{"id":479,"date":"2023-02-17T17:45:17","date_gmt":"2023-02-17T17:45:17","guid":{"rendered":"https:\/\/jumpcloud.com\/es\/?p=479"},"modified":"2024-02-05T16:42:53","modified_gmt":"2024-02-05T16:42:53","slug":"what-is-single-sign-on-sso","status":"publish","type":"post","link":"https:\/\/jumpcloud.com\/es\/blog\/what-is-single-sign-on-sso","title":{"rendered":"\u00bfEn qu\u00e9 consiste el Inicio de sesi\u00f3n \u00danico (SSO)?"},"content":{"rendered":"\n

Las soluciones de Inicio de sesi\u00f3n \u00fanico (SSO<\/a>, por sus siglas en ingl\u00e9s) han ganado tracci\u00f3n en el mercado desde inicio de los 2000 cuando las aplicaciones web comenzaron a poblar el espacio y los usuarios necesitaban de una forma segura para identificarlos.<\/p>\n\n\n\n

Pasamos de la pandemia de COVID-19 al subsecuente incremento en la necesidad (la popularidad eventual) de los ambientes de trabajo remotos e h\u00edbridos, los cuales crearon incluso una r\u00e1pida adopci\u00f3n de las aplicaciones web y forzaron la adopci\u00f3n del SSO incluso m\u00e1s all\u00e1, dado que alguno de los beneficios principales que brinda el SSO son la seguridad mejorada, conformidad y productividad para usuarios de oficina o remotos por igual.<\/p>\n\n\n\n

Para comprender la historia completa de c\u00f3mo las soluciones SSO benefician a las organizaciones de todo tipo y tama\u00f1os y el porqu\u00e9 es necesario implementar SSO dentro de su ecosistema tecnol\u00f3gico, resulta esencial primero entender qu\u00e9 es un inicio de sesi\u00f3n \u00fanico<\/a> y c\u00f3mo ha cambiado al pasar del tiempo.<\/p>\n\n\n\n

\u00bfQu\u00e9 es el SSO?<\/h2>\n\n\n\n

El inicio de sesi\u00f3n \u00fanico es la idea de que un usuario debe acceder una sola vez para acceder a todos sus recursos TI; no deben de ingresar su nombre de usuario y contrase\u00f1a una y otra vez, o utilizar m\u00faltiples o distintos nombres de usuario o contrase\u00f1as para obtener acceso a todo lo que necesiten para tener \u00e9xito en su trabajo.<\/p>\n\n\n\n

Las soluciones tradicionales SSO como generalmente las conocemos hoy ten\u00edan como finalidad ser el puente entre usuarios y aplicaciones web cuando el Microsoft Active Directory (o un resultado similar como OpenLDAP, Directorio 389 Red Hat u otros) era el proveedor central com\u00fan de identidad (IdP<\/a>, por sus siglas en ingles) y los controladores f\u00edsicos de dominio se encontraban en cada oficina para soportarlo. <\/p>\n\n\n\n

Sin embargo, estos directorios LDAP ofrec\u00edan el primer m\u00e9todo real para brindar una \u201cexperiencia de inicio de sesi\u00f3n \u00fanico\u201d. En el caso del Active Directory (AD, por sus siglas en ingles), por mucho el m\u00e1s popular, un usuario pod\u00eda ingresar al dispositivo Microsoft mientras estaba conectado a la red, y estas credenciales se autenticar\u00edan por medio del controlador de dominio. Un inicio exitoso dar\u00eda como resultado en permitir al usuario el desplazarse entre los recursos de Windows dentro del dominio sin tener que ingresar varias veces como se establec\u00eda por los permisos otorgados al usuario. Esto elimina la necesidad de los usuarios de recordar un n\u00famero de contrase\u00f1as con el fin de ingresar a los recursos m\u00faltiples locales de Windows.<\/p>\n\n\n\n

Sin embargo, dado que AD se encontraba albergado localmente, dentro de los confines de una red de la organizaci\u00f3n, no pod\u00eda facilitar la autorizaci\u00f3n a los recursos que se encontraban fuera del dominio. Como tal, el creciente n\u00famero de aplicaciones web que aumentaron en popularidad durante todo el 2000 plante\u00f3 retos a los administradores TI que intentaban controlar y permitir el acceso en una forma similar y segura. As\u00ed que la definici\u00f3n del SSO cambi\u00f3 con el tiempo y una infraestructura local fall\u00f3 en dar soporte al acceso a las aplicaciones web y otros recursos no basados en Windows en los que los usuarios necesitaban un acceso r\u00e1pido y seguro.<\/p>\n\n\n\n

