El inicio de sesión único (SSO) es una metodología de autenticación que permite a los usuarios acceder a múltiples recursos con una sola introducción de sus credenciales de inicio de sesión (claim y secret). SSO ofrece esta experiencia de usuario a través de varios sistemas y dominios. Para mantener un acceso sin fricciones, el SSO debe extenderse a través de los diversos servicios que se ejecutan y los recursos que residen dentro de los centros de datos y las plataformas que consumen los usuarios. Estas plataformas pueden existir como IaaS, PaaS, o como un servicio completo (SaaS), que puede o no soportar un modelo de confianza.
Las iniciativas de SSO suelen entrar en la categoría de autenticación de un servidor de directorio: Cada servicio utiliza las mismas credenciales de un único directorio, como Active Directory, o los entornos pasan el token de autenticación a las aplicaciones configuradas. Los equipos también utilizan la inyección de credenciales y otras tecnologías para ofrecer SSO. Independientemente del enfoque, cualquier solución debe incluir también un mecanismo para el inicio de sesión único.
OpenText™ NetIQ™ Advanced Authentication ofrece un conjunto completo de servicios de identidad y acceso, que permite a los trabajadores acceder de forma segura a los recursos desde cualquier lugar, en cualquier dispositivo, en cualquier ubicación y en el momento adecuado. NetIQ también capacita a las organizaciones para interactuar con sus consumidores de forma eficaz y segura.
Leer el folletoSe puede lograr el SSO a través de diferentes tecnologías. Un enfoque más seguro es una implementación en la que los usuarios no conocen las credenciales de cada servicio que consumen, sino sólo la maestra. Como los usuarios no conocen cada credencial, no hay riesgo de que eludan tu centro de autenticación o las compartan en plataformas menos seguras.
Las organizaciones suelen ofrecer SSO a través de un modelo de confianza. Un único proveedor de identidad (IdP) posee las credenciales o controla el acceso a ellas. En este modelo, cada servicio confía en el IdP para verificar la identidad de la parte que accede. Aunque este enfoque reduce el número de lugares que almacenan la credencial, los usuarios pueden o no conocer la credencial auténtica del servicio.
Cualquier diseño de SSO que sincronice las credenciales con cada aplicación o servicio es la opción menos segura y rara vez, o nunca, debería utilizarse. Para la seguridad, las organizaciones trabajan para reducir el número de vectores de ataque, no para aumentarlos.
Como componente de un entorno de autenticación avanzada, el inicio de sesión único puede combinarse con la autenticación multifactor para reforzar la verificación de la identidad de un usuario y minimizar las interrupciones. Este enfoque ayuda a las organizaciones a maximizar la usabilidad y la seguridad, especialmente cuando se combina con métodos pasivos sin contraseña. Aunque algunos tipos de autenticación pasiva pueden ser más débiles que otros, puede utilizarlos con métricas de verificación adicionales para diversos recursos digitales. Como parte de la planificación de los servicios de riesgo, los equipos de seguridad pueden organizar sus recursos en categorías de sensibilidad y asignarles los puntos fuertes de autenticación correspondientes.
La razón más común por la que los equipos de seguridad informática amplían el inicio de sesión único de sus usuarios es ofrecer un acceso seguro a la información de forma rápida y sencilla. Cuando las organizaciones implementan este nivel de comodidad a su información protegida, consiguen una mayor eficiencia y productividad. El SSO permite a los usuarios autenticarse una sola vez para las múltiples aplicaciones y otros recursos digitales a los que acceden a lo largo del día. Más allá de la satisfacción del usuario, el SSO reduce la fatiga de contraseñas, un elemento fundamental para fomentar la higiene de credenciales. Otras ventajas son la eficiencia y la productividad cuantificables. Reduce la obstrucción del acceso, que a veces puede ser la raíz de la procrastinación a la hora de completar un proceso empresarial. Esto puede ser especialmente cierto para los profesionales que trabajan a distancia o fuera del horario laboral, que a menudo se enfrentan a mayores obstáculos de seguridad debido a su ubicación. La comodidad de un acceso sencillo reduce la fricción de los procesos empresariales realizados en dispositivos móviles, permitiendo que se lleven a cabo rápidamente mientras alguien está de viaje o trabajando fuera del horario habitual.
La participación de los consumidores abarca desde la simple personalización hasta las transacciones de alto riesgo. Estas plataformas de consumo suelen utilizar datos de comportamiento para identificar intereses y buscar pistas que ayuden a confirmar la identidad del usuario. Los consumidores esperan que sus marcas de confianza les conozcan lo suficiente como para ofrecerles información interesante y permitirles realizar el mayor número posible de transacciones a través de dispositivos móviles. Aquí es donde entra en juego el inicio de sesión único.
