Comparte este artículo
Los días en los que los empleados se sentaban en sus puestos de trabajo e interactuaban exclusivamente con aplicaciones nativas han pasado, pero no se han olvidado: persiste aún el legado de las contraseñas únicas para servicios/aplicaciones, lo que agrava las frustraciones tanto de los administradores de TI como de los usuarios.
Esto es especialmente cierto en el caso de las infraestructuras en la nube, donde la exposición de las credenciales a través de la red y la posibilidad de una multitud de contraseñas débiles dificulta la productividad de los usuarios y aumenta los riesgos. Existe una solución mejor: El inicio de sesión único (SSO, por sus siglas en inglés).
¿Qué es el inicio de sesión único (SSO)?
El SSO es una solución que muchas grandes organizaciones han adoptado para modernizar la autenticación y la gestión de identidades, así como para lograr una incorporación y salida de empleados sin fricciones. Al principio se utiliza una contraseña única y segura, pero luego las cosas empiezan a funcionar de forma muy diferente.
SSO utiliza SAML, un mecanismo que comparte identidades entre organizaciones y aplicaciones. SAML no envía contraseñas a través de la web para cada inicio de sesión, sino que utiliza un sistema de tokens seguros que reduce los riesgos de seguridad cuando se aplica correctamente. En pocas palabras, un futuro “sin contraseñas” con estándares de autenticación modernos como SAML y OAuth es algo que debería estar en su hoja de ruta.
Quizá se pregunte por qué la adopción de SSO no es universal. La respuesta es complicada: muchas pequeñas y medianas empresas (PyMEs) se encuentran inmersas en entornos de directorios heredados que utilizan el protocolo de red Kerberos para asegurar la autenticación en las redes locales.
Funcionaba bien en ese escenario, pero las infraestructuras de TI de hoy en día no son todas locales y utilizar contraseñas para autenticarse en cada servicio es esencialmente resolver un problema con otro. La mentalidad centrada en contraseñas que Kerberos estableció se ha vuelto perjudicial para la seguridad, y es complejo y arriesgado utilizarlo para despliegues entre dominios (lo que significa que si A confía en B y B confía en C, A podría confiar en C).
También descubrirá que este complicado protocolo heredado es difícil de arreglar, verificar las garantías de seguridad y tiene el potencial de delegar permisos sin restricciones. Los resultados más perniciosos de esta deuda técnica son: la difícil gestión de contraseñas, el riesgo de la reutilización de contraseñas y las violaciones de datos que exponen esas credenciales.
Todas estas cosas aumentan los riesgos (no aceptados), haciendo que sea más probable que se produzcan violaciones de datos. El SSO es una forma moderna y sencilla de abordar todos estos problemas, pero su configuración lleva cierto tiempo.
Sinceramente, “SSO es difícil de probar” es otro refrán común. Usted no codificaría un sitio web sin ver el producto y realizar pruebas de agitación antes de entrar en producción. Su marca, reputación y satisfacción del usuario se verían perjudicadas, y no tiene sentido hacerlo. Lo mismo ocurre con el SSO:
- A nivel de infraestructura, se intercambia información relacionada con los puntos finales, la seguridad y la privacidad,
- A nivel de presentación, se crea una única credencial para la experiencia de inicio de sesión.
Los recursos de prueba no suelen estar a disposición del público o son pruebas de duración limitada que pueden no coincidir con su cronograma.
No espere: el SSO debe ser una prioridad.
Antes de empezar: la importancia del SSO como requisito básico de seguridad no siempre es evidente a primera vista. La inmensa mayoría de los ciberataques son “drive-bys” en los que los atacantes se aprovechan de una higiene informática deficiente, como contraseñas débiles.
Las complicadas Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés) no suelen ser lo que expone a los datos y usuarios de una empresa; lo es la falta de proactividad y de adopción de soluciones modernas. A esto hay que añadir la dificultad de gestionar credenciales y permisos de usuario dispares, lo que provoca dolores de cabeza a los administradores de TI sólo de pensarlo. La filtración de Colonial Pipeline es un ejemplo de ello y fue consecuencia de una contraseña y una cuenta erróneas a las que el departamento de TI había perdido la pista.
Los IdP y los recursos de pruebas fácilmente accesibles le permiten “hacerlo ahora”, en lugar de posponer un proyecto de alta prioridad. Una matriz de prioridades estandarizada le ayudará a argumentar internamente, basándose en un sistema que clasifica todos sus proyectos con un entendimiento mutuo entre los supervisores de TI y de nivel C, teniendo en cuenta el presupuesto y la urgencia.
