¿Qué es el SSO web y cómo funciona?
Publicado: 2019-08-12El usuario empresarial medio, según Security Magazine, gestiona 191 contraseñas para uso profesional y decenas más para uso privado. Una organización con 50.000 trabajadores puede tener hasta 10 millones de contraseñas en uso por parte de sus empleados. Con tantas contraseñas, las brechas de seguridad que proliferan a partir de los ataques cibernéticos provienen principalmente de las vulnerabilidades causadas por las contraseñas.
Los riesgos provienen del uso de contraseñas que son demasiado simples, fáciles de adivinar, se usan para más de un sistema y no se cambian con la frecuencia suficiente. Las mejores prácticas de seguridad incluyen no usar la misma contraseña en varios sistemas. La mayoría de los profesionales conocen esta regla. Sin embargo, el 61% de los usuarios comerciales promedio admiten usar la misma contraseña en todas partes.
Otro problema de este exceso de contraseñas es que los empleados pierden una enorme cantidad de tiempo escribiendo contraseñas.
Una solución para el problema de la administración de contraseñas es eliminar la necesidad de usar tantas. En lugar de usar un grupo de contraseñas para acceder a diferentes servicios en línea, es posible usar un método de autenticación centralizado que proviene de un sistema de "inicio de sesión único basado en la web" (Web SSO).
¿Qué es el inicio de sesión único web?
Un sistema SSO web permite que un usuario inicie sesión mediante el servicio web SSO con un conjunto de credenciales para la autenticación, que son un nombre de usuario y una contraseña únicos. Luego, esta autenticación les permite acceder a muchas otras aplicaciones basadas en la web y sitios web protegidos con contraseña.
Los servicios en línea y los sitios web que permiten SSO para la autenticación dependen de un proveedor externo de confianza para verificar la identificación de los usuarios.
¿Cómo funciona el inicio de sesión único web?
Un sistema de inicio de sesión único en la web se basa en una relación de confianza entre los sistemas en línea y los sitios web.
Estos son los pasos que toman los sistemas SSO web para la autenticación cuando un usuario inicia sesión en un servicio en línea o en un sitio web protegido con contraseña:
- Verificar inicio de sesión : el primer paso es comprobar si el usuario ya ha iniciado sesión en el sistema de autenticación. Si el usuario ha iniciado sesión, el acceso se concede inmediatamente. De lo contrario, se dirige al usuario al sistema de autenticación para iniciar sesión.
- Inicio de sesión del usuario : para cada sesión, el usuario primero debe iniciar sesión en el sistema de autenticación con un nombre de usuario y una contraseña únicos. El sistema de autenticación utiliza un token para la sesión que permanece vigente hasta que el usuario cierra la sesión.
- Confirmación de autenticación : después de que ocurre el proceso de autenticación, la información de autenticación se pasa al servicio web o al sitio web que solicita la verificación del usuario.
SSO web frente a almacenamiento de contraseñas
Web SSO difiere de tener una bóveda segura de diferentes contraseñas para varios servicios en línea. La bóveda de contraseñas protege múltiples contraseñas con un solo nombre de usuario y contraseña. Sin embargo, cada vez que un usuario accede a un nuevo servicio en línea, debe iniciar sesión en el servicio. Incluso si los campos del formulario se completan automáticamente desde la bóveda de contraseñas, todavía se necesita un proceso de inicio de sesión.
Con Web SSO, una vez que un usuario se autentica, no es necesario iniciar sesión en ningún servicio web que utilice ese sistema de autenticación. Esto se denomina proceso de autenticación de "iniciar sesión una vez/usar todo".
Creación de una solución de inicio de sesión único desde cero
Para algunos usos, es posible crear una solución simple de inicio de sesión único desde cero. Se proporciona un ejemplo del código fuente que usa Java en codeburst.io para aquellos inclinados a probar este método. Funciona usando tokens. Un token es un conjunto de caracteres aleatorios y únicos creados para un solo uso que son difíciles de adivinar.
El inicio de sesión de un usuario en el sistema SSO web crea una nueva sesión y un token de autenticación global. Este token se entrega al usuario. Cuando este usuario va a un servicio web que requiere un inicio de sesión, el servicio web obtiene una copia del token global del usuario y luego verifica con el servidor SSO para ver si el usuario está autenticado.
Si el usuario ya ha iniciado sesión en el sistema SSO, el servidor SSO verifica que el token sea auténtico y devuelve otro token al servicio web con la información del usuario. Esto se llama token local. El intercambio de tokens se realiza automáticamente en segundo plano sin la participación del usuario.