La experiencia móvil y en línea actual requiere una plataforma sólida, respaldada por múltiples sistemas backend para ofrecer la experiencia cada vez más sofisticada que esperan los consumidores. Normalmente, no toleran tener que verificar su identidad varias veces en un smartphone. Por eso, aunque es habitual que las aplicaciones móviles aprovechen varios sistemas backend, no forman parte de la experiencia del usuario.
Más allá del simple acceso, el SSO desempeña un papel en el acceso remoto más profundo y de mayor envergadura. Permitir que sus consumidores logren más con sus productos y servicios sigue siendo un campo de batalla en la competencia de las aplicaciones móviles. A medida que evoluciona la economía digital, las aplicaciones móviles realizan más tipos de interacciones comerciales, incluidas las más arriesgadas. Ofrecer servicios más significativos que la competencia es una forma eficaz de diferenciarse. Pero también impone más requisitos a su infraestructura de autenticación. La comodidad del SSO es importante, pero también lo es una verificación de identidad que se corresponda con el riesgo para la organización. Cuanto más pueda medir una organización el riesgo contextual de una solicitud de acceso, mayor será el alcance del acceso móvil a información privada y sensible. Pregúntese a sí mismo:
Basándose en estas métricas de riesgo, el SSO puede funcionar junto con tipos de autenticación avanzados para adecuar la verificación de identidad a ese riesgo, utilizando la autenticación multifactor cuando sea necesario:
Aunque el inicio de sesión único ofrece comodidad al consumidor, también equilibra la comodidad con la seguridad cuando se utiliza con otros métodos de autenticación.
Tanto el departamento de TI como la línea de negocio deben considerar el creciente valor del inicio de sesión único como una curva acelerada. Cuantas más credenciales tenga un usuario, más difícil le resultará recordarlas. Cuando la empresa reduce el número de credenciales, es más probable que los usuarios sigan una buena gestión de credenciales.
Esa misma curva de valor agresiva está impulsada por la comodidad. Cuanto menos se interrumpa a los usuarios, más productivos (empleados o contratistas) y felices (consumidores) serán. Lo ideal es que haya una huella dactilar inicial, reconocimiento facial o algún otro reclamo al entrar en la aplicación o iniciar una sesión y nada más. Independientemente de cuántos servicios o recursos utilicen los usuarios, no se les interrumpe en sus tareas. En el mismo paradigma, cuanto más interrumpe la aplicación o el servicio web al usuario con una solicitud de autenticación, menos satisfactorio y contraproducente resulta. Por estas razones, las decisiones técnicas o implementaciones que no logran el SSO para los recursos de acceso común son las más perjudiciales.
Limitar la autenticación a Active Directory (AD)
Aunque AD (así como Azure AD) se ha convertido en el principal proveedor de identidades, la mayoría de las organizaciones cuentan con recursos esenciales que van más allá. Mientras que las organizaciones más jóvenes o más pequeñas pueden encontrar que AD complementado con las soluciones de federación de Microsoft son suficientes para ofrecer el inicio de sesión único, la mayoría de ellas son más heterogéneas que eso.
Depender exclusivamente de tecnologías de modelos de confianza
La adopción de SAML y OIDC se ha generalizado. Pero los entornos complicados suelen ser incapaces de ofrecer una cobertura completa. Sorprendentemente, varios servicios basados en SaaS no admiten la federación o cobran por ella más de lo que las organizaciones están dispuestas a pagar. Por el contrario, las tecnologías de grabación/reproducción o una pasarela de acceso gestionada centralmente llenan los vacíos de la cobertura del inicio de sesión único.
Malinterpretar la experiencia de autenticación de sus usuarios
A menudo, las organizaciones de TI desconocen las diferentes personalidades de los usuarios que acceden a lo largo de la semana. Sin una imagen clara, no pueden priorizar qué recurso añadir a su infraestructura de inicio de sesión único. Además, los servicios que consumen los departamentos o líneas de negocio no suelen incluirse en la planificación del SSO.
OpenText NetIQ ofrece cinco enfoques diferentes para ofrecer SSO:
OpenText™ NetIQ™ Access Manager
Utilizando una variedad de tecnologías, NetIQ Access Manager tiene múltiples maneras de ofrecer SSO para cualquier intranet o servicio basado en la nube. Independientemente de la interfaz que tengan o no sus aplicaciones, sus usuarios (empleados, clientes, etc.) obtienen un acceso rápido y cómodo. Al mismo tiempo, NetIQ Access Manager le ofrece un control total del acceso utilizando sus procesos actuales.
