SAML para inicio de sesión único

Hoy en día, las organizaciones se enfrentan al reto de gestionar múltiples repositorios de usuarios, al tiempo que se esfuerzan por resolver las quejas de los usuarios en relación con la fatiga de contraseñas. Para superar estos obstáculos, es esencial una solución sólida de inicio de sesión único (SSO). Una de estas soluciones, que se ha adoptado ampliamente y ha demostrado su eficacia, es el Lenguaje de Marcado de Aserción de Seguridad (SAML). Con SAML, las organizaciones pueden agilizar el acceso de los usuarios y mejorar la seguridad aprovechando sus funciones flexibles y potentes.

Para una visión más detallada, consulta el ebook SAML para SSO.

¿Qué es SAML?

SAML, desarrollado por el Comité Técnico de Servicios de Seguridad de OASIS, es un protocolo estándar del sector para el SSO sin fisuras del navegador web. Es un protocolo de autenticación basado en XML que permite el intercambio de afirmaciones de identidad entre aplicaciones habilitadas para SAML. Cuando un usuario solicita acceso a un recurso, un proveedor de identidad (IdP) en línea crea un token SAML que contiene las afirmaciones de identidad del usuario. A continuación, el servidor de recursos valida la solicitud SAML, concediendo al usuario el acceso sin necesidad de contraseñas adicionales.

¿Por qué elegir SAML para el inicio de sesión único?

SAML ofrece varias razones de peso para que las organizaciones lo adopten como su solución SSO:

Compatibilidad: SAML funciona a la perfección tanto con servicios basados en la nube como con servicios locales. Es independiente de sistemas operativos (como Windows, Mac y Linux) y arquitecturas de dispositivos (PC, iPad, teléfonos inteligentes), por lo que es universalmente accesible.
Compatible con la red: SAML utiliza protocolos HTTP/HTTPS, que suelen estar abiertos en los cortafuegos de servidores o clientes. Esta característica simplifica la administración de la red y garantiza una comunicación fluida entre los dispositivos cliente y los servidores.
Autenticación centralizada: SAML permite a las organizaciones redirigir la autenticación de los usuarios a un único Proveedor de Identidades. Este enfoque centralizado permite aplicar y hacer cumplir más fácilmente las políticas de red y de acceso.
Versatilidad: SAML admite la autenticación contra cualquier repositorio de usuarios utilizando varios métodos de autenticación. Esta flexibilidad garantiza la compatibilidad con los sistemas existentes y proporciona una experiencia de usuario sin fisuras.

Ventajas de SAML para el inicio de sesión único

SAML, como uno de los protocolos SSO más utilizados, ofrece numerosas ventajas y simplifica la integración de las aplicaciones compatibles. Algunas de las ventajas de implantar SAML SSO son:

Reducción de la carga de contraseñas: SAML SSO reduce el número de contraseñas que los usuarios tienen que recordar y gestionar, mejorando la comodidad y la seguridad.
Gestión mejorada de las credenciales de usuario: SAML SSO elimina la necesidad de gestionar credenciales de usuario externas, simplificando los procesos de administración.
Autenticación más fuerte: SAML SSO admite métodos de autenticación como la autenticación multifactor o la autenticación adaptativa, lo que permite a las organizaciones aplicar medidas de seguridad más estrictas a usuarios o grupos específicos (por ejemplo, administradores).
Disminución de las llamadas de soporte de TI: La implantación de SAML SSO reduce las llamadas de asistencia relacionadas con contraseñas y problemas de acceso, lo que se traduce en una mayor eficiencia y ahorro de costes. A pesar de los conceptos erróneos que rodean a SAML SSO, como la preocupación por el tiempo y el coste de la implantación, las organizaciones pueden reducir realmente los gastos y optimizar el tiempo. Un estudio de Forrester estima que un solo restablecimiento de contraseña a través del servicio de asistencia cuesta a una organización aproximadamente 70 dólares, mientras que Gartner sugiere que entre el 20% y el 50% de las llamadas al servicio de asistencia están relacionadas con el restablecimiento de contraseñas. Teniendo en cuenta estas cifras, implantar SAML Single Sign On se convierte en una opción convincente.
Control de acceso a segmentos del sistema y de la red: Una de las características clave que ofrece un Proveedor de Identidades SSO es el control de acceso, que permite a las organizaciones controlar y gestionar el acceso a distintos segmentos del sistema y de la red. Al integrarse con un directorio preferido, el Proveedor de Identidades utiliza Listas de Control de Acceso (ACL) y otras características definitorias para restringir granularmente el acceso a los recursos a nivel de Unidad Organizativa. Los Proveedores de Identidad más avanzados ofrecen amplias opciones de personalización, lo que permite a las organizaciones establecer políticas de acceso muy detalladas.
Aplicación del Mínimo Privilegio: SAML desempeña un papel crucial en la aplicación y el cumplimiento del Principio de Mínimo Privilegio (POLP). El POLP dicta que a los usuarios, procesos y programas se les deben conceder los derechos de acceso mínimos necesarios para su funcionalidad prevista. Con SAML, las organizaciones pueden gestionar y controlar eficazmente el acceso a los recursos, garantizando que sólo se conceden a los usuarios los permisos precisos para sus tareas. Al integrar SAML en su marco de control de acceso, las organizaciones pueden mejorar la estabilidad y seguridad del sistema, reduciendo al mismo tiempo el riesgo de accesos no autorizados y posibles violaciones de datos.
Minimizar los objetivos del sistema expuestos: Una de las principales ventajas de SAML para el SSO es su capacidad para consolidar los puntos de inicio de sesión individuales en un único punto de acceso seguro. Aunque esta consolidación puede suscitar preocupación entre los usuarios, a quienes les preocupa que la reducción de las rutas de inicio de sesión pueda comprometer la seguridad, una solución SSO bien configurada mejora tanto la seguridad como la usabilidad. Al implantar el SSO a través de un Proveedor de Identidades dedicado, todos los demás puntos de acceso se cierran de forma efectiva, dejando sólo un punto de entrada. Esta consolidación reduce significativamente la superficie de ataque, mitigando las vulnerabilidades potenciales. Una configuración adecuada del SSO garantiza que se puedan maximizar las medidas de seguridad sin sacrificar la usabilidad, proporcionando una experiencia de inicio de sesión SSO fluida y segura para los usuarios finales.

