Página web
Volver a la descripción general

Single Sign-On

Single Sign-On (SSO) es un método de autenticación que permite a los usuarios iniciar sesión una sola vez y acceder simultáneamente a múltiples aplicaciones y servicios, sin necesidad de identificarse por separado en cada sistema. La verificación de identidad se realiza de forma centralizada a través de un proveedor de identidad, que gestiona las credenciales y las transmite a los servicios correspondientes cuando es necesario. Las bases técnicas más extendidas para SSO son los protocolos SAML, OIDC y LDAP.

El funcionamiento técnico se basa en que el proveedor de identidad, tras una autenticación exitosa, transmite una confirmación de autenticación firmada digitalmente al servicio correspondiente. Este confía en la declaración del proveedor de identidad y concede el acceso sin verificar ni almacenar las credenciales por su cuenta. De este modo, las credenciales no se transmiten en ningún momento a los servicios individuales, lo que reduce considerablemente el riesgo de filtraciones de datos por contraseñas débiles o reutilizadas.

Un organismo público con varias aplicaciones especializadas, una conexión VPN y un sistema interno de gestión documental puede configurar SSO de manera que los empleados inicien sesión una sola vez por la mañana en su dispositivo de trabajo y puedan utilizar después todos los sistemas autorizados sin volver a introducir ninguna contraseña. Para el departamento de TI, esto supone menos trabajo en el restablecimiento de contraseñas y una visión clara de qué cuentas tienen acceso a qué servicios.

La ventaja decisiva de SSO reside en la combinación de mayor comodidad para el usuario y mayor seguridad. Menos contraseñas significan menos superficie de ataque, y la gestión centralizada a través de un proveedor de identidad facilita revocar el acceso a todos los sistemas a un empleado que causa baja en un único paso, lo que reduce considerablemente el riesgo de cuentas huérfanas.

SSO despliega todo su potencial cuando está estrechamente integrado con la gestión centralizada de dispositivos. Quien incorpora directorios de usuarios, SAML y OIDC en una infraestructura de TI conforme con la protección de datosreduce al mismo tiempo considerablemente la carga administrativa.