Ahora, mientras que la cloud crece y se vuelve m\u00e1s dominante, potente y segura, el SSO por lo regular se implementa como parte de una soluci\u00f3n mayor de acceso de identidad mayor (IAM, por sus siglas en ingl\u00e9s), tales como un servicio de directorio, en vez de un accesorio separado, el cual brinda a los administradores TI m\u00e1s control y visibilidad a lo que los usuarios tienen acceso. Las soluciones SSO que encajan en este molde brindan a los usuarios con acceso virtual a todos sus recursos TI (redes, dispositivos, aplicaciones, servidores de archivo y m\u00e1s) por medio de un solo inicio.<\/p>\n\n\n\n

C\u00f3mo Evolucion\u00f3 el Inicio de Sesi\u00f3n \u00danico: La Historia Completa<\/h2>\n\n\n\n

El Pasado del SSO<\/strong><\/h3>\n\n\n\n

Los usuarios cuentan con un set de credenciales que pueden usar para acceder a su dispositivo Microsoft y recursos Windows.<\/p>\n\n\n\n

Antigua definici\u00f3n de SSO<\/h4>\n\n\n\n

Debido a que en tiempos pasados no se le llamaba SSO, Microsoft cre\u00f3 AD<\/a> que permit\u00eda a los usuarios simplemente acceder a sus dispositivos Windows y subsecuentemente poder acceder a cualquier cosa en la red en la que estaba basada Windows. Sin embargo, debido a que las aplicaciones surgieron a principio de los 2000, otra generaci\u00f3n de soluciones SSO surgi\u00f3 para ayudar a los usuarios a autenticar los recursos no basados en Windows \u2014estas soluciones por lo regular se les refer\u00eda como IDaaS o Identidad-como-Servicio.<\/p>\n\n\n\n

Esto sucede debido a que AD y los controladores de dominio local trabajando detr\u00e1s de escena no fueron dise\u00f1ados para controlar aplicaciones web y cualquier cosa no relacionada a Windows \u2014as\u00ed que las organizaciones que utilizaban AD ten\u00edan que adaptar un proveedor externo de inicio de sesi\u00f3n \u00fanico para llenar este vac\u00edo. Sin embargo, este enfoque ten\u00eda algunas limitaciones. Un defecto era que todav\u00eda se trataba de una soluci\u00f3n local. Para poder funcionar efectivamente, esta versi\u00f3n de SSO todav\u00eda requer\u00eda de un proveedor de identidad como AD. Un segundo defecto para este enfoque de inicio de sesi\u00f3n \u00fanico era que solo facilitaba el acceso a aplicaciones web. Los usuarios todav\u00eda necesitaban una identidad separada para acceder al sistema, redes e informaci\u00f3n.<\/p>\n\n\n\n

Adem\u00e1s, los ambientes TI homog\u00e9neos de Microsoft se volvieron menos comunes, y AD ya no era la \u00fanica fuente de la verdad cuando se trataba de las cuentas de los usuarios. Con la reaparici\u00f3n de Apple, la infraestructura externa del centro de informaci\u00f3n AWS, y el dominio completo de las aplicaciones de Google, una red simple de Microsoft para una organizaci\u00f3n TI se est\u00e1 convirtiendo en una r\u00e9plica del pasado.<\/p>\n\n\n\n

La necesidad de un inicio de sesi\u00f3n \u00fanico se profundiz\u00f3 debido a que los usuarios empezaban a acumular diferentes credenciales para ingresar a los recursos tales como su dispositivo Mac, servidores Linux albergados en AWS, redes WiFi<\/a>, aplicaciones de la cloud y aplicaciones legales locales. La gesti\u00f3n manual del usuario para aplicaciones web result\u00f3 ser una opci\u00f3n en este punto, pero los usuarios se vieron atorados con cientos de credenciales. Mientras tanto, los administradores TI deb\u00edan encontrar maneras para enfrentar esta pesadilla de control y seguridad.<\/p>\n\n\n\n

La antigua definici\u00f3n de SSO no pod\u00eda controlar lo que suced\u00eda en el mundo tecnol\u00f3gico, y en medio de todos estos cambios, el SSO tradicional quedaba sin sentido \u2014se necesitaba cambiar algo dr\u00e1sticamente. El resultado: SSO no deber\u00eda significar un juego de herramientas de gesti\u00f3n complicado que otorgue acceso \u2018unificado’ a grupos aislados de los recursos TI. A menos que cuente con un solo juego de credenciales empleadas para acceder una vez para acceder a sus sistemas, archivos, redes, y aplicaciones, por consiguiente, en realidad no se trata de SSO.<\/p>\n\n\n\n