Más allá de las ventajas de SSO, NetIQ Access Manager ofrece acceso con un solo clic a las aplicaciones web a través de iconos de fácil configuración en el miniportal. NetIQ El miniportal integrado de Access Manager no pretende sustituir al que ya tiene, sino ser una opción para aquellos que no disponen de uno. El portal es ligero de activar, configurar y mantener para los administradores, así como intuitivo para cualquier usuario. NetIQ La interfaz de acceso rápido de Access Manager mejora la experiencia de inicio de sesión único.
NetIQ Access Manager proporciona a su organización tres opciones para implementar el inicio de sesión único (SSO) en todas sus aplicaciones basadas en la nube y en la intranet:
NetIQ Access Manager Gateway
El Gateway es un proxy inverso que puedes colocar delante de cualquier recurso, independientemente de si tiene su propio modelo de seguridad o controles de acceso. Esto le permite aprovechar el mismo proveedor de identidades para la gestión de credenciales. Al igual que el asistente de inicio de sesión único, Gateway ofrece políticas de rellenado de formularios que pueden rellenar los formularios HTML. Las directivas de rellenado de formularios exploran cada página de inicio de sesión, acelerada a través de Access Gateway, para ver si puede rellenar la información de credenciales. No importa cuántas tecnologías de inicio de sesión único emplee, NetIQ Access Manager proporciona un punto central de administración y control.
Inicio de sesión único mediante federación
Para el inicio de sesión único a través de la federación, NetIQ Access Manager le permite configurar una relación de confianza que puede funcionar como proveedor de identidades o como proveedor de servicios, en función de sus necesidades. También tendrá que configurar el tipo de federación (SAML, OAuth, OpenID Connect, WS-Trust o WS-Federation). Si utiliza SAML, puede elegir uno de los muchos conectores preconfigurados. Si el catálogo no tiene un conector SAML preconfigurado para el servicio que desea, puede utilizar el kit de herramientas para configurar el suyo propio.
Inicio de sesión único a través del asistente
Para los servicios basados en la nube que son demasiado antiguos, pequeños o primitivos para admitir la federación, el asistente de inicio de sesión único ofrece una experiencia de SSO, con el mínimo esfuerzo. Pide a los usuarios que descarguen el complemento del navegador que recupera de forma segura las credenciales cuando se registran. Una vez configurado el asistente, los usuarios experimentan el SSO cuando acceden a la aplicación. El primer lugar para buscar conectores de asistente ya creados es el Catálogo de conectores de NetIQ Access Manager. Puede registrar el suyo propio si no encuentra el conector que necesita. NetIQ Access Manager solicita automáticamente al usuario que instale el conector la primera vez, tras lo cual recupera y envía las credenciales del usuario desde NetIQ Access Manager para el inicio de sesión automático. Al configurar los conectores Basic SSO para las distintas aplicaciones, se define el conector para el sitio específico. Basic SSO captura las credenciales de los usuarios a través de un plugin o extensión del navegador. Almacena de forma segura las credenciales de los usuarios en el Servidor de identidades, sin utilizar nunca Access Gateway.
OpenText™ NetIQ Advanced Authentication
NetIQ Advanced Authentication ofrece inicio de sesión único para usuarios en clientes Windows. La compatibilidad con SSO incluye .NET, Java, aplicaciones nativas y aplicaciones web en todos los navegadores habituales. Los usuarios finales pueden utilizarlo sin problemas, lo que les ayuda a centrarse en su trabajo principal. Incluso para los usuarios remotos no conectados a un directorio centralizado, el inicio de sesión único sigue funcionando en portátiles aislados sin conexión a Internet. NetIQ Advanced Authentication también ofrece un rápido cambio de usuario, lo que significa que proporciona rápidamente el inicio de sesión único para quioscos o estaciones de trabajo compartidas. Se puede invocar con una credencial u otro método sin contacto que sea rápido, sencillo y muy seguro.
NetIQ ofrece a las organizaciones más opciones de inicio de sesión único que cualquier otro proveedor.
Cree un conjunto reutilizable de servicios de gestión de acceso para sus aplicaciones nuevas y existentes.
Permita el inicio de sesión único y el control de acceso en plataformas móviles, en la nube y heredadas.
Habilite la autenticación multifactor y sin contraseña para una protección sencilla en toda la organización.
Proporcione el acceso adecuado a los usuarios adecuados con la menor fricción posible
Centralice el control de las cuentas de administración en todo su entorno informático