Artículo

Inicio de sesión único (SSO): guía completa para entenderlo

¿Qué es el inicio de sesión único?

El inicio de sesión único, a veces denominado SSO, es un tipo de método de autenticación que permite a los usuarios utilizar un solo conjunto de credenciales de acceso (p, ej., nombre de usuario y contraseña) para acceder a múltiples aplicaciones, sitios web o servicios. A diferencia de otras opciones de control de acceso, el inicio de sesión único puede ser utilizado por pequeñas, medianas y grandes empresas para eliminar la necesidad de iniciar sesión en diversas ocasiones o de recordar diferentes contraseñas.

¿Cómo funciona el inicio de sesión único?

El inicio de sesión único (SSO) se basa en un acuerdo de federación de identidades entre varios dominios de confianza. Este sistema permite que los usuarios utilicen las mismas credenciales de acceso para autenticarse en diferentes aplicaciones o servicios dentro de una organización. Los sistemas locales confían en estos dominios federados para validar la identidad del usuario y autorizar el acceso a los recursos.

El inicio de sesión único utiliza estándares abiertos de autenticación, como SAML (Security Assertion Markup Language), OAuth y OpenID Connect, que permiten a sitios web y aplicaciones externas acceder a la información del usuario sin exponer su contraseña. Esta información se transmite en forma de tókenes de seguridad, que contienen datos como el correo electrónico, el nombre de usuario u otros atributos necesarios para establecer una sesión segura.

A continuación, se describe de forma resumida cómo funciona el proceso de inicio de sesión único (SSO):

  1. El usuario accede al sitio web o la aplicación. Si no ha iniciado sesión, se le muestra una pantalla de autenticación con la opción de inicio de sesión único.
  2. Introduce sus credenciales de acceso, como nombre de usuario y contraseña, a través del formulario habilitado para SSO.
  3. El sitio web o aplicación genera un token de autenticación y envía una solicitud al sistema de inicio de sesión único.
  4. El sistema SSO valida la autenticación consultando el dominio de confianza para comprobar si el usuario ya ha sido autenticado previamente.
  5. Si el usuario no ha sido autenticado, es redirigido al proveedor de identidad (IdP) para verificar sus credenciales.
  6. Si el usuario ya está autenticado, el sistema emite un token de sesión válido al sitio web o aplicación, confirmando la identidad del usuario y otorgando acceso al recurso solicitado.

Si un usuario introduce credenciales incorrectas, se le pedirá que las vuelva a introducir. Por lo general, si se realizan múltiples intentos fallidos, se bloqueará el usuario durante cierto periodo de tiempo o se bloqueará por completo después de numerosos intentos.

Tókenes de inicio de sesión único

El token de inicio de sesión único consiste en un archivo digital que se utiliza para trasladar un conjunto de datos o información entre los sistemas durante el proceso de inicio de sesión único. Contiene información de identificación del usuario, como su nombre de usuario o dirección de correo electrónico, y datos del sistema que envía el token.

Con el fin de garantizar que los tókenes provengan de una fuente de confianza, deben estar firmados digitalmente. Durante el proceso de configuración inicial del inicio de sesión único, se intercambia el certificado digital.

Seguridad e inicio de sesión único

El inicio de sesión único se utiliza ampliamente porque simplifica el acceso y elimina la proliferación de nombres de usuario y contraseñas que ocasionan dolores de cabeza a los usuarios y administradores, especialmente en las empresa que cuentan con cientos o miles de aplicaciones. Sin embargo, el inicio de sesión único no está libre de riesgos.

Las organizaciones que implementan el inicio de sesión único deben considerar y mitigar los riesgos, ya que un conjunto único de credenciales puede proporcionar acceso no autorizado a diversas aplicaciones y procesos. Entre los problemas comunes relacionados con el inicio de sesión único se encuentran:

  • Secuestro de cuentas
  • Filtraciones de datos que pueden causar fugas de datos, pérdida de datos y pérdidas financieras
  • Suplantación de identidad
  • Secuestro de sesión

La regulación de identidades y la autenticación multifactor son dos medidas de seguridad efectivas que se pueden implementar junto con el inicio de sesión único para proporcionar explotación de la protección.