El Futuro del Inicio de Sesi\u00f3n \u00danico<\/strong><\/h3>\n\n\n\n

Los usuarios cuentan con un juego de credenciales las cuales emplean para acceder a un directorio combinado y a la interfaz que emplea un protocolo integrado diferente para autom\u00e1ticamente accederlos de manera virtual a todos sus recursos TI incluyendo  los dispositivos Mac, Linux y Windows. <\/p>\n\n\n\n

Definici\u00f3n actual de SSO<\/h4>\n\n\n\n

Conforme la tecnolog\u00eda moderna contin\u00faa cambiando y surgen nuevas ideas y procesos, resulta importante que entendamos la magnitud de estos cambios. Esto significa redefinir lo que es el SSO en una manera que encaje mejor en los ambientes modernos de las tecnolog\u00edas de la informaci\u00f3n y administradores por igual. Ahora que existen las soluciones completas de directorio en la cloud, en vez de solamente los servicios de directorios locales tradicionales como AD, y los usuarios necesitan conectarse de forma segura a m\u00e1s recursos que tan solo las aplicaciones web, el SSO se ha transformado con el tiempo para ponerse al corriente con este panorama cambiante.<\/p>\n\n\n\n

El \u00fanico equipo local que permanece en muchas oficinas hoy en d\u00eda son los puntos de acceso WiFi (WAP, por sus siglas en ingles) y los dispositivos del usuario final. En la mayor\u00eda de los casos, los servidores y las aplicaciones se han mudado a la cloud, y los centros de informaci\u00f3n corporativa ya no son la norma, y ahora los proveedores de la Infraestructura-como-Servicio tales como AWS y Google Compute Engine resultan ser las soluciones predominantes. Las aplicaciones web son la nueva norma con casi todas las funciones dentro de una organizaci\u00f3n siendo soportadas por medio de plataformas SaaS en la Cloud.<\/p>\n\n\n\n

En pocas palabras, el SSO moderno se ha redefinido en una manera que soporta conexiones para un sinn\u00famero de aplicaciones heredades y en la Cloud (unos cuantos ejemplos comunes incluyen OpenVPN, MySQL, GitHub, Slack, y Salesforce), una variedad de tipos de dispositivos (Mac, Windows y Linux), redes WiFi y VPN, servidores de archivos f\u00edsicos y virtuales (Samba, NAS, Google Drive y Box) y algunos otros recursos importantes \u2014todos de todas partes del mundo.<\/p>\n\n\n\n

El SSO tradicional ya no es suficiente, y muchas organizaciones han pasado de la idea de un servicio de directorio local combinado con el SSO web a un servicio de directorio moderno en la cloud que haga todo esto y m\u00e1s. En un sistema completo de acceso de gesti\u00f3n como este, el servicio de directorio en la cloud brinda una base de datos central de usuarios que se enfoca en proporcionar acceso seguro a una gran variedad de recursos TI respaldando todos los protocolos de autenticaci\u00f3n principal incluyendo LDAP, SAML, SSH, RADIUS y REST.<\/p>\n\n\n\n

Como resultado, una identidad de usuario se puede transformar al formato adecuado para un recurso en particular, sin importar qu\u00e9 sistema operativo se est\u00e9 utilizando. Nos referimos a esta soluci\u00f3n moderna como  True Single-Sign On\u2122 la cual se remonta a las ra\u00edces del SSO \u2013permitiendo a los usuarios otorgar un juego de credenciales para acceder de forma segura a cualquiera de los recursos TI que necesiten (no solo a las aplicaciones web).<\/p>\n\n\n\n

\"True<\/figure>\n\n\n\n

\u00bfC\u00f3mo funciona el SSO?<\/h2>\n\n\n\n

Una soluci\u00f3n SSO debe ser integrada a su infraestructura existente del servicio del directorio \u2013usualmente empleando el protocolo LDAP. Luego, habitualmente emplea un protocolo est\u00e1ndar como SAML para intercambiar informaci\u00f3n de autenticaci\u00f3n y autorizaci\u00f3n entre el IdP y las aplicaciones web (o proveedor de servicio (SP) en la jerga SAML).<\/p>\n\n\n\n

