¿Qué es SSO (Single-Sign-On)?

SSO (Single-Sign-On) es un mecanismo avanzado de autenticación de usuario diseñado para mejorar la experiencia del usuario y reforzar la seguridad. En esencia, SSO permite a los usuarios acceder a múltiples aplicaciones o plataformas utilizando un único conjunto de credenciales, típicamente un nombre de usuario y contraseña. Esto no solo elimina la necesidad de recordar múltiples contraseñas, sino que también agiliza el proceso de inicio de sesión para varios servicios. Con el tiempo, el concepto de SSO ha evolucionado, ramificándose en diferentes configuraciones y aplicaciones, convirtiéndose en una piedra angular en el panorama de la autenticación digital.

---

SSO opera principalmente a través de un sistema de gestión de identidad federada, a menudo denominado federación de identidad. Uno de los marcos reconocidos en este ámbito es OAuth, que sirve como intermediario. En lugar de compartir la contraseña de un usuario, OAuth otorga a los servicios de terceros un token de acceso, salvaguardando la información de inicio de sesión sensible del usuario. Cuando un usuario intenta acceder a una aplicación particular, el proveedor de servicios colabora con el proveedor de identidad para autenticar las credenciales del usuario. Una vez autenticado, el usuario puede acceder libremente a la aplicación sin más indicaciones.

Varios protocolos sustentan los servicios de SSO. Kerberos, por ejemplo, emplea un mecanismo de ticket de concesión de tickets (TGT), asegurando que a los usuarios no se les pida credenciales repetidamente. Por otro lado, Security Assertion Markup Language (SAML) es un protocolo distinto que intercambia datos de autenticación de usuario y autorización de forma segura entre plataformas. Además, las configuraciones de SSO basadas en tarjetas inteligentes utilizan tarjetas incrustadas con datos de inicio de sesión, simplificando aún más el proceso de inicio de sesión.

---

SAML (Security Assertion Markup Language) es un protocolo de autenticación robusto ampliamente adoptado en entornos empresariales para agilizar el acceso de los usuarios a diversas aplicaciones, como sistemas CRM, a través de un proceso de inicio de sesión único (SSO). Lea más sobre SAML aquí.

SSO y los gestores de contraseñas tienen como objetivo simplificar el proceso de autenticación de usuario. Sin embargo, SSO ofrece un método unificado para que los usuarios accedan a múltiples aplicaciones con un conjunto de credenciales. En contraste, los gestores de contraseñas almacenan contraseñas individuales para varios servicios, introduciéndolas automáticamente a petición.

Si bien el SSO mejora la conveniencia del usuario, introduce posibles vulnerabilidades de seguridad. Si un actor malintencionado obtiene acceso a las credenciales SSO de un usuario, puede infiltrarse en todas las aplicaciones asociadas. Por lo tanto, es fundamental reforzar el SSO con capas adicionales de seguridad, como la autenticación de dos factores (2FA) o la autenticación multifactor.

Plataformas como Facebook, Google y LinkedIn ofrecen Social SSO, permitiendo a los usuarios iniciar sesión en plataformas de terceros utilizando sus credenciales de redes sociales. Si bien esto proporciona una experiencia de inicio de sesión fluida, plantea posibles riesgos de seguridad, ya que una brecha en una plataforma podría poner en peligro a otras.

La integración de passkeys con SSO proporciona un método de autenticación moderno y seguro. Al combinar ambos, los usuarios se benefician del inicio de sesión agilizado del SSO y de la seguridad mejorada de las passkeys. Plataformas como Corbado integran estas características sin problemas, asegurando que los usuarios disfruten de una experiencia digital conveniente pero segura.

Iniciado por IdP significa que el proceso de inicio de sesión comienza en el Proveedor de Identidad (IdP), enviando una aserción SAML al Proveedor de Servicios (SP). En contraste, el SSO iniciado por SP comienza cuando un usuario intenta acceder a un servicio directamente en el sitio del SP, redirigiéndolo al IdP para iniciar sesión.