Regulación de identidades

La regulación de identidades es una iniciativa basada en políticas que ayuda a los administradores a gestionar y controlar mejor el acceso del inicio de sesión único. La regulación de identidades ofrece a los administradores una visibilidad integral de qué empleado tiene acceso a qué sistemas y datos, y les permite detectar credenciales débiles, accesos inapropiados e infracciones de políticas.

Los administradores utilizan las herramientas de regulación de identidades para cambiar, revocar o eliminar los niveles variantes de acceso si tienen la sospecha (o evidencias) de que se comprometieron las credenciales de inicio de sesión único de un usuario.

Autenticación multifactor (MFA)

La implementación de la autenticación multifactor o de dos factores (2FA) con el inicio de sesión único ayuda a mantener seguros los dominios de confianza, ya que se necesita una verificación de identidad adicional, además de las credenciales de inicio de sesión único, para poder acceder. Se puede implementar la autenticación multifactor en todas las cuentas asociadas con el inicio de sesión único para ofrecer una mayor protección.

¿Cómo activar el inicio de sesión único (SSO)?

Fijar objetivos para la implementación del inicio de sesión único.

Determinar los requisitos y los usuarios.

Evaluar las capacidades existentes e identificar brechas.

Definir el control de acceso y otros requisitos.

Asegurarse de que la arquitectura de TI de las organizaciones sea compatible con el inicio de sesión único y realizar ajustes para solucionar las deficiencias.

Crear una lista de soluciones que cumpla los criterios principales.

Hacer una evaluación de las opciones para identificar la solución óptima.

Trabajar con los equipos de TI y de seguridad para garantizar que la implementación del inicio de sesión único cumpla los requisitos de TI y de usuario.

Tipos de SSO

Inicio de sesión único empresarial (E-SSO)

El inicio de sesión único empresarial (E-SSO) se aplica en entornos con integración de aplicaciones empresariales (EAI). Permite a los usuarios acceder a todas las aplicaciones —tanto locales como en la nube— utilizando un único conjunto de credenciales de acceso.

Los administradores capturan esas credenciales al inicio de sesión inicial y las reutilizan para autenticar automáticamente el acceso a otras aplicaciones. Esto centraliza la gestión de nombres de usuario y contraseñas, reduciendo la carga administrativa. Además, se pueden establecer reglas que permitan a los usuarios acceder a ciertas aplicaciones sin intervención del administrador durante un período determinado.

Inicio de sesión único federado

El SSO federado utiliza protocolos estándar del sector como SAML, OAuth y OpenID Connect, y permite a los usuarios acceder a múltiples sitios web o servicios sin tener que autenticarse repetidamente.

Este tipo de SSO extiende el acceso más allá de una sola organización, integrando diversos dominios o empresas bajo un sistema de autenticación centralizado. Es ideal para organizaciones con múltiples sistemas o socios externos que necesitan autenticarse con una única identidad federada.s.

Inicio de sesión único móvil

El inicio de sesión único móvil permite que una sola identidad proporcione acceso seguro a varias aplicaciones móviles. Los tókenes de autenticación se almacenan en el keychain del sistema operativo del dispositivo, lo que permite mantener la sesión activa sin requerir múltiples inicios de sesión.

Este método mejora la experiencia del usuario y refuerza la seguridad en entornos móviles empresariales o BYOD (Bring Your Own Device).

Inicio de sesión único con tarjeta inteligente

En este modelo, la autenticación se realiza mediante una tarjeta inteligente física que almacena las credenciales del usuario. Para iniciar sesión, el usuario debe introducir su tarjeta en un lector, que puede usar una banda magnética o tecnología sin contacto (como NFC).

Este tipo de SSO es común en entornos altamente regulados donde la seguridad física es crítica, como defensa, salud o infraestructuras críticas.

Inicio de sesión único web

El inicio de sesión único web permite a los usuarios acceder a múltiples sitios web vinculados tras iniciar sesión una sola vez. Una vez autenticado en un dominio, el usuario puede navegar entre sitios asociados sin necesidad de volver a ingresar sus credenciales.
Hay dos formas de implementar el Web SSO:

Mediante agentes en aplicaciones web: requiere que las aplicaciones sean compatibles con el agente de SSO y accesibles desde el navegador del usuario.

Mediante proxy inverso: este método gestiona la autenticación de forma centralizada y no requiere modificar las aplicaciones. El proxy inverso actúa como intermediario entre el usuario y la aplicación, controlando el acceso y manteniendo la sesión activa.