Soluciones populares de inicio de sesión único para sitios web
Para usos más avanzados, hay muchas soluciones sólidas de inicio de sesión único disponibles. La autenticación mediante soluciones de inicio de sesión único en el sitio web incluye estos populares sistemas SSO basados en la web revisados por Capterra:
- Ultimo pase
- ADAutoservicio Plus
- Nube de acceso de próxima generación
- Inicio de sesión único de SAP
- DaaS de JumpCloud
- un signo
- Empresa Bluink
- SecureAuth
- Perfil SSO del navegador web SAML
- Open ID
Beneficios del inicio de sesión único web
El inicio de sesión único basado en web es útil porque es conveniente. Es más fácil, más rápido y se reducen las solicitudes de ayuda de contraseñas. Los usuarios no tienen que recordar múltiples contraseñas y ya no necesitan iniciar sesión en cada servicio basado en la web de forma individual.
Un ejemplo popular de SSO web está disponible para cualquier titular de cuenta de Google Gmail. Con un inicio de sesión único en Gmail, esos usuarios obtienen acceso a todos los productos de Google, que están disponibles para el usuario sin necesidad de iniciar sesión nuevamente hasta que cierre la sesión de su cuenta de Gmail. Abrir Gmail permite a estos usuarios tener acceso instantáneo a su Google Drive, Google Photos, Google Apps y su versión personalizada de YouTube.
Con SSO web, se recupera el tiempo que de otro modo se desperdiciaría para iniciar sesión en los diversos servicios. Las quejas sobre problemas de contraseña prácticamente se eliminan para los servicios web. El proceso de conexión a los servicios en línea funciona de manera eficiente en todos los dispositivos, incluido el móvil, lo que mejora la productividad.
Gestión de acceso a la identidad en toda la empresa
Una gran organización puede utilizar SSO basado en web para la autenticación. El SSO web permite un inicio de sesión único para que el usuario acceda a los datos privados de la empresa y a los sistemas en red, así como a utilizar los recursos en línea proporcionados por otras entidades que aceptan los mismos protocolos de autenticación.
Integración de SSO con servicios de base web populares
Los servicios externos de registro/inicio de sesión único ofrecen integración con muchas aplicaciones populares basadas en la web, como Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk y muchas más.
Facebook y Google ofrecen integración SSO con miles de sistemas basados en web. Cada vez que un usuario desee registrarse en un nuevo servicio que tenga esta capacidad de integración de SSO, la pantalla de registro/inicio de sesión ofrecerá un proceso de inicio de sesión mediante el uso de información de Facebook SSO, Google SSO o no SSO. opción utilizando la cuenta de correo electrónico de un usuario como nombre de usuario y una contraseña elegida por el usuario.
Integración de SSO web con servicios en la nube
Los servicios en la nube tienen sus métodos de administración de acceso de usuarios en la nube y también pueden aceptar la autenticación de sistemas de terceros. Por ejemplo, Amazon Web Services (AWS), que es el proveedor de servicios en la nube más grande del mundo, ofrece su sistema de administración de acceso a la identidad dentro de AWS y permite la autenticación de usuarios por parte de sistemas de terceros.
La conexión que se realiza con los sistemas de terceros se logra a través del conector AWS IAM Authenticator. Esta función permite a los administradores del sistema elegir entre muchos servicios que brindan SSO web, como la conexión realizada con Amazon EKS a Kubernetes o Github de código abierto.
Riesgos de seguridad del inicio de sesión único basado en web
Existen herramientas para mejorar la seguridad de IAM que ayudan a las empresas a gestionar el riesgo. Web SSO reduce algunos riesgos mientras aumenta otros riesgos.
Por ejemplo, los ataques de phishing son menos efectivos porque cuando un usuario es engañado por una copia falsa de un sitio web, no inicia sesión proporcionando un nombre de usuario y una contraseña. Si el sitio web es falso, el servidor SSO no confía en él y no obtiene un token de sesión local si intenta enviar un token de usuario global para solicitarlo. En este caso, el inicio de sesión desde el sitio falso fallará automáticamente, lo que protege al usuario de ser engañado por el intento.
El mayor riesgo puede provenir de tener un solo nombre de usuario y contraseña para el sistema de autenticación SSO. Estos datos confidenciales deben protegerse extremadamente bien porque, si se los roban, pueden usarse para iniciar sesión en muchos servicios en línea.
Las estrategias de seguridad basadas en una política de confianza cero, como la autenticación multifactor, los restablecimientos automáticos de contraseñas, que requieren contraseñas complejas que son diferentes para cada restablecimiento de contraseña, y los controles de acceso a dispositivos son útiles para aumentar la seguridad del sistema SSO.
Conclusión
Web SSO es muy conveniente y ampliamente utilizado. Sin embargo, no todos los sistemas SSO web se crean de la misma manera. La selección cuidadosa del proveedor de autenticación SSO es la primera regla para usar este tipo de autenticación. Cualquier violación de datos de este tercero podría exponer las credenciales de inicio de sesión que pueden acceder a muchos sistemas en línea y causar daños graves.
Se alienta a los CTO y administradores de TI a realizar revisiones periódicas de seguridad de TI de sus procedimientos de autenticación de SSO y a seguir una estrategia de confianza cero. Una revisión de seguridad integral incluye una evaluación de seguridad en profundidad de cualquier tercero que brinde servicios de autenticación.