificar al usuario mediante el par login/contraseña.

En un servicio básico de SSO en la Web, un módulo de agente en el servidor de aplicaciones recupera información de autenticación específica para un usuario individual desde un servidor de políticas de SSO dedicado, mientras autentifica al usuario contra un repositorio de usuarios como LDAP (Lightweight Directory Access Protocol). El servicio autentifica al usuario final para todas las aplicaciones a las que se le han concedido derechos y elimina las futuras solicitudes de contraseña para aplicaciones individuales dentro de la misma sesión.

El inicio de sesión único es un acuerdo de gestión de identidades federadas (FIM) y el uso de este sistema se denomina a veces federación de identidades. OAuth, pronunciado "oh-auth", es el marco que permite al usuario final utilizar la información de su cuenta a través de servicios de terceros, como Microsoft, sin exponer su contraseña.

El protocolo OAuth actúa como intermediario en nombre del usuario final proporcionando al servicio un token de acceso que permite compartir cierta información de la cuenta. Cuando un usuario intenta acceder a una aplicación del proveedor de servicios, éste envía una solicitud de autenticación al proveedor de identidad. A continuación, el proveedor de servicios verificará la autenticación e iniciará la sesión del usuario.

El inicio de sesión único permite a los usuarios introducir su contraseña una sola vez.

    Las ventajas del SSO son principalmente las siguientes:
  • Permite a los usuarios recordar y gestionar menos contraseñas y nombres de usuario para cada aplicación.
  • Simplifica el proceso de inicio de sesión y uso de las aplicaciones: no es necesario volver a introducir las contraseñas.
  • Reduce el riesgo de phishing
  • Menos quejas o problemas con las contraseñas para los servicios de asistencia informática.
    Las desventajas del SSO incluyen:
  • No aborda ciertos de los diferentes niveles de seguridad que puede requerir el inicio de sesión de cada aplicación.
  • Si el servidor de autenticación se cae, los usuarios pierden la disponibilidad en las múltiples sesiones conectadas al SSO. Para esso, hay que proporcionar un secundo servidor como seguridad
  • La suplantación de la contraseña del usuario le da acceso a todas sus aplicaciones.

El SSO proporciona una gran comodidad al usuario y permite al sistema informático realizar un fácil seguimiento del acceso. Sin embargo, aunque esta solución pueda parecer sencilla a primera vista, la configuración de un sistema SSO puede resultar tediosa para los equipos de TI.