Seleccionar una solución de inicio de sesión único

Lo que se debe considerar al seleccionar una solución de inicio de sesión único varía según la organización y los casos de uso, pero, a continuación, se presentan algunos elementos básicos para tener en cuenta durante el proceso de evaluación.

Consideraciones organizacionales

  • ¿Aborda la solución de inicio de sesión único los casos de uso de la organización?
  • ¿Es compatible con los recursos de TI que necesitan el inicio de sesión único (p. ej., aplicaciones, dispositivos, redes, etc.)?
  • ¿Es una solución de inicio de sesión único de corto plazo apropiada que se puede reemplazar por una cantidad aceptable de interrupciones y cargas para el equipo de TI?
  • ¿Puede la solución de inicio de sesión único ajustarse para satisfacer requisitos previstos?
  • ¿Funciona bien con otros sistemas de seguridad?

Consideraciones de funcionalidad del inicio de sesión único

  • Opciones de autenticación, como compatibilidad con la autenticación multifactor, la autenticación flexible, la autenticación automática forzada y mediante el protocolo ligero de acceso a directorios (LDAP)
  • Respuesta y análisis de comportamiento, como la inclusión de direcciones de protocolo de Internet (IP) en la lista negra o blanca, configuración de respuestas para contrarrestar los intentos de fuerza bruta y disposiciones para la reautenticación de usuarios
  • Cumplimiento de los estándares de seguridad, como ISO 27017, ISO 27018, ISO 27001, SOC 2 tipo 2 y leyes (p. ej., el Reglamento General de Protección de Datos [RGPD], la Ley de Privacidad del Consumidor de California [CCPA], etc.)
  • Capacidades de federación que permitan la implementación mediante el uso de proveedores preferidos de identidad, como el Directorio Activo de Microsoft y Directorio de Google
  • Opciones de validación flexible de contraseñas, como el personalización del límite de caducidad de contraseñas, complejidad de las contraseñas y notificaciones de caducidad
  • Capacidades móviles de inicio de sesión único que permitan la compatibilidad con dispositivos móviles
  • Conexiones prediseñadas y personalizadas para las aplicaciones de Lenguaje de Marcado de Aserciones de Seguridad (SAML)
  • Autenticación que emplee protocolos de estándar abierto, como JSON Web Token (JWT), Kerberos, Open Authorization (OAuth), OpenID Connect (OIDC) y SAML
  • Soporte para desarrolladores, como soporte para el control adecuado del ciclo de vida de las interfaces de programación de aplicaciones (API) y kits de desarrollo de software (SDK) para las principales plataformas

Beneficios del inicio de sesión único

  • Centraliza los procesos de acceso a los sitios web, aplicaciones y otras cuentas, incluidos el aprovisionamiento y las desincorporaciones
  • Mejora la productividad ya que optimiza el acceso a los recursos
  • Amplía la adopción de las aplicaciones promovidas por la empresa al facilitar su acceso
  • Facilita la auditoría del acceso de los usuario al brindar un control sólido del acceso a todos los tipos de datos relacionados con el acceso
  • Libera a los usuarios de la ardua tarea de elegir contraseñas seguras para varias cuentas
  • Ayuda a las organizaciones a cumplir las normativas de seguridad de datos
  • Mejora la postura de seguridad al minimizar la cantidad de contraseñas por usuario
  • Mantiene un acceso seguro a las aplicaciones y sitios web
  • Hace posible que las aplicaciones utilicen otros servicios para autenticar usuarios
  • Reduce el riesgo de los malos hábitos de uso de las contraseñas
  • Evita la TI en la sombra, puesto que les permite a los administradores de TI mejorar la supervisión de las actividades de los usuarios en los servidores de trabajo
  • Ofrece una mejor experiencia de usuario
  • Reduce los costos al disminuir la necesidad de acudir al servicio de asistencia técnica para solucionar problemas con las contraseñas
  • Elimina las credenciales de acceso de los servidores o redes de almacenamiento para disminuir el riesgo cibernético
  • Fortalece la seguridad de las contraseñas

Protocolos de SSO

El inicio de sesión único valida y autentica las credenciales de los usuarios mediante diferentes protocolos y estándares abiertos, incluidos los que se describen a continuación.