Un uso juicioso de todas las capacidades de su IdP, como el SSO, contribuirá en gran medida a salvaguardar su organización. La adopción de SSO debe ser una prioridad dentro de su evaluación de cualquier plataforma para el directorio y la autenticación, lo cual es posible mediante la utilización del SAML Test Service Provider (SP) gratuito.
Permite evaluar completamente la solución SSO antes de realizar una compra, lo que favorece su experiencia, así como la confidencialidad, integridad y disponibilidad de los activos de TI que son vitales para su empresa. Una brecha cuesta mucho más que un SSO. Utilizar el SP de prueba es fácil, y se describe en detalle a continuación.
Ahora, a trabajar en las pruebas.
El proveedor de servicios de pruebas SAML y la selección de proveedores
- Existen tres entidades a considerar al iniciar su proyecto SSO:El proveedor de identidades (IdP, por sus siglas en inglés), es decir, un directorio de usuarios y capacidades de autenticación.
- El proveedor de servicios (SP, por sus siglas en inglés), o aplicación web
- Un usuario que tiene una cuenta y una identidad establecidas en el IdP.
Las herramientas de prueba también ayudan, y un servicio gratuito llamado SAML Test Service Provider está disponible de forma gratuita para acelerar sus esfuerzos de SSO. Muchos IdP no se muestran dispuestos a proporcionar un entorno de pruebas, así que sea diligente a la hora de elegir el suyo. También es importante tener en cuenta el soporte de SSO al seleccionar un proveedor de servicios. Los SP pueden convertirse en un obstáculo para la adopción de SSO cuando los precios se aprovechan de su deseo de mejores prácticas de seguridad.
El SSO es una necesidad crítica para las organizaciones con más de 5 miembros, no un lujo, pero capacidades como la compatibilidad con SAML suelen estar vinculadas a niveles de servicio superiores dentro de las aplicaciones web (también denominados anteriormente proveedores de servicios).
A esto se le conoce informalmente como “impuesto SSO”, y hace que los proyectos resulten más difíciles de justificar cuando los costos se multiplican.Utilice un proveedor de servicios que ofrezca SSO como una característica básica del producto; de lo contrario, esta capacidad vital puede estar fuera del alcance del presupuesto de su organización.
Otro punto problemático común al que se enfrentará el proveedor de servicios de pruebas es la preparación: SAML convierte la migración en una propuesta de “todo o nada”. Todos los usuarios deben autenticarse a través de SSO desde el principio, por lo que probar su implementación con suficiente antelación dará sus frutos con un recurso de formación fácilmente disponible, lo que permitirá a los usuarios obtener un nivel básico de comodidad y competencia con el proceso de inicio de sesión en el portal antes del cambio.
Primeros pasos con SAML Test Service Provider
Existen dos formas de realizar las pruebas:SSO iniciado por IdP y SSO iniciado por SP. JumpCloud es el IdP en este ejemplo en combinación con el proveedor de pruebas gratuito.
SSO iniciado por IdP
SAML y metadatos IdP:
El paso inicial para utilizar el proveedor de servicios de prueba es a través del método iniciado por el IdP. Puede obtener metadatos SAML del SP de prueba, que están disponibles aquí. Los metadatos son información que describe el servicio para que su IdP pueda consumirlo.
Su IdP dispondrá de una interfaz para crear un conector SAML genérico (nota: los IdP suelen disponer de una biblioteca de conectores prefabricados listos para los servicios más utilizados). Este paso integrará su IdP con la herramienta de pruebas SAML con una configuración predeterminada.
Aquí se describe la posibilidad de personalizar su aspecto. Sin embargo, no es necesario personalizar nada para realizar pruebas funcionales básicas con la herramienta gratuita. He aquí algunos recursos que desmitificarán el inicio de este proceso:
- Cómo trabajar con metadatos SAML para ADFS y XML
- Inicio de sesión único (SSO) con conector SAML 2.0 (aplicación SAML personalizada)
SSO iniciado por SP
Utilice los metadatos de su IdP
El paso de metadatos es un prerrequisito para el SSO iniciado por SP. Seguirá un procedimiento similar para el SSO iniciado por SP descargando (o cortando y pegando) los metadatos del IdP en la herramienta de pruebas. El resultado será la creación de una URL única que utilizará para iniciar sesión durante las pruebas.
URL de prueba
La URL se asigna de nuevo al IdP, que hace el trabajo pesado para toda la gestión de identidades y autenticación. Las instrucciones hacen hincapié en guardar en favoritos esa URL y en que al acceder a ella se enviará una SAML AuthNRequest a su IdP, que no es más que un mensaje enviado desde el SP solicitando autenticar la sesión de un usuario determinado.