¿Cómo funciona el inicio de sesión único SAML?

Los siguientes pasos demuestran cómo funciona un Proveedor de Identidades SAML, como PortalGuard, utilizando dos métodos de SSO diferentes: Iniciado por el SP (Proveedor de Servicios) e Iniciado por el IdP (Proveedor de Identidades).

Inicio de sesión único iniciado por el SP

El SSO iniciado por el SP se produce cuando un usuario intenta iniciar sesión directamente en el servicio deseado sin autenticarse primero en el Proveedor de Identidad local. Si el usuario aún no se ha autenticado, se le pide que inicie sesión utilizando credenciales locales, que son suficientes para concederle acceso al servicio solicitado. Los pasos para lograr esto se describen a continuación.

PASO 1: El usuario abre el navegador en la máquina cliente y accede al servidor de destino; por ejemplo, https://mail.google.com/a/example.com

PASO 2: El servidor de destino ve que el usuario aún no se ha autenticado, genera una petición SAML y la devuelve junto con la URL solicitada originalmente (el «RelayState») a la máquina cliente como campos de entrada ocultos en una respuesta de formulario HTML.

PASO 3: El JavaScript de la respuesta envía automáticamente el formulario al Proveedor de Identidades de PortalGuard.

Nota: El usuario puede ser forzado a iniciar sesión utilizando cualquiera de los métodos de autenticación SSO de PortalGuard – incluyendo la Autenticación Multi-Factor, la Autenticación Adaptativa y la Biometría Ligada a la Identidad.

PASO 4: Al usuario se le presenta la pantalla de inicio de sesión de PortalGuard. El usuario ingresa el nombre de usuario/contraseña apropiado y hace clic en «Iniciar sesión».

Nota: Esta pantalla de inicio de sesión puede personalizarse completamente para que coincida con la marca específica de tu organización, creando una experiencia perfecta para el usuario. El usuario puede restablecer una contraseña olvidada desde la pantalla de inicio de sesión.

PASO 5: PortalGuard valida en tiempo real el nombre de usuario y la contraseña enviados en el directorio correspondiente. Si es correcto, la máquina cliente habrá establecido una sesión con el servidor web de PortalGuard.

PASO 6: La solicitud SAML original es atendida ahora por el Proveedor de Identidades de PortalGuard. Genera una respuesta SAML y la envía junto con el «RelayState» de vuelta al navegador del usuario final, envuelta en un formulario HTML.

PASO 7: El JavaScript de la respuesta HTML envía automáticamente el formulario al Servicio Consumidor de Aserciones (ACS) del servidor de destino. Tanto la respuesta SAML como «RelayState» se incluyen en los datos de este formulario.

PASO 8: El servidor de destino analiza y valida la respuesta SAML. Utiliza las reivindicaciones de identidad incrustadas para verificar la identidad del usuario y, a continuación, le concede acceso a la aplicación.