Otros protocolos como OIDC est\u00e1n siendo m\u00e1s usados tambi\u00e9n.  En pocas palabras, el proceso resulta en una autenticaci\u00f3n SSO de un usuario para todos sus recursos TI por medio de un solo acceso. <\/p>\n\n\n\n

SAML y el Inicio de Sesi\u00f3n \u00danico<\/h3>\n\n\n\n

El protocolo Security Assertion Markup Language (SAML, por sus siglas en ingl\u00e9s)<\/a> es el enfoque a seguir para muchas aplicaciones web proveedoras de SSO, en especial para aquellas enfocadas en aplicaciones web. SAML utiliza los certificados del Extensible Markup Language (XML) para afirmar las autenticaciones de usuario entre un Idp y un SP o una aplicaci\u00f3n web. Una ventaja de esto es que los usuarios finales no necesitan recordar diferentes contrase\u00f1as para cada aplicaci\u00f3n que utilicen.<\/p>\n\n\n\n

Esto significa que los usuarios necesitan solamente un solo juego de credenciales para acceder a sus aplicaciones \u2013las mismas credenciales principales empleadas por su IdP. Con un sistema de inicio de sesi\u00f3n \u00fanico en su sitio, los usuarios pueden crear una sola contrase\u00f1a fuerte para asegurar sus credenciales IdP y acceder a los m\u00faltiples recursos TI. Esta soluci\u00f3n resulta en una mejor experiencia para los administradores TI debido a que existe una reducci\u00f3n en las secciones relacionadas con la asistencia para contrase\u00f1as y existe una menor preocupaci\u00f3n acerca de la idea de que una de las m\u00faltiples contrase\u00f1as de un usuario se vea afectada.<\/p>\n\n\n\n

La mayor\u00eda de los proveedores modernos de SSO cuentan con un portal web al cual ingresan los usuarios y es ah\u00ed donde pueden acceder r\u00e1pidamente a las aplicaciones conectadas desde una interfaz centralizada, todo esto debido al uso de SAML. Esto lleva a una mejor experiencia para el usuario final mientras facilita el trabajo a los administradores TI. <\/p>\n\n\n\n

Por si fuera poco, para las aplicaciones web que impulsan SAML como el protocolo de autenticaci\u00f3n, existe una gran posibilidad de que se haya aumentado la seguridad. En general, la integraci\u00f3n SAML funciona mediante la afirmaci\u00f3n en vez de un concepto de usuario y contrase\u00f1a. Esa afirmaci\u00f3n se crea por medio del IdP al SP (en este caso la aplicaci\u00f3n web). El IdP asegura que el usuario es quien dice ser, y el SP conf\u00eda en ello. Entre m\u00e1s fuerte se pueda realizar el proceso de  autenticaci\u00f3n con el IdP, mucho mejor. Por ejemplo, el a\u00f1adir una autenticaci\u00f3n multi factor agrega una capa de seguridad al proceso de  autenticaci\u00f3n y protege a los recursos de los agentes malintencionados. <\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

A pesar de que SAML por s\u00ed mismo no resulta ser una soluci\u00f3n al inicio de sesi\u00f3n \u00fanico, juega un papel muy importante dentro de una mayor soluci\u00f3n SSO. Las soluciones modernas de SSO emplean un conjunto de otros protocolos y m\u00e9todos de  autenticaci\u00f3n para extender un juego de credenciales del usuario de manera virtual a todos los recursos \u2014uno de los cuales es LDAP.<\/p>\n\n\n\n

SSO y LDAP<\/h3>\n\n\n\n

The Lightweight Directory Access Protocol (LDAP) es uno de los protocolos de autenticaci\u00f3n de usuario m\u00e1s antiguos que se encuentra en uso actualmente para los sistemas de c\u00f3mputo. Creado en 1993 por Tim Howes y sus colegas en la Universidad de Michigan, fue dise\u00f1ado para conectar a los usuarios con sistemas a trav\u00e9s de la universidad remont\u00e1ndose a los primeros a\u00f1os del Internet. LDAP result\u00f3 funcionar muy bien y esto inspir\u00f3 dos servicios de directorio: AD y OpenLDAP<\/a>. El uso principal de LDAP hoy en d\u00eda es el de autenticar a los usuarios almacenados en un IdP hacia las aplicaciones locales. <\/p>\n\n\n\n