Token Web JSON (JWT)

El Token Web JSON, o JWT, es un protocolo de inicio de sesión único que se utiliza ampliamente en aplicaciones destinadas al consumidor. Este estándar abierto (RFC 7519) se emplea para transmitir información para el inicio de sesión único como objetos JSON de forma segura.

Kerberos

Kerberos, un sistema de autenticación basado en tickets, permite a diversas entidades verificar mutuamente su identidad mediante el cifrado para evitar el acceso no autorizado a la información de identificación. Cuando se emplea Kerberos en las funciones de inicio de sesión único, una vez validadas las credenciales, se emite un ticket que se usa para recuperar otros tickets de servicio para otras aplicaciones a las que necesitan acceder los usuarios autenticados.

Open authorization (OAuth)

Con OAuth, u Open Authorization, las aplicaciones pueden acceder a la información de los usuarios desde otros sitios web sin suministrar ninguna contraseña. OAuth se utiliza en lugar de las contraseñas con el fin de obtener el permiso para acceder a información protegida por contraseña. En vez de solicitar contraseñas de usuario, las aplicaciones emplean OAuth para obtener el permiso de acceso a datos protegidos por contraseña.

OpenID connect (OIDC)

OpenID connect (OIDC), normalizado por la OpenID Foundation y basado en el marco de OAuth 2.0, es un protocolo de autenticación que ofrece un enfoque descentralizado en lo que respecta al inicio de sesión único. Con OIDC, el sitio web o la aplicación autentica las credenciales de los usuarios. En vez de enviar un token a un proveedor de identidad externo, OpenID connect hace que el sitio web o la aplicación solicite información adicional para autenticar a los usuarios.

Lenguaje de Marcado de Aserciones de Seguridad (SAML)

SAML (Security Assertion Markup Language, o Lenguaje de Marcado de Aserciones de Seguridad) es un protocolo basado en XML que permite el intercambio seguro de información de autenticación entre aplicaciones y servicios de inicio de sesión único (SSO). Gracias a SAML, los usuarios solo necesitan iniciar sesión una vez en una red corporativa para acceder de forma segura a todas las aplicaciones conectadas a esa red, sin necesidad de autenticarse nuevamente en cada una.

Mediante los servicios de inicio de sesión único basado en SAML, las aplicaciones no necesitan almacenar las credenciales del usuario en su sistema, lo que hace que sea una opción más flexible y segura que otras. Además, aborda los problemas que tienen los administradores de TI cuando tratan de implementar el inicio de sesión único junto con el protocolo ligero de acceso a directorios (LDAP).

Casos de uso del inicio de sesión único

Inicio de sesión único con autenticación multifactor

Usados en conjunto, el inicio de sesión único y la autenticación multifactor hacen que la autenticación sea simple y segura. Esta combinación mejora la seguridad, aumenta la accesibilidad a aplicaciones y sitios web, y reduce el tiempo que los administradores deben dedicar al aprovisionamiento y control del acceso.

Inicio de sesión único y LDAP

La función de inicio de sesión único del LDAP, que se emplea para almacenar las credenciales de los usuarios, se puede utilizar para gestionar las bases de datos del LDAP en diversas aplicaciones.

Inicio de sesión único para equipos remotos

La adopción generalizada del trabajo remoto extendió el uso del inicio de sesión único en casi todos los recursos de TI. El inicio de sesión único se utiliza de manera extendida porque va más allá de otros sistemas de administración de identidades y accesos. Ofrece un enfoque basado en la nube, impulsado por protocolos y agnóstico a plataformas y sistemas operativos para la autenticación y autorización de los accesos.

El inicio de sesión único facilita la autenticación para los usuarios y administradores

El inicio de sesión único consiste en una tecnología que optimiza los flujos de trabajo y mejora la productividad de los usuarios y administradores. Gracias a diversas opciones de implementación, el inicio de sesión único puede adaptarse a casi cualquier caso de uso. Como elimina dolores de cabeza y vulnerabilidades de la proliferación de contraseñas, el inicio de sesión único es una herramienta popular en seguridad de TI.

Fecha: 30 de julio de 2025Tiempo de lectura: 15 minutos
Untitled

Empezar

Vea lo que la seguridad de identidad de SailPoint puede hacer por su organización

Descubra cómo nuestras soluciones permiten a las empresas modernas afrontar en la actualidad el reto de asegurar un acceso seguro a los recursos sin comprometer la productividad ni la innovación.

Solicitar una demostraciónContáctenos