SSO iniciado por IdP

El SSO iniciado por el IdP suele producirse cuando un usuario accede a una página de salto gestionada localmente. Al autenticarse primero directamente con el proveedor de identidades, el usuario puede elegir entre una serie de servicios a los que acceder sin necesidad de introducir credenciales adicionales. El proceso técnico para conseguir el SSO iniciado por el IdP se describe en los pasos siguientes.

PASO 1: El usuario abre el navegador en la máquina cliente y accede al servidor de destino; por ejemplo, https:// mail.google.com/a/ejemplo. com

PASO 2: Se presenta al usuario la pantalla de inicio de sesión de PortalGuard si no tiene ya una sesión activa.

PASO 3: El usuario introduce su nombre de usuario y contraseña y hace clic en «Iniciar sesión».

PASO 4: PortalGuard valida en tiempo real el nombre de usuario y la contraseña enviados en el directorio correspondiente. Si es correcto, la máquina cliente habrá establecido una sesión con el servidor web de PortalGuard.

PASO 5: Se concede al usuario acceso a la página de salto del Proveedor de Identidades SAML.

PASO 6: El usuario hace clic en una aplicación mostrada. Nota: las aplicaciones disponibles para el usuario son configurables por el administrador.

PASO 7: El clic es atendido por el Proveedor de Identidades de PortalGuard, que genera una respuesta SAML y la devuelve al usuario final envuelta en un formulario HTML.

PASO 8: El JavaScript de la respuesta envía automáticamente el formulario al Servicio Consumidor de Aserciones (ACS) del servidor de destino.

PASO 9: El servidor de destino analiza y valida la respuesta SAML. Utiliza los reclamos de identidad incorporados para determinar la identidad del usuario y otorgarle acceso a la aplicación.

Cierra de sesión único de SAML

Para más información sobre cómo funciona SAML Single Logout, lee nuestro blog SAML Single Logout: Simplificando la gestión de sesiones de usuario.

¿Cuándo necesitas SAML SSO?

Determinar la necesidad de SAML SSO implica considerar varios factores y comprender las ventajas que puede ofrecer en tu entorno específico. Para identificar cuándo es necesario SAML SSO, es importante evaluar las áreas problemáticas que existen en tu entorno. Algunas de estas áreas problemáticas pueden ser

1. Las múltiples solicitudes de contraseña impiden el acceso:

Pérdida de productividad de los usuarios finales por el tiempo que pierden iniciando sesión o volviéndola a iniciar cuando se acaba la sesión.
Las aplicaciones que se utilizan con poca frecuencia son más susceptibles de que se olviden las contraseñas.

2. Fatiga de la contraseña del usuario final:

Gestionar un gran número de contraseñas puede provocar frustración.
Hacer malabarismos con varias contraseñas reduce la comodidad para los usuarios finales.
Utilizar las mismas contraseñas para varias aplicaciones compromete la seguridad de las contraseñas.

3. El soporte informático o el Servicio de Ayuda atiende las llamadas de olvido de contraseña:

Pérdida de productividad de los empleados de soporte informático debido al volumen de llamadas relacionadas con las contraseñas.
Las llamadas relacionadas con contraseñas pueden resultar caras para las empresas, con una media de 70,00 dólares por llamada¹.
Las horas de soporte informático y la dotación de personal pueden convertirse en un reto, especialmente para las empresas globales.

Alternativas SAML inicio de sesión único (SSO)

Aunque muchas aplicaciones web son compatibles con SAML SSO, hay casos en los que ciertas aplicaciones pueden no soportarlo. En tales situaciones, se pueden explorar soluciones alternativas para lograr una integración perfecta en toda tu organización.

Una alternativa a considerar es el inicio de sesión único basado en formularios. Con el SSO basado en formularios, los usuarios se autentican a través de un formulario web en lugar de depender de la autenticación SAML. Este método permite la integración con aplicaciones que no son directamente compatibles con SAML, permitiendo una experiencia de inicio de sesión simplificada para los usuarios.

Otra opción para habilitar el SSO para aplicaciones no-SAML es Kerberos. Kerberos es un protocolo de autenticación de red que utiliza tickets para autenticar a los usuarios y permitir una comunicación segura. Aprovechando Kerberos, las organizaciones pueden establecer capacidades de inicio de sesión único para aplicaciones que no soportan SAML de forma nativa.

Al considerar las alternativas SAML SSO, es importante evaluar los requisitos y capacidades específicos de tus aplicaciones para determinar la solución más adecuada a las necesidades de tu organización.

Para más información sobre los diferentes tipos de protocolos SSO visita la página Tipos de protocolos de inicio de sesión único.

Mira el inicio de sesión único de PortalGuard en acción

Disfruta esta breve demo de Inicio de sesión único con las pcapacidades de PortalGuard y luego regístrate a nuestra prueba gratuita para probarlo.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics		Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional		La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary		Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others		Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance		Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy		La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.