Inicio de sesión único (SSO) - Un login para todo
Lectura de 2 min aprox.
El inicio de sesión único (Single Sign-On) es un mecanismo que permite acceder a varios servicios y aplicaciones con una sola autenticación. Los usuarios ya no necesitan introducir una contraseña para cada servicio, lo que reduce considerablemente la fatiga de contraseñas. En los entornos de TI corporativos se estima que cada empleado utiliza en promedio más de 80 aplicaciones SaaS, y sin el inicio de sesión único una gestión segura de contraseñas resulta prácticamente imposible. Para los detalles técnicos, consulta también la entrada del glosario sobre SSO.
La relación entre el IdP y el SP
El núcleo del inicio de sesión único es la relación de confianza entre el IdP (Identity Provider, proveedor de identidad) y el SP (Service Provider, proveedor de servicios). El IdP gestiona de forma centralizada la autenticación de los usuarios, y el SP verifica el token de autenticación emitido por el IdP para conceder el acceso. Entre los IdP representativos se encuentran Okta, Microsoft Entra ID (antes Azure AD), Google Workspace y OneLogin.
Gracias a este mecanismo, los usuarios pueden usar de forma fluida todos los servicios vinculados, como Slack, Salesforce, Jira y Confluence, iniciando sesión en el IdP una sola vez.
Comparación entre SAML y OIDC
SAML 2.0 y OpenID Connect (OIDC) son los protocolos más utilizados para implementar el inicio de sesión único. Cuál elegir depende del caso de uso.
| Aspecto | SAML 2.0 | OpenID Connect (OIDC) |
|---|---|---|
| Formato de datos | XML | JSON (JWT) |
| Uso principal | Integración SaaS empresarial | Aplicaciones web/móviles, inicio de sesión social |
| Protocolo base | Especificación propia | Extensión de OAuth 2.0 |
| Complejidad de implementación | Alta (la verificación de firmas XML es compleja) | Baja (basada en API REST) |
| Compatibilidad móvil | Deficiente (presupone redirecciones de navegador) | Buena (admite aplicaciones nativas) |
| Ejemplos de adopción | Salesforce、Workday、ServiceNow | Google、GitHub、Auth0 |
SAML sigue siendo dominante en las integraciones SaaS empresariales existentes, pero cada vez más desarrollos nuevos adoptan OIDC. OIDC goza de aceptación porque gestiona los tokens de sesión de forma basada en JSON y fácil de manejar, lo que reduce la barrera de implementación para los desarrolladores.
Riesgos del inicio de sesión único
El inicio de sesión único ofrece grandes ventajas tanto en comodidad como en seguridad, pero también conlleva riesgos inherentes.
Si el IdP deja de funcionar, ya no es posible iniciar sesión en ningún servicio vinculado. En la interrupción de Okta de 2024, muchas empresas se vieron obligadas a detener sus operaciones.
Si la cuenta del IdP se ve comprometida, se hace posible el acceso no autorizado a todos los servicios vinculados. La cuenta del IdP requiere la protección más sólida.
Cuando difieren los tiempos de vida de sesión del IdP y de cada SP, surgen inconsistencias en el cierre de sesión. Implementar el cierre de sesión único (SLO) es técnicamente difícil.
Para mitigar estos riesgos, habilita siempre la autenticación multifactor en la cuenta del IdP y, cuando sea posible, adopta MFA resistente al phishing mediante llaves de acceso o llaves de seguridad. También es importante preparar de antemano un método de acceso de emergencia (una cuenta break-glass) para cuando el IdP sufra una interrupción. La política de contraseñas corporativa y la lista de verificación de seguridad para startups explican las pautas de adopción a nivel organizativo.libros sobre inicio de sesión único (Amazon) también son referencias útiles para el diseño.
El efecto de aliviar la fatiga de contraseñas
La mayor ventaja práctica del inicio de sesión único es aliviar la fatiga de contraseñas. La cantidad de contraseñas que gestionan los empleados disminuye drásticamente, lo que frena comportamientos peligrosos como la reutilización y la simplificación de contraseñas. Las solicitudes de restablecimiento de contraseña al servicio de soporte de TI también caen notablemente; según un estudio de Gartner, entre el 20 y el 50% de las llamadas al soporte están relacionadas con contraseñas. Al integrarlo con una plataforma IAM, la gestión de cuentas durante la incorporación y la baja puede centralizarse, resolviendo el problema de las «cuentas zombi» en las que los empleados que se marchan conservan sus derechos de acceso. Conocer también los riesgos de los permisos de OAuth ayudará a diseñar la infraestructura de autenticación en su conjunto.
Casos de uso reales
«Implementamos el inicio de sesión único con Okta e integramos 15 productos SaaS, entre ellos Slack, Notion, Jira y GitHub. Las solicitudes de restablecimiento de contraseña de los empleados pasaron de 120 al mes a 8. La desactivación de las cuentas de los empleados que se marchan ahora puede gestionarse de forma masiva desde el IdP, y tanto la seguridad como la eficiencia operativa mejoraron notablemente.»
¿Te resultó útil este artículo?