El inicio de sesión único (Single Sign-On, SSO) describe una solución de identidad que permite que varias aplicaciones utilicen la misma sesión de autenticación, evitando así la introducción repetida de credenciales. Las implementaciones de SSO son a menudo adoptadas por las empresas en el mundo empresarial como parte de su estrategia para asegurar el acceso a los recursos importantes. Con la llegada de la computación en la nube y el auge del software como servicio (SaaS), las empresas de todo el mundo se están centrando cada vez más en las estrategias de gestión de acceso que pueden mejorar tanto la seguridad como la experiencia del usuario; la implementación de SSO puede cumplir con ambos aspectos.

Desde el punto de vista de la seguridad, uno de los beneficios introducidos por el inicio de sesión único es que, al reducir el número de credenciales necesarias para iniciar sesión en múltiples servicios a una sola credencial, hay menos credenciales que se pierden o son robadas. Además, es más probable que se aplique la autenticación multifactor (MFA), o la autenticación de dos factores (2fA) para proteger esa única y poderosa credencial.

Desde la perspectiva del usuario final, aprovechar un sistema de proveedor de identidad (IdP) capaz de soportar el SSO mejora la experiencia del usuario porque reduce drásticamente la fatiga de entrada de credenciales. Además, el uso de SSO significa que se elimina la carga de recordar las credenciales para, potencialmente, docenas de cuentas.

Un efecto secundario beneficioso de la adopción de soluciones de SSO es que el número de llamadas al servicio de ayuda relacionadas con las actividades de restablecimiento de contraseñas también disminuye.

La implementación del inicio de sesión único suele consistir en la definición de un servicio central en el que se basan las aplicaciones cuando un usuario se conecta. En este enfoque, si un usuario no autenticado solicita una aplicación que requiere información de identidad, la aplicación en cuestión redirige al usuario al servicio central. En este servidor, el usuario se autentica y es redirigido a la aplicación original con la información de identidad. Allí, pueden seguir adelante y alcanzar los objetivos iniciales que tenían cuando se activó la solicitud de autenticación.

Después de un tiempo, si ese mismo usuario pasa a otra aplicación que también requiere información de identidad y que depende del mismo servicio central para realizar la autenticación del usuario, la segunda aplicación puede aprovechar la sesión que el usuario inició al iniciar la sesión en la primera aplicación.

Un buen ejemplo que puede ayudar a ilustrar cómo funciona el SSO es Google y sus diferentes servicios. Por ejemplo, cuando intenta acceder a Gmail sin estar autenticado, Google lo redirige a un servicio central que está alojado en accounts.google.com. Allí, verá un formulario de inicio de sesión donde tendrá que introducir sus credenciales de usuario. Si el proceso de autenticación es exitoso, Google lo redirige a Gmail, donde obtiene acceso a su cuenta de correo electrónico. Entonces, después de autenticarse a través de este servicio central, si se dirige a otro servicio (como Youtube, por ejemplo), verá que ha iniciado la sesión automáticamente.

El siguiente diagrama da más detalles sobre cómo funciona un proceso de autenticación de SSO.

Suponiendo que el usuario quiere acceder a dominio1.com, al navegar a este dominio es redirigido al servidor de autenticación, dominio3.com, donde se autentica. Una vez que la autenticación es satisfactoria, el dominio3 almacena una cookie de sesión que se utiliza para el registro SSO. A continuación, redirige el navegador de vuelta al dominio1 con un artefacto que el dominio1.com puede intercambiar por un token que puede ser utilizado para probar la identidad del usuario para el posterior acceso a los servicios del dominio1.

Cuando el usuario (en la misma sesión) accede al dominio2.com, el dominio2 redirige al dominio3 para la autenticación. Sin embargo, debido a que el dominio3 tiene un registro de que el usuario tiene una sesión de inicio de sesión (a través de la cookie) no requiere que el usuario inicie sesión de forma interactiva, y en su lugar redirige el navegador de vuelta a dominio2.com con un artefacto de autenticación apropiado, como antes.

Tenga en cuenta que el período de validez de la sesión de SSO lo determina el servidor de autenticación (dominio3) y puede existir simplemente mientras dure la sesión del navegador, o durante un período específico, desde horas hasta semanas, dependiendo de la política de seguridad y de los requisitos de experiencia del usuario.

Esta es la esencia del SSO, como con Google y otros. El protocolo entre el servidor de autenticación y las aplicaciones del cliente será, por lo general, SAML 2.0, OpenID Connect, Kerberos u otro protocolo de autenticación que soporte el SSO.

Al igual que con muchas otras características de autenticación y autorización, el uso de Auth0 para implementar el inicio de sesión único es extremadamente fácil. Si ya está utilizando Auth0 para asegurar sus aplicaciones, el SSO ya está disponible para usted automáticamente. Por ejemplo, si tiene dos o más aplicaciones que utilizan la misma cuenta de Auth0, notará que los usuarios que inicien sesión en una, iniciarán sesión de forma transparente en la otra. No tiene que hacer nada especial en estas aplicaciones para aprovechar la sesión de SSO.

Otro aspecto útil de usar Auth0 para habilitar el inicio de sesión único en sus aplicaciones es tener un único punto de control sobre el acceso a los recursos, reduciendo las demandas de recursos de TI.

Si quiere saber más sobre Auth0, cómo le ayuda a implementar el inicio de sesión único, y cómo asegurar sus aplicaciones con él, puede consultar los documentos.

Siga leyendo en nuestra página de Introducción a IAM para explorar más temas en torno a la gestión de identidades y accesos.