Actualmente, el LDAP albergado en la cloud resulta popular debido a que proporciona a las organizaciones todas las capacidades y beneficios del protocolo LDAP sin ninguno de los ajustes tradicionales, mantenimiento o requerimientos de conmutaci\u00f3n. Su esquema flexible hace que LDAP resulte perfecto para almacenar una amplia variedad de atributos del usuario y permisos, lo cual es b\u00e1sicamente el n\u00facleo de IAM. Ahora, las soluciones modernas SSO emplean una variedad de protocolos de autenticaci\u00f3n, y el LDAP en la cloud todav\u00eda es la m\u00e1s empleada.<\/p>\n\n\n\n

Uno observa c\u00f3mo el mundo est\u00e1 cambiando m\u00e1s y m\u00e1s a la cloud, pero existe todav\u00eda un mundo dejado atr\u00e1s dentro de su entorno local \u2013usted cuenta con dispositivos, impresoras, usted lo tiene todo. Las personas todav\u00eda necesitan ser autenticadas en estos contextos diferentes.<\/p>\n\n\n\n

De click aqu\u00ed para leer m\u00e1s acerca de las diferencias entre SSO y LDAP.<\/a><\/p>\n\n\n\n

SSO como Parte de una Mejor Soluci\u00f3n<\/h2>\n\n\n\n

Si se encuentra empleando solamente aplicaciones basadas en la web dentro de su entorno, usted podr\u00e1 entonces arregl\u00e1rselas empleando una soluci\u00f3n de aplicaci\u00f3n web SSO independiente. Sin embargo, la mayor\u00eda de las organizaciones all\u00e1 afuera necesitan tambi\u00e9n acceso a la infraestructura (ya sea alojada en la Cloud o localmente) para llevar a cabo su trabajo diario. <\/p>\n\n\n\n

Debido a que una plataforma de inicio de sesi\u00f3n \u00fanico se enfoca principalmente en aplicaciones basadas en la web, usted necesita un servicio de directorio si es que espera centralizar el acceso del usuario al resto de su red TI. En lugar de emplear un servicio de directorio local y agregarle una soluci\u00f3n SSO, resulta mucho m\u00e1s efectivo en costos y f\u00e1cil gestionar una soluci\u00f3n IAM que incluya todas las capacidades SSO dentro de una sola plataforma.<\/p>\n\n\n\n

\"2d<\/figure>\n\n\n\n

\u00bfPor qu\u00e9 emplear SSO?<\/h2>\n\n\n\n

Ahora, la pregunta principal ser\u00eda: \u00bfpor qu\u00e9 deber\u00eda mi organizaci\u00f3n utilizar SSO? El beneficio principal que experimentan las organizaciones es el de otorgar a los usuarios finales un juego de credenciales para acceder a todos sus recursos TI. Mencionamos anteriormente que el SSO mejora dram\u00e1ticamente la productividad, seguridad, conformidad y la experiencia del usuario \u2014pero \u00bfc\u00f3mo?<\/p>\n\n\n\n

Con un SSO moderno, los usuarios finales no deben perder media hora cada mes tan solo tratando de acceder a sus herramientas en l\u00ednea, y los administradores de TI solo deben emplear minutos cada semana al gestionar el acceso al usuario a los recursos TI en vez de horas.<\/p>\n\n\n\n

Cuando se trata de seguridad y conformidad, en una soluci\u00f3n IAM completa que incluye SSO, los administradores TI pueden aplicar principalmente requerimientos de contrase\u00f1a, autenticaci\u00f3n multi factor y acceso condicionado a trav\u00e9s de todos los recursos TI usados en su organizaci\u00f3n, y pueden saber con certeza que solo las personas indicadas tienen acceso a los recursos confidenciales de la compa\u00f1\u00eda. La habilidad de gestionar f\u00e1cilmente los accesos con menos privilegios dentro de una organizaci\u00f3n es un gran logro en los \u00e1mbitos de seguridad y conformidad.<\/p>\n\n\n\n

El implementar una soluci\u00f3n SSO viene con una gran variedad de soluciones, en especial como parte de un mayor servicio de directorio en la cloud, por lo cual muchas organizaciones lo est\u00e1n adoptando.<\/p>\n\n\n\n

Los Pros y Contras del SSO<\/h3>\n\n\n\n

Dependiendo de las necesidades de su organizaci\u00f3n y el tipo de soluci\u00f3n SSO que elija (directorio integrado o adicional), se dar\u00e1 usted cuenta de las ventajas y desventajas del inicio de sesi\u00f3n \u00fanico. A pesar de que los beneficios superan vastamente cualquier inconveniente posible, es importante tener toda esta informaci\u00f3n en mente al momento de tomar una decisi\u00f3n.<\/p>\n\n\n\n

Pros del SSO:<\/h4>\n\n\n\n