El proceso de importación de metadatos del IdP debe repetirse dentro de la herramienta si lo pierde, por lo que se le aconseja tenerlo a la mano durante toda la duración de la prueba (no se preocupe, hay instrucciones detalladas en la página web del servicio de pruebas). Lo más importante es contar con un IdP que le permita experimentar a su propio ritmo.
Formas de autenticar SSO
El sitio de pruebas incluye información adicional, pero también cuenta con un “AuthNRequest Wizard” una vez que un usuario se autentica con éxito que se muestra en la parte superior de la página. Puede utilizarlo para determinar un método específico de autenticación desde el IdP (AuthenticationContextClassRef) o marcar que la autenticación inicial ha tenido lugar para que el IdP pueda entonces seleccionar un factor más fuerte para aumentar su seguridad.
Es muy recomendable utilizar la MFA (autenticación multi-factor), pero siempre hay que tener en cuenta el lado humano de la implementación y el uso cotidiano. Diferentes formas de autenticación son más fáciles y otras son más difíciles de dominar para el usuario. Las notificaciones push suelen describirse como las más fáciles de usar.
Atributos y personalizaciones del SSO
Elija un color, cualquier color
Querrá un portal que los usuarios reconozcan inmediatamente y en el que confíen con la marca y el esquema de color adecuados. La herramienta de prueba tiene una función llamada “RelayState” que personaliza la apariencia de la página protegida; establece el atributo a un color compatible en el lado del IdP (NameID) o desencadena un cambio de color sin modificar la configuración añadiendo la URL única del sitio de prueba — por ejemplo, “https://sptest.iamshowcase.com/protected?color=blue”.
Mensajes de bienvenida del SSO y otras personalizaciones
NameID, una declaración de atributo SAML, es donde se establecen otras personalizaciones, como un mensaje de bienvenida. Puede encontrar información adicional sobre atributos aquí (descarga de PDF). El sitio de pruebas proporciona el siguiente ejemplo específico de la herramienta:
“Hola <nombre> <apellido>”
Para rellenar <nombre> y/o <apellido>, intentará encontrar un atributo llamado “givenname” o “firstname” para <nombre> y “sn”, “lastname”, “surname” o “name” para <apellido>. Todo esto ignora totalmente las mayúsculas o minúsculas del nombre del atributo, por lo que givenName, Givenname, givenname, GiVeNnAmE son todos lo mismo (si crees que GiVeNnAmE es una buena idea… ¡te saludamos!).
Integridad del usuario
Tenga en cuenta que la herramienta de prueba es sólo para fines de demostración y que algunas características avanzadas de seguridad no son compatibles en este momento, incluyendo AuthNRequests firmadas y aserciones SAML cifradas, que son los datos que se comunican entre el SP y el IdP sobre el estado de autorización del usuario (lo que significa que usted es un usuario legítimo). Los detalles sobre atributos y declaraciones de atributos se encuentran en la herramienta de pruebas.
Cumplimiento y conservación de datos para SSO
También es posible que desee registrar todas las autenticaciones SAML por motivos de cumplimiento si pertenece a un sector regulado o si sus analistas de seguridad y administradores de TI realizan un seguimiento del acceso a los recursos. Los regímenes de cumplimiento específicos exigen el registro del acceso de puntos finales designados, como: Cumplimiento de PCI DSS para entornos de datos de titulares de tarjetas (CDE); HIPAA e información de salud personal (PHI); y la amplia visión de GDPR de los datos almacenados para residentes en la UE.
Conclusión
El proveedor de servicios de prueba de SAML elimina los obstáculos para adoptar SSO, junto con un IdP que ofrece un entorno sandbox (de prueba) que se ajusta a los plazos de su proyecto. Es aconsejable considerar si un SP (aplicación web) proporciona soporte nativo y gratuito de SAML SSO antes de seleccionar ese proveedor. El riesgo y el gasto de no hacer SSO es menos aceptable como:
- Su organización crece
- Consume más servicios
- La autenticación Kerberos y las contraseñas heredadas resultan inadecuadas para los servicios en la nube,
- El entorno de las amenazas a la ciberseguridad es cada vez más difícil de controlar y analizar.
Las pruebas son importantes para estar preparados para el cambio a SAML, que es global y podría interrumpir las operaciones sin la adecuada aceptación y formación de los usuarios.
Las ventajas del SSO son esenciales para la infraestructura en la nube y no deben quedar relegadas al dominio de las grandes empresas con mayores presupuestos. Puede utilizar una plantilla de matriz de prioridades para determinar qué lugar debe ocupar el SSO en su agenda de TI: los resultados pueden sorprenderle.
Puede probar el servicio SSO de JumpCloud de forma gratuita iniciando una prueba hoy.
